在大型网络中,往往不只一个网络管理员。各个网络管理员分工合作,各司其责。所以,我们网络管理员不希望其他的同伙,如防火墙管理人员能够管理其不应该管理的DHCP服务器。也就是说,我们要把DHCP服务器的管理员设置在最小范围之内。
在实际工作中,有些网络管理员可能比价喜欢偷懒,没有具体区分每个管理员的工作范围;在帐户上,也没有区分彼此的权限。如在域环境中,有些网络管理员就直接设置了一个管理员组。在这个管理员组中所有用户对所有的网络设备与服务器都具有管理的权限。笔者认为,如此的吃大锅饭的做法,是比较不合适的,危险的隐患比较大。下面笔者就以微软的域环境为例,谈谈如何把DHCP服务器的管理员角色跟其他的管理员角色区分开来。
首先,我们在管理工具中,找到“域安全策略”管理工具,双击打开这个工具。在弹出的对话框中,依次打开Windos设置、安全设置、受限制的组。然后新添加一个组。在弹出的对话框中,输入DHCP Administrators。然后,点确定保存。如此的话,只有这个组中的用户对DHCP服务器具有管理的权限。其他组的用户,即使具有其他服务器的管理权限,也无法管理DHCP服务。
其次,就是新建管理员用户,并把它加入到这个DHCP管理员组中。在DHCP Administrators组中,选择“安全性”,在弹出的对话框中,选择“添加”,并把我们刚才建立的用户加入到这个组中。如此的话,我们就可以把DHCP服务器管理员尽量的缩小。我们的目标就是企业网络可能有多个管理员,但是,DHCP服务器只有一个管理员。这么设计,对于DHCP的安全性与稳定性是非常有帮助的。
第四步:做好DHCP服务器相关设置的备份工作。
在DHCP服务器中,进行的一些相关配置,我们都需要进行备份。如地址池中有哪些可以分配的地址,哪些ip地址是不能够被分配的;如租约的期限是多少;如是否有IP地址跟MAC地址绑定的设置;等等。对于这些内容的话要及时的进行备份,并且随着DHCP服务器的调整及时的进行改写。如此的话,当DHCP服务器出现故障的时候,我们可以在短时间内建立起一个新的DHCP服务器,从而减少因为DHCP服务器故障给企业网络带来的不利影响。
另外,有些企业还会给网络设置一个冗余的DHCP服务器。当这个DHCP服务器出现故障的话,另外一个DHCP服务器可能马上接替其进行工作。当然,这个冗余的DHCP服务器其是跟主服务器同步的。主服务器的相关配置的调整会及时的反应到冗余服务器上面。其实,这也是一个DHCP服务器的热备份。不过,企业到底有没有需要建立一个冗余的DHCP服务器呢?这主要是根据企业的实际情况来判断的。因为由于租约的概念,到租约没有到期,其实DHCP服务器出现短期的故障,也没有多大的影响。这跟其他的服务器,如应用程序服务期或不同。这些服务器出现故障的时候,大部分业务将无法运行。所以,这些应用程序服务期要能够保障在工作日内安全稳定的运行。所以,DHCP服务器的话,出现短时的故障,一般不会给企业网络带来致命的影响。但是,这有个前提,就是在短期之内。若网络管理员能够保证在短时间内修复或者重建DHCP服务器的话,则建立一个冗余的DHCP服务器就没有多少必要了。当然这是笔者个人观点。
总之,随着企业DHCP服务器应用越来越广泛,而且,在DHCP服务上也能够进行一些智能的控制,如IP地址与MAC地址绑定等等。所以,现在DHCP服务器也逐渐在成为黑客与其他不法攻击者所关注的对象。为此,网络管理员现在也要开始做好DHCP服务器的安全性设计。上面是笔者自己在DHCP服务器管理上的一些心得。也许说的不够全面,但是句句都是金玉良言,是经验之谈。