管理和监视动态主机配置协议.ppt

第二章: 管理和监视动态主机配置协议(DHCP),概述,管理DHCP数据库 监视DHCP 实施DHCP安全的指导原则,2.1 管理DHCP数据库,什么是DHCP数据库？ DHCP数据库怎样被备份和恢复 如何备份和恢复DHCP数据库 DHCP数据库怎样被协调 如何协调DHCP数据库,2.1.1 什么是DHCP数据库？,DHCP数据库是一种动态数据库，在 DHCP 客户机获得或者释放TCP/IP地址租约时被更新,DHCP数据库包含DHCP的配置信息，如：作用域、地址保留、DHCP选项、租约等 Windows Server 2003把DHCP数据库保存在%systemroot%System32Dhcp文件夹中 DHCP数据库文件包括:,DHCP.mdb Tmp.edb J50.log and J50*.log,Res*.log J50.chk,如果原始的数据库不能加载，DHCP服务会自动从本地硬盘的备份文件夹中执行恢复,管理员把备份的DHCP数据库移动到离线的存储地点,如果服务器的硬件出现故障，管理员可以从离线的存储地点执行恢复,DHCP服务每隔60分钟在本地的备份文件夹中自动备份DHCP数据库,2.1.2 DHCP数据库怎样被备份和恢复,2.1.3 如何备份和恢复DHCP数据库,教师将演示如何:,配置DHCP数据库的备份路径 把DHCP数据库手工备份到本地驱动器的备份路径中 从本地驱动器的备份路径中手工恢复DHCP数据库,2.1.4 DHCP数据库怎样被协调,DHCP服务器,DHCP 数据库,注册表,IP地址租约的摘要信息,IP地址租约的详细信息,对信息进行比较，查找不一致的内容,在DHCP数据库中协调不一致的内容,2.1.5 如何协调DHCP数据库,教师将演示如何:,准备协调DHCP数据库 协调DHCP数据库中的所有作用域 协调DHCP数据库中的一个作用域,2.2 监视DHCP,什么是DHCP统计信息？ 如何查看DHCP统计信息 什么是DHCP审核日志文件？ DHCP审核记录如何工作 如何使用DHCP审核日志监视DHCP服务器性能 监视DHCP服务器性能的常用性能计数器,2.2.1 什么是DHCP统计信息？,DHCP统计信息，描述了从DHCP服务启动以来所收集到的有关服务器和作用域的信息,DHCP服务器,2.2.2 如何查看DHCP统计信息,教师将演示如何:,启用DHCP统计信息的自动更新 查看DHCP服务器的统计信息 查看DHCP作用域的统计信息,2.2.3 什么是DHCP审核日志文件？,DHCP审核日志文件，记录了在以下情况时与DHCP服务相关的事件，如：当DHCP服务启动和终止时 ；当授权被校验完毕后 ；当IP地址被租借、续订、释放或被拒绝分配时,2.2.4 DHCP审核记录如何工作,3. DHCP 关闭每天 的审核日志,2. DHCP执行磁盘检查,1. DHCP 打开每天的 审核日志,DHCP服务器在审核日志文件中写入头信息，表明日志开始,磁盘检查能够确保服务器磁盘空间的可用性以及当前审核日志文件不会变得太长或日志文件增长得不会太快,DHCP服务器关闭当前的日志文件，并且打开本周下一天的日志文件,DHCPSrvLog-Mon.Log,DHCPSrvLog-Tue.Log,审核记录，用于每天收集DHCP服务器的事件然后记录到日志文件中,12:00 am,2.2.5 如何使用DHCP审核日志监视DHCP服务器性能,教师将演示如何:,启动和配置DHCP审核记录 查看DHCP审核日志,2.2.6 监视DHCP服务器性能的常用性能计数器,2.3 实施DHCP安全的指导原则,限制未授权用户获得租约的指导原则 限制未授权的非Microsoft的DHCP服务器为客户机分配IP地址的指导原则 限制有权管理DHCP服务的用户的指导原则 保护DHCP数据库的指导原则,2.3.1 限制未授权用户获得租约的指导原则,为了限制未授权的用户获得租约，应该：,确保未经授权的人不能以物理方式或无线方式访问网络,为网络中的每个DHCP服务器启动审核日志记录,定期查看审核日志文件,使用启动了802.1X的局域网交换机或无线网关访问网络,2.3.2 限制未授权的非Microsoft的DHCP服务器为客户机分配IP地址的指导原则,为了限制未授权的非Microsoft的DHCP服务器为客户机分配IP地址，应该：,确保未授权的人不能以物理方式或无线方式访问网络,Microsoft的DHCP服务器 只有运行Windows 2000或Windows Server 2003的DHCP服务器才能在活动目录中被授权 未授权的非Microsoft的DHCP服务器 非Microsoft的DHCP服务器不具有Windows2000和Windows Server2003的DHCP服务器所具有的授权功能,2.3.3 限制有权管理DHCP服务的用户的指导原则,为了限制有权管理DHCP服务的用户，应该：,限制需要管理DHCP服务的DHCP Administrators组的成员数量为最少,如果有用户需要以只读的方式访问DHCP控制台，则应该把他们添加到DHCP Users组，而不是DHCP Administrators组,2.3.4 保护DHCP数据库的指导原则,为了进一步保护DHCP数