二章节管理和监视动态主机配置协议DHCP

1、第二章第二章: 管理和监视动态主机配置管理和监视动态主机配置协议协议(dhcp)概述概述l管理管理dhcp数据库数据库 l监视监视dhcp l实施实施dhcp安全的指导原则安全的指导原则 2.1 管理管理dhcp数据库数据库 l什么是什么是dhcp数据库？数据库？ ldhcp数据库怎样被备份和恢复数据库怎样被备份和恢复 l如何备份和恢复如何备份和恢复dhcp数据库数据库 ldhcp数据库怎样被协调数据库怎样被协调 l如何协调如何协调dhcp数据库数据库 2.1.1 什么是什么是dhcp数据库？数据库？ dhcp数据库数据库是一种动态数据库，在是一种动态数据库，在 dhcp 客户机获得或客户机获

2、得或者释放者释放tcp/ip地址租约时被更新地址租约时被更新 ldhcp数据库包含数据库包含dhcp的配置信息，如：作用域、的配置信息，如：作用域、地址保留、地址保留、dhcp选项、租约等选项、租约等lwindows server 2003把把dhcp数据库保存在数据库保存在%systemroot%system32dhcp文件夹中文件夹中 ldhcp数据库文件包括数据库文件包括: dhcp.mdb tmp.edb j50.log and j50*.log res*.log j50.chk如果原始的数据库不能加载，如果原始的数据库不能加载，dhcp服务会自动从本地硬盘服务会自动从本地硬盘的备份文

3、件夹中执行恢复的备份文件夹中执行恢复管理员把备份的管理员把备份的dhcp数据库移动到离线的存储地点数据库移动到离线的存储地点如果服务器的硬件出现故障，管理员可以从离线的存储地点如果服务器的硬件出现故障，管理员可以从离线的存储地点执行恢复执行恢复dhcp服务每隔服务每隔60分钟在本地的备份文件夹中自动备份分钟在本地的备份文件夹中自动备份dhcp数据库数据库 dhcp服务器服务器dhcpdhcp离线存储离线存储2.1.2 dhcp数据库怎样被备份和恢复数据库怎样被备份和恢复备份备份恢复恢复备份备份恢复恢复2.1.3 如何备份和恢复如何备份和恢复dhcp数据库数据库 教师将演示如何教师将演示如何:配

4、置配置dhcp数据库的备份路径数据库的备份路径 把把dhcp数据库手工备份到本地驱动器的备份数据库手工备份到本地驱动器的备份路径中路径中 从本地驱动器的备份路径中手工恢复从本地驱动器的备份路径中手工恢复dhcp数数据库据库 2.1.4 dhcp数据库怎样被协调数据库怎样被协调举例举例摘要信息摘要信息详细信息详细信息被协调的被协调的dhcp数据库数据库客户机具有ip地址： 192.168.1.34ip地址： 192.168.1.34 是可用的建立一个激活的租约项目dhcp服务器服务器dhcp数据库数据库注册表注册表ip地址租约的地址租约的摘要信息摘要信息ip地址租约的地址租约的详细信息详细信息对

5、信息进行比较，对信息进行比较，查找不一致的内容查找不一致的内容在在dhcp数据库中数据库中协调不一致的内容协调不一致的内容2.1.5 如何协调如何协调dhcp数据库数据库 教师将演示如何教师将演示如何:准备协调准备协调dhcp数据库数据库协调协调dhcp数据库中的所有作用域数据库中的所有作用域 协调协调dhcp数据库中的一个作用域数据库中的一个作用域 2.2 监视监视dhcp l什么是什么是dhcp统计信息？统计信息？ l如何查看如何查看dhcp统计信息统计信息 l什么是什么是dhcp审核日志文件？审核日志文件？ ldhcp审核记录如何工作审核记录如何工作 l如何使用如何使用dhcp审核日志监

6、视审核日志监视dhcp服务器性能服务器性能 l监视监视dhcp服务器性能的常用性能计数器服务器性能的常用性能计数器 2.2.1 什么是什么是dhcp统计信息？统计信息？ dhcp统计信息，统计信息，描述了从描述了从dhcp服务启动以来所收集到的服务启动以来所收集到的有关服务器和作用域的信息有关服务器和作用域的信息 dhcp服务器服务器2.2.2 如何查看如何查看dhcp统计信息统计信息 教师将演示如何教师将演示如何:启用启用dhcp统计信息的自动更新统计信息的自动更新 查看查看dhcp服务器的统计信息服务器的统计信息 查看查看dhcp作用域的统计信息作用域的统计信息 2.2.3 什么是什么是d

7、hcp审核日志文件？审核日志文件？ dhcp审核日志文件审核日志文件，记录了在以下情况时与，记录了在以下情况时与dhcp服务相关的事件，服务相关的事件，如：当如：当dhcp服务启动和终止时服务启动和终止时 ；当授权被校验完毕后；当授权被校验完毕后 ；当；当ip地址被地址被租借、续订、释放或被拒绝分配时租借、续订、释放或被拒绝分配时2.2.4 dhcp审核记录如何工作审核记录如何工作 3. dhcp 关闭每天关闭每天的审核日志的审核日志2. dhcp执行磁盘检查执行磁盘检查1. dhcp 打开每天的打开每天的审核日志审核日志dhcp服务器在审核日服务器在审核日志文件中写入头信息，志文件中写入头信

8、息，表明日志开始表明日志开始 磁盘检查能够确保服务器磁盘空间的磁盘检查能够确保服务器磁盘空间的可用性以及当前审核日志文件不会变可用性以及当前审核日志文件不会变得太长或日志文件增长得不会太快得太长或日志文件增长得不会太快 dhcp服务器关闭当前服务器关闭当前的日志文件，并且打开的日志文件，并且打开本周下一天的日志文件本周下一天的日志文件dhcpsrvlog-mon.logdhcpsrvlog-tue.log审核记录审核记录，用于每天收集，用于每天收集dhcp服务器的事件然后记录服务器的事件然后记录到日志文件中到日志文件中 12:00 am2.2.5 如何使用如何使用dhcp审核日志监视审核日志监

9、视dhcp服务服务器性能器性能 教师将演示如何教师将演示如何:启动和配置启动和配置dhcp审核记录审核记录 查看查看dhcp审核日志审核日志 2.2.6 监视监视dhcp服务器性能的常用性能计数服务器性能的常用性能计数器器 性能计数器性能计数器建立了性能基线后监视什么建立了性能基线后监视什么 packets received/second监视该指标的突然增加或减少，这表明了网络出现的问题 requests/second监视该指标的突然增加或减少，这表明了网络出现的问题 active queue length监视该指标的突然增加和缓慢增加，这反映了负载增加或服务器能力下降 duplicates

10、dropped/second监视该指标的任何活动，这表明替客户机提交了多个请求 2.3 实施实施dhcp安全的指导原则安全的指导原则 l限制未授权用户获得租约的指导原则限制未授权用户获得租约的指导原则 l限制未授权的非限制未授权的非microsoft的的dhcp服务器为客户机分服务器为客户机分配配ip地址的指导原则地址的指导原则 l限制有权管理限制有权管理dhcp服务的用户的指导原则服务的用户的指导原则 l保护保护dhcp数据库的指导原则数据库的指导原则 2.3.1 限制未授权用户获得租约的指导原则限制未授权用户获得租约的指导原则 为了限制未授权的用户获得租约，应该：为了限制未授权的用户获得租

11、约，应该：确保未经授权的人不能以物理方式或无线方式访确保未经授权的人不能以物理方式或无线方式访问网络问网络 为网络中的每个为网络中的每个dhcp服务器启动审核日志记录服务器启动审核日志记录 定期查看审核日志文件定期查看审核日志文件 使用启动了使用启动了802.1x的局域网交换机或无线网关访的局域网交换机或无线网关访问网络问网络 2.3.2 限制未授权的非限制未授权的非microsoft的的dhcp服务服务器为客户机分配器为客户机分配ip地址的指导原则地址的指导原则 为了限制未授权的非为了限制未授权的非microsoft的的dhcp服务器为客服务器为客户机分配户机分配ip地址，应该：地址，应该：

12、确保未授权的人不能以物理方式或无线方式访问确保未授权的人不能以物理方式或无线方式访问网络网络 microsoft的的dhcp服务器服务器只有运行只有运行windows 2000或或windows server 2003的的dhcp服务器服务器才能在活动目录中被授权才能在活动目录中被授权未授权的非未授权的非microsoft的的dhcp服务器服务器非非microsoft的的dhcp服务器不具有服务器不具有windows2000和和windows server2003的的dhcp服务器所具有的授权功能服务器所具有的授权功能 2.3.3 限制有权管理限制有权管理dhcp服务的用户的指导服务的用户的指导原则原则 为了限制有权管理为了限制有权管理dhcp服务的用户，应该：服务的用户，应该：限制需要管理限制需要管理dhcp服务的服务的dhcp administrators组组的成员数量为最少的成员数量为最少如果有用户需要以只读的方式访问如果有用户需要以只读的方式访问dhcp控制台，控制台，则应该把他们添加到则应该把他们添加到dhcp users组，而不是组，而不是dhcp administrators组组dhcp users组组只能以只读的方式访问dhcp控制台dhcp administrators组组可以查看和修改dhcp服务器的任何数据2.3.4 保护保护dhcp数据库的指导原则数据库的