Windows Server 2008 ve R2’de yenilikler – 2 – DHCP Sunucu/İstemci
Merhaba,
Bir önceki DHCP servisindeki yenilikler ile devam etmek istiyorum.
1. DHCPv4:
· Bir önceki sürümlere göre yapılan en önemli değişiklik NAP etkileşimi için ayarların eklenmiş olmasıdır.
2. DHCPv6:
· DHCP servisi Windows Server 2008 ile birlikte IPv6 adreslerini desteklemektedir. Stateful ve Stateless olarak ayrılan bu adresleme modelinde istemcinin adresi kendisinin mi yaratacağı yoksa DHCP sunucusundan mı alacağına karar verilmektedir.
· Stateful mode’unda istemciler sadece DHCPv6 sunucusu kullaranarak IP adresleri ile birlikte gerekli konfigurasyon bilgilerini de alabilmektedirler.
· Stateless mode’da ise istemcilerin IP adreslerini kendilerinin oluşturmasına ve sadece gerekli konfigurasyon bilgilerini DHCP sunucusundan isteyebilmesini sağlamaktadır. Bunun içinde IPv6 stateful desteğini veren bir Router üzerinden belirli bir prefix kullanılarak IP adresi oluşturulur.
3. MAC Address based filtering (Sadece R2)
· MAC adresi seviyesinde IP kiralama isteklerinin cevaplanması ile ilgili kontrol artık Link Layer seviyesinde yapılabilmektedir.
· Bü özellik sadece Windows Server 2008 R2 DHCP sunucusu üzerinde tanımlanabilir. Ancak DHCP istemci kapsamında bir zorunluluk yoktur. Tüm Windows ve Windows olmayan işletim sistemleri için kullanılabilir.
· Sadece IPv4 adresleri için uygulanabilir.
· DHCP protokolünde yer alana DISCOVER, RENEW ve INFORM gibi operasyonlar bu kurala tabi olacaktır. Ancak diğer DHCP sunucuları tarafından gönderilen ve Rogue DHCP sunucularını belirlemek için kullanılan DHCPINFORM paketleri bu kapsam dışındadır. Böylelikle MAC adresi seviyesinde filtreleme yaptığımız listede olsun olmasın başka bir DHCP sunucusu tarafından gönderilen bu istekler kabul edilecektir.
· Bu özelliği etkinleştirmek için IPv4 scope özelliklerinde Filters sekmesi kullanılabilir. Enable Allow List (Kabul listesini etkinleştir) ve Enable Deny List (Red Listesini etkinleştir) olmak üzere iki farklı liste tanımı yapılabilir.
· “Ethernet” dışındaki tüm ağ donanım türleri muaf tutulmaktadır. Özellikler/Filters sekmesinde yer alan Advanced bölümünde ise muaf tutulan diğer ağ tiplerinin eklenmesi sağlanabilir.
· Özellikler/Filters sekmesinden etkinleştirme yapıldıktan sonra DHCP konsolu üzerinde Filters scope adında yeni bir bölüm oluşturulacaktır. Özelliklerden yapılan tanıma göre “Allow” ve “Deny” listelerinin buradan tanımlanabilir. Ayrıca belirli bir listeyi etkinleştirmek veya devre dışı bırakmak için yine bu bölüm kullanılabilir.
· MAC adreslerinin oluşturulacağı listede ‘*’ gibi karakterler kullanılabilir. Ancak kullanımına dikkat etmek gerekiyor çünkü IP adresi alması gereken bir istemci yanlış ‘*’ kullanımı ile RED listesinde yer alabilir.
4. Service Hardening (Sadece R2)
· Windows Server 2008 R2 DHCP hizmeti diğer gruplara nazaran daha az yetkisi olan “Network Service” hesabı ile çalıştırılmaktadır.
5. Split Scope (Sadece R2)
· DHCP sunucularının kullanılmaya başlandığı ilk günden bu yana göreceli olarak daha fazla istemcinin olduğu ortamlarda veya “failover” senaryolarının kullanılması için aynı adres aralığı için birden fazla DHCP sunucusunun belirli bir kural/oran ile yapılandırılması birçok ağ yöneticisi tarafından uygulanan bir yöntemdir. Genelde 80/20 kuralı olarak adlandırılan bu yöntemin genel amacı bir IP aralığının belirli bir oranın birincil DHCP sunucusu tarafından, diğerinin ise ikincil DHCP sunucusu tarafından verilmesini sağlamak ve bunu yaparken de kurallar çerçevesinde IP aralıklarını sınırlandırmaktır.
· Windows Server 2008 R2’ya kadar böylesi bir yapılandırmayı yapmak için her iki sunucu üzerinde scopeların tanımlanıp, IP aralığının belirtilip, “exclusion”ların tanımlanmasını gerekirdi. Şimdi ise sadece tek bir pencereden her iki sunucununda kullanacağı aralıklar rahatlıkla yapılabilmektedir. Fikir vermesi açısından ekran görüntüsünü kopyaladım:
6. Prevention of Exhaustion of IP Addresses (Sadece R2)
· IP adres aralığınının tükenmesini engellemek için eklenmiş bir özelliktir. IPv6 adresleri için böyle bir sorun olmadığından sadece IPv4 adresleri için kullanılabilir.
· Özellikle split scope konfigürasyonu yapılmış olan ortamlarda ikincil DHCP sunucularının, backup olarak davranmasından çok birincil bir DHCP sunucusu olarak davranıp onlara ayrılan %20’lik IP adresi aralığını çabuk tüketmesini engellemesi amaçlanmıştır. Eğer birincil DHCP sunucusu işlemine devam edebiliyorsa kabul edilebilir bir gecikme ile DHCP istemcisinin gönderdiği DISCOVER paketlerine daha geç OFFER ile geri dönecektir. Bu da DHCP istemcisinin öncelikle birincil DHCP sunucusundan gelecek OFFER’lara REQUEST etmesini sağlayacaktır.
7. Name Squatting (Sadece R2)
· “Name Squatting” Windows olmayan işletim sistemlerinin DNS üzerinde bir Windows işletim sistemi tarafından yaratılmış olan kaydın üzerine yazabilmesine denir. Sadece Windows istemcilerin olduğu bir Active Directory Domain’inde “Computer” isimlerinin benzersiz olması kontrol edebilmektedir. Bu sebeple bir kontrol mekanizmasına ihtiyaç yoktur.
· Ancak Windows işletim sistemleri dışındaki sistemlerin kayıtların üzerine yazmasını engellmek için ise Dynamic Host Configuration Identifier (DHCID) adı verilen ve 4701 ile 4703 RFC’lerinde belirtilen kurallar çerçevesinde yeni bir kayıt türü oluşturulmuştur. DHCPID ile bir ismin daha önce başka bir sistem tarafından alındığını doğrulamaya yarar. Böylelikle DHCPID’sini eşleşmeyen sistemlerin aynı ismi kullanarak daha önce yaratılmış olan kayıtlara sahip olması engellenmiş olur.
· Name Squatting için geliştirilen bu engellemenin çalışabilmesi için DNS zone’ları üzerine “secure-only” güncelleştirme seçilmiş olmalıdır. Ayrıca DHCP sunucusunun hem A/AAAA hem de PTR kayıtlarını güncelleştirmesi için scope özelliklerinde seçim yapılmış olması gerekmektedir.
· Bu özelliği etkinleştirmek için IPv4 veya IPv6 scope özelliklerinde DNS sekmesinde belirtilen Name Protection alanından Configure butonuna basarak yeni açılan pencerede Enable Name Protection seçimi yapılmalıdır. Seçim sonrası DNS sekmesinde yer alan seçenekler devre dışı kalacaktır.
8. Activity Logging (Sadece R2)
· 2000’den bu yana kullanılan Audit loglarına ek olarak “Activity” logging geliştirilmiştir. Farklı site’larda, binalarda hatta farklı katlarda hizmet veren DHCP sunucularının kontrol edilmesi ve özellikle de DHCP Administrator yetkilerine sahip kişiler tarafından yapılacak değişiklikleri takip etmek için kullanılmaktadır.
· Yapılan değişikliklerin hangi DHCP sunucusunda ve hangi Administrator hesabı ile yapıldığı Event Viewer üzerinde Applications and Services Logs > Microsoft > Windows > DHCP Server > Microsoft-Windows-DHCP Server Events/Operational altında yer alan bilgilerden takip edilebilir
9. DHCPv6 Option15 ve Option32 (Sadece R2 ve Windows7)
· DHCPv6 için iki yeni opsiyon eklenmiştir:
o Option 15 (User Class): DHCP istemci tarafından kullanılan bu opsiyon hangi kullanıcı veya uygulama tipini desteklediğini göstermektedir. Hem DHCP sunucu hem de DHCP istemci tarafından kullanılabilir.
o Option 32 (Information Refresh Time): DHCPv6 konfigürasyonuna ait bilgilerin yenilenmesi için istemcinin ne kadar süre bekleyeceğini belirtmektedir. Hem DHCP sunucu hem de DHCP istemci tarafından kullanılabilir.
Ayrıca DHCP servisinin kurulumunda ve scope eklenmesi sırasında kullanılan “sihirbaz” üzerinde de yöneticilerin işlemlerini kolaylaştıracak bazı özellikler eklenmiştir.
Buna ek olarak DHCP sunucusunun kullandığı veritabanına erişim için memory’nin kullanışı ve bunun kontrolü arttırılmıştır. Windows Server 2008 R2 önceki sürümlerde de olduğu gibi DHCP veritabanını (Jet Database) memory’de saklayarak dosya I/O’sunu azaltmayı amaçlamaktadır. R2’da memory kullanımı daha yoğundur ve ayrıca istenirse sunucusunun ne kadar memory kullanacağı registry üzerinden kontrol edilebilir. Varsayılan olarak DHCP sunucusu ne kadar kaynak kullanılacağını kendisi belirlemektedir. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DHCPServer\Parameters\JetDatabaseMaxCacheSize anahtarı ile üst ve alt seviyeler belirlenebilse de size tavsiyem varsayılan değerlerin değiştirilmemesidir. DHCP sunucusunun ne kadar kaynak kullanabileceğine dair kaygıları olan yöneticiler için DHCP test takımının yapmış olduğu testten verileri paylaşmak isterim.
6 GB RAM’I olan 2 Dual Core AMD 64 bit 2.2 üzerinde çalışan bir DHCP sunucusu üzerine 2,000,000 aktif kiralanmış istemciler eklenmiştir. Bu sistem saniyede 1500 yeni kiralama yapabilirken yine saniyede 7400 yenileme yapabilmektedir. Böylesi bir ortamda veritabanının boyutu sadece 875 MB olurken, memory’de tutulan kısmı ise 660 MB olmuştur. Özetle, sadece DHCP sunucusu olarak kullanılacak sistemlerde performans açısından bir sorun ile karşılaşma olasılığınız RAM veya Disk’lerinizde oluşabilecek hatalardan fazla değildir.
Alıntı: Technet