Microsoft DHCP-Server: Installation & Konfiguration

• Page 1: Installation
• Page 2: Konfiguration
• Page 3: IPv6, Multicastbereich, Superscope, Failover-Techniken
• Page 4: DHCP-Relay-Agent, NAP, IPAM, Netsh, Powershell

Konfiguration

Ab Windows Server 2008 unterstützt Microsoft sowohl IPv4 als auch IPv6. Ebenso wurde in dieser Version MAC-Filterung, NAP und ab Windows Server 2012 zusätzlich IPAM-Integration und Zuweisungsrichtlinien eingeführt. Durch R2 wurde die vereinfachte IP-Reservierung integriert, wodurch eine aktive Lease als Vorlage einer Reservierung hergenommen werden kann.

Bevor wir aber näher auf diese Features eingehen, richten wir den ersten IPv4-Bereich ein. Dazu starten wir das DHCP Management, aufrufbar über das Startmenü oder den Befehl dhcpmgmt.msc. Dort klicken wir auf den Server bzw. auf den Knoten “IPv4”. Im Menupunkt “Aktion” findet sich der Bereichserstellungs-Assistent “Neuer Bereich…”. Alternativ nutzt man das Kontextmenü.

Der Name sollte den Bereich gut beschreiben.

Nach Festlegung von Name und Beschreibung kommt der essentielle Teil: der zu verwaltende IP-Adressbereich.

Ein Bereich besteht aus Start- und End-IP sowie der Subnetzmaske.

Infrastrukturdienste benötigen gelegentlich IP-Adressen, die nicht vergeben werden dürfen.

Einzelne IP’s oder ganze Ranges können von der Verteilung ausgenommen werden. Ausgeschlossene IP-Adressen werden vom DHCP-Server nicht verwendet. Sie dienen meist Infrastrukturdiensten oder Servern.

Die Leasedauer legt fest, wie lange eine IP an einen Client gebunden ist, ehe sie freigegeben wird. Dabei gilt es zu beachten, dass bei IP-Knappheit eine kürzere Dauer vorteilhaft ist. Dies führt allerdings zu mehr Broadcast-Verkehr, was die Netzwerkperformance (in der Summe) negativ beeinflussen kann.

Definiert wie lange ein DHCP-Client eine IP-Adresse behält, bevor sie erneuert oder freigegeben wird.

Nach diesem Schritt sind der Standardgateway und die (DNS-)Domäne und DNS-Server anzugeben. Sofern noch WINS (Namensauflösung, Vorgänger von DNS) verwendet wird, ist er in der Konfiguration zu hinterlegen.

Router dienen an Netzwerkgrenzen als Gateway und müssen dem DHCP-Client mitgeliefert werden.

Namensauflösung ist ein wichtiges Thema. Eine Fehlkonfiguration hat schwerwiegende Konsequenzen.

WINS ist veraltet und sollte nicht mehr verwendet werden.

Bevor ein Bereich IP-Adressen liefert, muss er aktiviert werden.

Durch die Aktivierung des IP-Bereichs lauscht der Server auf dem UDP-Port 67 nach Anfragen aus diesem Netz. Die untere Abbildung zeigt den frisch eingerichteten Bereich. Der Adresspool beinhaltet die zur Verteilung und die davon ausgenommenen IP-Adressbereiche. Unter Adressleases sind die aktiven und reservierten Leases zu finden.

Die Konsole ist der zentrale Punkt der DHCP-Administration

Reservierungen sind ein weiteres Mittel der Verteilungssteuerung. Während Ausschlüsse lediglich verhindern, dass Clients bestimmte IP-Adressen erhalten, werden in Reservierungen einem Gerät eine fest definierte Adresse zugewiesen. Die MAC ist der Identifier. Meldet sich ein Client am DHCP-Server, prüft dieser anhand der MAC ob eine Reservierung besteht. Ist das der Fall, wird die für ihn bestimmte IP angeboten. Vorteilhaft wenn ein Rechner DHCP nutzen soll und dennoch eine fest IP benötigt, bspw. für Firewall-Freischaltungen oder VPN-Einwahlen.

Man sollte sich vorab Gedanken über die Namensgebung machen, um später nicht im Chaos zu landen.

Die Optionen kann man nicht nur für Reservierungen anpassen.

Bisher liefert der Server nur Standardparameter aus. Jedoch kann er eine Vielzahl an Optionen ausliefern. So ist es möglich, vorab einen Zeit-, Mailserver oder andere Netzwerkeinstellungen mitzugeben. Wem all das nicht reicht, kann über “Vordefinierte Optionen einstellen…” den Server auf seine ganz eigenen Bedürfnisse anpassen.

Optionen wirken auf drei Ebenen: Server-, Bereichs- und Reservierungsoptionen. Dabei werden die Optionen vererbt, ergo von Server auf den Bereich und vom Bereich auf die Reservierungen. Auf jeder Ebene kann man die vererbten Einstellungen abändern.

Neu ab Windows Server 2012 sind Richtlinien-basierte Zuweisungen. Policies können ähnlich den Optionen auf zwei Ebenen wirken: server- und bereichsbezogen. Policies werden ebenfalls vererbt. Zudem kann die Priorität geregelt werden. Unter Angabe von definierten Voraussetzungen wie MAC oder Herstellerklasse, werden so andere Optionen angewandt. Bspw. können Geräte in einer Richtlinie gruppiert und mit abweichenden Optionen versehen werden.

Bedingungen filtern die Empfänger der Richtlinie.

Der Richtlinie werden nun die Optionen eingerichtet.

Der Assistent fasst, wie bei Microsoft üblich, alle Einstellungen zusammen.

Filter wurden mit Windows Server 2008 eingeführt. Es erlaubt Rechner explizit von der DHCP-Versorgung auszunehmen oder zu genehmigen. Filter werden anhand der MAC-Adresse gesetzt. Die Funktion ist standardmäßig deaktiviert. Zum aktivieren und konfigurieren erweitert man den Knoten “Filter” und wählt die entsprechende Aktion im Kontextmenü aus.

Filter müssen erst aktiviert werden, bevor man sie nutzen kann.

Einen Rechner von der IP-Vergabe ausschließen.

Das Verhalten hinsichtlich MAC-Spoofing ist derzeit noch nicht bekannt, vermutlich läßt sich so eine Sperrung umgehen. Daher sollte der MAC-Filter nur im Zusammenhang mit Netzwerkgeräten eingesetzt werden, welche MAC-Spoofing erkennen und das Gerät vom Netzwerk isolieren.

• Page 1: Installation
• Page 2: Konfiguration
• Page 3: IPv6, Multicastbereich, Superscope, Failover-Techniken
• Page 4: DHCP-Relay-Agent, NAP, IPAM, Netsh, Powershell