DHCP sunucularını yetkilendirme

Windows Server 2003 ailesi, Active Directory kullanan ağlar için tümleşik güvenlik desteği sağlar. Bu destek, aşağıdaki iyileştirmeleri sağlayarak temel dizin şemasının bir bölümü olan bir nesneler sınıfı ekleyip kullanır:

• Yetkisiz DHCP sunucularının algılanması ve bunların ağınızda başlatılmasının veya çalıştırılmasının engellenmesi.

• Ağınızda DHCP sunucusu olarak çalışmaları için yetkilendirdiğiniz bilgisayarlar tarafından kullanılabilecek IP adreslerinin listesi.
  

Aşağıdaki bölümlerde şu konular incelenmiştir:

• Yetkisiz DHCP sunucularının algılanması hakkında arka plan bilgileri.

• Bilgisayarları, DHCP hizmeti sağlamak üzere Active Directory'de yetkilendirme.

• Yetkisiz bir sunucuyu algılama ve DHCP hizmeti vermesini engelleme.

• Active Directory hizmetinin kullanılıp kullanılmamasına bağlı olarak, DHCP hizmetinin uygulanmasına ilişkin notlar ve sınırlamalar.

Yetkisiz DHCP sunucuları hakkında arka plan bilgileri

Doğru şekilde yapılandırıldığında ve bir ağda kullanılmak üzere yetkilendirildiğinde, DHCP sunucuları, kullanışlı ve hedeflenen bir yönetim hizmeti verir. Ancak, yanlış yapılandırılmış veya yetkisiz bir DHCP sunucusu ağınıza girerse, sorunlara yol açabilir. Örneğin, yetkisiz bir DHCP sunucusu başlatılırsa, istemcilere yanlış IP adresleri kiralamaya veya var olan adres kiralamalarını yenileme girişiminde bulunan DHCP istemcilerine olumsuz bildirimde bulunmaya başlayabilir.

Bu yapılandırmalardan biri, DHCP kullanımı etkinleştirilmiş olan istemcilerde başka sorunlara da yol açabilir. Örneğin, yetkisiz sunucudan yapılandırma kiralaması edinen istemciler, istemcilerin ağda başarılı bir şekilde oturumu açmasını engellediklerinden, geçerli etki alanı denetleyicilerinin yerini belirleyemeyebilirler.

Bu sorunları çözmek için Windows Server 2003 çalıştıran DHCP sunucularının yetkileri, istemcilere hizmet vermeden önce Active Directory'de doğrulanır. Bu, yanlış yapılandırılmış DHCP sunucularının veya yanlış ağ üzerindeki doğru yapılandırılmış DHCP sunucularının çalışmasıyla ortaya çıkan hasarın büyük bir bölümünü önler.

DHCP sunucuları nasıl yetkilendirilir

DHCP sunucusu bilgisayarlarını yetkilendirme işlemi, ağınızdaki sunucunun yüklü olan rolüne bağlıdır. Windows Server 2003 ailesinde, her sunucu bilgisayarın yüklenebileceği üç rol veya sunucu türü vardır:

• Etki alanı denetleyicisi. Bilgisayar, Active Directory veritabanının bir kopyasını tutup bakımını sürdürür ve etki alanı üyesi kullanıcılar ve bilgisayarlar için güvenli hesap yönetimi sağlar.

• Üye sunucusu. Bilgisayar etki alanı denetleyicisi olarak çalışmaz, ancak Active Directory veritabanında, üyelik hesabı bulunan bir etki alanına katılmıştır.

• Tek başına sunucu. Bilgisayar, etki alanı denetleyicisi olarak veya bir etki alanındaki üye sunucu olarak çalışmaz. Bunların yerine, sunucu bilgisayar, ağa, belirtilmiş bir çalışma grubu adıyla tanıtılır; bu çalışma grubu başka bilgisayarlar tarafından da kullanılır ama paylaştırılmış etki alanı kaynaklarında güvenli oturum açma erişimi sağlamak için değil, yalnızca göz atma amacıyla kullanılır.

Active Directroy'nin dağıtımını yaparsanız, DHCP sunucusu olarak çalışan tüm bilgisayarların yetkilendirilmeleri ve istemcilere DHCP hizmeti sağlayabilmeleri için önce etki alanı denetleyicileri veya etki alanı üyesi sunucular olmaları gerekir.

Önerilmemekle birlikte, yetkili bir DHCP sunucusu olan bir alt ağda bulunmadığı sürece tek başına bir sunucuyu DHCP sunucusu olarak kullanabilirsiniz. Tek başına bir DHCP sunucusu aynı alt ağdaki yetkili bir sunucuyu algılar ve DHCP istemcilerine IP adresi kiralamayı otomatik olarak durdurur.

DHCP sunucusu yükleme hakkında daha fazla bilgi için bkz: DHCP sunucusunu yükleme ve DHCP konsolunu açma.

Active Directory'de DHCP sunucusu yetkilendirme hakkında daha fazla bilgi için bkz: Active Directory’de DHCP sunucusu yetkilendirme.

Yönetim kimlik bilgileri için temsilcisi seçme hakkında daha fazla bilgi için bkz: DHCP sunucularını yetkilendirme yeteneğini kuruluş dışından bir yöneticiye verme.

Yetkisiz sunucular nasıl algılanır

Windows Server 2003 çalıştıran DHCP sunucuları, DHCP standardının aşağıdaki özel geliştirmelerini kullanarak, yetkili ve yetkisiz sunucuların algılanmasını sağlar:

• DHCP bilgi iletisi (DHCPINFORM) kullanılarak DHCP sunucuları arasında bilgi ileti sistemi kullanımı.

• Kök etki alanı hakkındaki bilgilerin iletişimi için, satıcıya özgü birkaç yeni seçenek türü eki.

Windows Server 2003 çalıştıran bir DHCP sunucusu, Active Directory'nin kullanılabilir durumda olup olmadığını belirlemek için aşağıdaki işlemi kullanır. Bir dizin hizmeti bulunursa, sunucu, üye sunucu veya tek başına sunucu olmasına bağlı olarak, aşağıdaki yordamla yetkilendirildiğinden emin olur.

• Üye sunucularda (kuruluşun parçası olan bir etki alanına katılan sunucu) DHCP sunucusu Active Directory'yi yetkili DHCP sunucusu IP adreslerinin listesi için sorgular.

Sunucu, yetkilendirilmişler listesinde kendi IP adresini bulursa, başlatılır ve istemcilere DHCP hizmeti vermeye başlar. Kendisini yetkilendirilmişler listesinde bulamazsa, başlatılmaz ve DHCP hizmeti vermeyi durdurur.

Çoklu orman ortamına yüklendiğinde, DHCP sunucuları yalnızca kendi ormanları içinde yetkilendirilme arar. Çoklu orman ortamındaki DHCP sunucuları, yetkilendirildikten sonra ulaşılabilir tüm istemcilere IP adresi kiralar. Bu nedenle, DHCP/BOOTP iletimi etkinleştirilmiş yönlendiriciler kullanılarak başka bir ormandaki istemcilere ulaşılırsa, DHCP sunucusu bunlara IP adresi kiralar.

Active Directory kullanılamıyorsa, DHCP sunucusu bilinen en son durumunda çalışmaya devam eder.

• Tek başına sunucularda (bir etki alanına veya varolan bir kuruluşun bir bölümüne dahil olmayan sunucu). DHCP hizmeti başlatıldığında, diğer DHCP sunucularının yüklenip yapılandırıldığı kök etki alanının konumunu belirlemek için, yerel sınırlı yayın adresini (255.255.255.255) kullanarak ulaşılabilir ağa DHCP bilgi iletisi (DHCPINFORM) isteği gönderir.

Bu ileti, Windows Server 2003 çalıştıran diğer DHCP sunucuları tarafından bilinen ve desteklenen, satıcıya özel çeşitli seçenek türleri içerir. Diğer DHCP sunucuları tarafından alındığında, bu seçenek türleri, kök etki alanı hakkındaki bilgilerin sorgulanmasını ve alınmasını etkinleştirir. Sorgulandığında diğer DHCP sunucuları, Active Directory kök etki alanı bilgilerinin bildirimi ve yanıtlanmasını DHCP bildirim iletileri (DHCPACK) ile gerçekleştirir.

Tek başına sunucu yanıt almazsa, başlatılır ve istemcilere DHCP hizmeti sağlamaya başlar. Tek başına sunucu Active Directory'de yetkili bir DHCP sunucusundan yanıt alırsa, başlatılmaz ve istemcilere DHCP hizmeti sağlamaz.

Yetkili sunucular algılama işlemini varsayılan olarak 60 dakikalık aralıklarla yineler. Yetkisiz sunucular algılama işlemini varsayılan olarak 10 dakikalık aralıklarla yineler.

Yetkisiz sunucuları algılama işlemleri, denetleme günlüğüne "Yanlışlık saptaması yeniden başlıyor" girişleri olarak kaydedilir.

Notlar;

• DHCP sunucularını yetkilendirme işlemi yalnızca Windows 2000 veya Windows Server 2003 çalıştıran DHCP sunucuları için yararlıdır.

• Windows Server 2003 çalıştıran bir DHCP sunucusu Windows NT 4.0 etki alanına yüklenirse, sunucu başlatılır ve dizin hizmetleri bulunmadığında DHCP istemcilerine hizmet vermeye başlar. Bununla birlikte, aynı alt ağda veya DHCP ya da BOOTP iletimi için yapılandırılmış yönlendiricileri olan bağlı bir ağda bir Windows Server 2003 etki alanı varsa, Windows NT 4.0 etki alanındaki DHCP sunucusu kendi yetkisiz durumunu algılar ve istemcilere IP adresi kiralamayı durdurur. DHCP sunucusunu Active Directory'de yetkilendirirseniz, Windows NT 4.0 etki alanındaki istemcilere DHCP hizmeti sağlayabilir.

• Dizin yetkilendirme işleminin düzgün çalışması için, ağınızda hizmete giren ilk DHCP sunucusunun Active Directory'de yer alması gerekir. Bu, sunucunun ya etki alanı denetleyicisi ya da üye sunucu olarak yüklenmiş olmasını gerektirir. Active Directory, Windows Server 2003 DHCP ile planlanırken veya dağıtılırken, ilk DHCP sunucusu olan bilgisayarınızın tek başına bir sunucu olarak yüklenmemesi gerekir.

• Çoğunlukla, tek bir kuruluş kökü vardır ve bu nedenle DHCP sunucularının dizin yetkilendirmesi için yalnızca tek bir nokta bulunur. Ancak, DHCP sunucularının birden çok kuruluş kökü için yetkilendirilmesine karşı bir sınırlama yoktur.

• DHCP sunucusunun tam etki alanı adı (FQDN) 64 karakteri aşamaz. DHCP sunucusunun FQDN'si 64 karakteri aşarsa, sunucuyu yetkilendirme denemesi başarısız olur ve "Kısıtlama ihlali oluştu" hata iletisi görüntülenir. DHCP sunucunuzun FQDN'si 64 karakteri aşarsa, sunucuyu FQDN'sinin yerine IP adresini kullanarak yetkilendirmeyi deneyin.

• Windows 2000 Server Service Pack 2 yüklenmemişse, Windows 2000 çalıştıran DHCP sunucularına Windows .NET yönetim araçları kullanılarak (DHCP konsolu ve DHCP için Netsh komutları) yetki verilemez.