[an error occurred while processing this directive] Предотвращение появления случайных DHCP-серверов в сети с помощью авторизации DHCP-серверов в доменных службах Active Directory (AD DS)

[an error occurred while processing this directive]

В Windows Server® 2008 авторизация DHCP-серверов обеспечивается путем интеграции службы «DHCP-сервер» с Active Directory. Наличие в сети неавторизованного DHCP-сервера может привести к нарушению сетевых операций, связанному с выделением неверных адресов или неправильными параметрами конфигурации. DHCP-сервер, который является контроллером домена или членом домена Active Directory, запрашивает в Active Directory список авторизованных серверов (идентифицируемых по IP-адресу). Если IP-адрес самого сервера не включен в список авторизованных DHCP-серверов, служба «DHCP-сервер» не сможет выполнить последовательность запуска, и ее работа будет автоматически завершена.

С такой проблемой часто сталкиваются сетевые администраторы, предпринимающие попытку установить и настроить DHCP-сервер в среде Active Directory без предварительной авторизации этого сервера.

Если DHCP-сервер не является членом домена Active Directory, служба «DHCP-сервер» отправляет широковещательное сообщение DHCPInform для запроса сведений о корневом домене Active Directory, в котором установлены и настроены другие DHCP-серверы. В ответ остальные DHCP-серверы в сети направляют сообщение DHCPAck, содержащее сведения, используемые запрашивающим DHCP-сервером для обнаружения корневого домена Active Directory. Затем первый DHCP-сервер запрашивает в Active Directory список авторизованных DHCP-серверов и в том случае, если его адрес включен в данный список, запускает службу «DHCP-сервер».

Принцип действия авторизации

Процедура авторизации DHCP-серверов зависит от установленной роли сервера в сети. Есть три роли или типа сервера, для которых может быть установлен компьютер сервера:

  • Контроллер домена. Такой компьютер хранит и поддерживает копию базы данных Active Directory, а также обеспечивает безопасное управление учетными записями для пользователей и компьютеров, являющихся членами домена.

  • Рядовой сервер. Такой компьютер не действует в качестве контроллера домена, однако он присоединен к домену, где он обладает учетной записью участника в базе данных Active Directory.

  • Изолированный сервер. Такой компьютер не выступает в качестве контроллера домена или рядового сервера в домене. Вместо этого данный сервер идентифицируется в сети с помощью указанного имени рабочей группы, которое может быть одновременно присвоено нескольким компьютерам, однако используется только для поиска компьютера и не обеспечивает защищенный доступ к общим ресурсам в домене.

При развертывании службы каталогов Active Directory все компьютеры, действующие в качестве DHCP-серверов, должны быть назначены контроллерами домена или рядовыми серверами в домене, чтобы пройти авторизацию и начать предоставление услуг DHCP своим клиентам.

Изолированный сервер можно использовать в качестве DHCP-сервера, если он не находится в подсети, где есть авторизованные DHCP-серверы, хотя такой подход не рекомендуется. Если изолированный DHCP-сервер обнаружит в своей подсети авторизованный сервер, он автоматически прекратит выдачу IP-адресов DHCP-клиентам.

Дополнительные ресурсы

Список разделов справки, содержащих связанные с данным разделом сведения, см. в статье Рекомендованные задачи для роли DCHP-сервера.

Обновленные профессиональные сведения о DHCP см. в документации Windows Server 2008 на веб-сайте Microsoft TechNet (на английском языке).


[an error occurred while processing this directive]