Авторизация серверов DHCP

В крупной корпоративной сети в целях обеспечения отказоустойчивости может быть установлено несколько серверов DHCP. При этом достаточно часто администратор не имеет возможности проследить за тем, как обрабатываемые клиенты получают свои адреса. Возможна ситуация, когда при существовании в сети нескольких серверов DHCP осуществляется распределение одинаковых IP-адресов, что в итоге приводит к неправильной конфигурации клиентов. В большинстве случаев это возникает при неправильном планировании сети. Однако нельзя исключить тот вариант, когда второй сервер DHCP установлен лицом, не имеющим на это права. При этом несанкционированная установка сервера может мотивироваться двумя основными причинами: саботажем работы ИС или необоснованным желанием повысить эффективность работы сети (в большинстве случаев такая инициатива приводит к полному сбою в работе сети).

Теоретически злоумышленник может установить в сети ряд других служб, но ни одна из них не может принести столько вреда, сколько установка лишнего сервера DHCP. Для того чтобы разрешить эту проблему, сервер DHCP должен быть авторизирован. Контроль над авторизацией серверов осуществляется следующим образом. Служба DHCP при запуске обращается к списку IP-адресов авторизированных серверов DHCP. Этот список создается администратором для Windows 2000/2003 с помощью службы каталога Active Directory (глобального каталога, хранящего всю информации о сети). При запуске службы сервер обращается к базе данных глобального каталога. Если он находит в ней свой IP-адрес, то работа службы поддерживается. В противном случае инсталлированная на компьютере служба DHCP запущена быть не может. Однако механизм авторизации поддерживается только в сетях под управлением Windows 2000/2003. В операционной системе Windows NT 4.0 такая функция отсутствует.

В ОС Windows 2000/2003 реализована новая концепция управления, позволяющая администратору сети делегировать некоторым пользователям определенную часть своих полномочий, касающихся обслуживания сервера DHCP:

1. группе администраторов (DHCP Administrators). Члены этой группы имеют полный доступ к настройкам сервера DHCP. В корпоративной сети, насчитывающей десятки тысяч пользователей, это позволяет снизить нагрузку на администратора, передав право управления серверами DHCP отдельной группе;

2. группе пользователей (DHCP Users). Члены этой группы имеют право только на чтение информации, содержащейся в базе данных серверов DHCP. При этом они не имеют никакой возможности изменить конфигурацию сервера или добавить в сеть дополнительный сервер DHCP.