Đề tài Tìm hiểu về DHCP và DNS

Dịch vụ Routing & Remote Access của Windows Server 2003 hỗ trợ tính năng cấu hình như một DHCP Relay Agent nên chúng ta không cần cài thêm chương trình khác, mà chỉ cần kích hoạt tính năng này trong Routing & Remote Access. Để hiểu lý do phải sử dụng DHCP Relay Agent Microsoft đưa ra các chiến lược sau:

 

• Nếu mỗi mạng chúng ta dựng lên 1 DHCP Server thì tốn kém và không cần thiết, việc bảo trì cũng như quản lý rất khó khăn.

 

• Có thể cấu hình Router để các tín hiệu Broadcast đi qua nhưng việc này sẽ gây những rắc rối khi hệ thống mạng gặp trục trặc. Thêm nữa là lưu lượng các gói tín Broadcasd quá nhiều sẽ làm tắt nghẽn hệ thống mạng.

 

doc58 trang | Chia sẻ: maiphuongdc | Lượt xem: 10165 | Lượt tải: 2download
Bạn đang xem trước 20 trang tài liệu Đề tài Tìm hiểu về DHCP và DNS, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
là ipconfig /renew. Khi đó nó sẽ gởi một DHCPREQUEST đến DHCP server để update thông tin về cấu hình, và thời gian đăng ký mới. Và ngược lại, nếu ta không muốn đăng ký cái IP address này nữa ta có thể đánh lệnh ipconfig /release. Lúc này, nó sẽ gởi đến DHCP server một DHCPRELEASE. Sau lệnh này, client sẽ không còn liên lạc với network bằng TCP/IP nữa. 4. DHCP Replay Agent là gì ? DHCP Replay Agent là một máy tính hoặc một Router được cấu hình để lắng nghe và chuyển tiếp các gói tin giữa DHCP Client và DHCP Server từ subnet này sang subnet khác. Dịch vụ Routing & Remote Access của Windows Server 2003 hỗ trợ tính năng cấu hình như một DHCP Relay Agent nên chúng ta không cần cài thêm chương trình khác, mà chỉ cần kích hoạt tính năng này trong Routing & Remote Access. Để hiểu lý do phải sử dụng DHCP Relay Agent Microsoft đưa ra các chiến lược sau: • Nếu mỗi mạng chúng ta dựng lên 1 DHCP Server thì tốn kém và không cần thiết, việc bảo trì cũng như quản lý rất khó khăn. • Có thể cấu hình Router để các tín hiệu Broadcast đi qua nhưng việc này sẽ gây những rắc rối khi hệ thống mạng gặp trục trặc. Thêm nữa là lưu lượng các gói tín Broadcasd quá nhiều sẽ làm tắt nghẽn hệ thống mạng. 5. Qui trình xử lý thông tin từ DHCP Relay Agent: b1. Client Broadcasts gói tin DHCP Discover trong nội bộ mạng. b2. DHCP Relay Agent trên cùng mạng với Client sẽ nhận gói tin đó và chuyển đến DHCP server bằng tín hiệu Unicast. b3. DHCP server dùng tín hiệu Unicast gởi trả DHCP Relay Agent một gói DHCP Offer b4. DHCP Relay Agent Broadcasts gói tin DHCP Offer đó đến các Client b5. Sau khi nhận được gói tin DHCP Offer, client Broadcasts tiếp gói tin DHCP Request. b6. DHCP Relay Agent nhận gói tin DHCP Request đó từ Client và chuyển đến DHCP server cũng bằng tín hiệu Unicast. b7. DHCP server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay Agent một gói DHCP ACK. b8. DHCP Relay Agent Broadcasts gói tin DHCP ACK đến Client. Đến đây là hoàn tất quy trình tiếp nhận xử lý và chuyển tiếp thông tin của DHCP Relay Agent. 6. Cài đặt và cấu hình DHCP trong window -Một máy tính sau khi cài đặt và cấu hình dịch vụ DHCP thì máy tính đó trở thành DHCP server.Điều kiện để cài đặt là máy tính này phải chạy hệ điều hành Windows Server. -Các máy tính trong hệ thống mạng,sau khi được cấu hình nhận địa chỉ IP động từ DHCP server gọi là DHCP client. ở đây DHCP được cài đặt và cấu hình trên Windown Server 2003 Chọn Start - - > Chọn Control Hộp thoại hiện ra chọn Add or Remove Programs Chọn Add/Remove Windows Components Nhấp vào ô vuông cho hiện dấu v ở Networking Service Sẽ hiện ra hộp thoại như trên ta chọn ok Chọn Finish để hoàn tất bước cài đặt Chọn Start - ->Programs - -> Administrative Tools - -> DHCP Trong cửa sổ DHCP,nhấn chuột phải lên biểu tượng server của bạn và chọn mục New Scope trong popup menu. Hộp thoại New Scope Wizard xuất hiện.Nhấn chọn Next. Trong hộp thoại Scope Name, bạn nhập vào tên và chú thích, giúp cho việc nhận diện ra Scope này. Sau đó nhấn chọn Next Hộp thoại IP Address Range xuất hiện: Bây giờ ta xét một mô hình mạng 192.168.1.1/24 mà tại đây ta đã dựng một DHCP Server và tiến hành cấu hình cho DHCP Server này cấp phát IP cho các máy Client trong cùng mạng với nó bạn nhập vào địa chỉ bắt đầu và kết thúc của danh sách địa chỉ cấp phát. Sau đó bạn chỉ định Subnet mask bằng cách cho biết số bit 1 hoặc nhập vào chuỗi số. Nhấn chọn Next Trong hộp thoại Add Exclucions, bạn cho biết những địa chỉ nào sẽ bị loại ra khỏi nhóm địa chỉ đã chỉ định ở trên. Các địa chỉ loại ra này được dùng để đặt cho các máy tính dùng địa chỉ tĩnh hoặc để dành cho mục đích nào đó. Để loại một địa chỉ duy nhất bạn chỉ cần cho biết một địa chỉ trong ô Start IP Address và nhấn add. Để loại một nhóm địa chỉ bạn cho biết chỉ số bắt đầu và kết thúc của nhóm đó trong Start IP Address và End IP Address, sau đó nhấn Add. Nút Remove dùng để hủy một hoặc một nhóm các địa chỉ ra khỏi danh sách trên. Chọn Next tiếp Trong hộp thoại Lease Duration tiếp theo, bạn cho biết thời gian các máy trạm có thể sử dụng địa chỉ IP này. Theo mặc định, một máy Client sẽ cố làm mới lại địa chỉ khi đã sử dụng được phân nữa thời gian cho phép mặc định là 8 ngày. Bạn có thể chỉ định lượng thời gian khác tùy theo nhu cầu. Nhấn để chọn giá trị mặc định. Hộp thoại Configure DHCP Option xuất hiện. Bạn có thể đồng ý để cấu hình các tùy chọn phổ biến(chọn Yes, I want to configure these options now) hoặc không đồng ý, để việc thiết lập này sau(chon No, I will to configure these options later). Ta chọn mục đồng ý và click Next. Trong hộp thoại Router(Default Gateway), bạn cho biết địa chỉ IP của default gateway mà các máy DHCP Client sẽ sử dụng và nhấn Add. Sau đó nhấn Next Trong hộp thoại Domain Name and DNS Server,bạn sẽ cho biết tên Domain mà các máy Client DHCP sẽ sử dụng, đồng thời cũng cho biết địa chỉ IP của DNS server dùng phân giải tên. Sau khi đã cấu hình xong, nhấn Next để tiếp tục. Trong hộp thoại WINS Server tiếp theo, bạn có thể cho biết địa chỉ củaWIN Server chính và phụ dùng phân giải các tên NetBIOS thành địa chỉ IP. Sau đó nhấn chọn Next. Ở đây ta bỏ qua bước này và click Next để tiếp tục. Tiếp theo hộp thoại Activate Scope xuất hiện, hỏi bạn có muốn kích hoạt Scope này hay không. Scope chỉ có thể cấp địa chỉ cho các máy Client khi được kích hoạt. nếu muốn định cấu hình thêm các thông tin tùy chọn cho Scope thì chưa nên kích hoạt bây giờ. Sau khi chọn xong ta click Next. Trong hộp thoại Complete the New Scope Wizard, nhấn chọn Finish để kết thúc. Đây là màn hình sau khi cấu hình địa chỉ IP cấp cho các DHCP Client. Như vậy ta đã hoàn tất xong việc cấu hình DHCP Bây giờ bật Client lên và chuyển IP của máy này sang dạng Obtain an IP Address automatically Công việc này đồng nghĩa với máy client sẽ không có địa chỉ IP và hiển nhiên cứ 5 phút một lần Windows sẽ tự động broadcasts đến toàn bộ các máy trong hệ thống mạng để xin địa chỉ IP nếu tìm thấy máy DHCP Server và được cấp IP thì nó sẽ lấy IP đó sử dụng và ngược lại không tìm được thì nó sẽ tự gán cho mình một IP tạm thời Tiếp theo ta cấu hình DHCP server luôn cập nhập động các resource record. Từ DHCP server , right click chọn properties … Sau đó chọn DNS rồi check vào Always dynamically update….và Dynamically update DNS A Rồi chọn OK 7. Cấp phép (authorize) một DHCP service Bạn phải cấp phép (hay còn gọi là ủy quyền) một DHCP server trước khi nó có thể thực hiện việc cho DHCP client thuê địa chỉ IP. Việc yêu cầu cấp phép cho các DHCP server sẽ ngăn chặn việc các DHCP server có khả năng cung cấp các địa chỉ IP không hợp lệ cho các client (hay còn gọi là DHCP giả mạo) trong nội bộ domain của chúng ta. Để thực hiện được việc này bạn phải logon bằng user nằm trong group Enterprise Admins. Theo mô hình trên, giả sử chúng ta có 2 Server chùng chạy dịch vụ DHCP (tạm gọi đó là DHCP Server1 và DHCP Server2) trong nội bộ domain của mình. Nhưng chỉ có duy nhất DHCP Server1 là được cấp phép chạy dịch vụ này. Đầu tiên khi dịch vụ DHCP trên Server1 được kích hoạt (start) thì Server1 sẽ kiểm tra xem dịch vụ DHCP của mình có được Domain Controller cấp phép hoạt động hay không? Bằng cách gửi một yêu cầu đến máy chủ Domain Controller nhờ kiểm tra dùm mình có được phép cấp IP động cho nội bộ domain hay không? Sau khi nhận được yêu cầu kiểm tra này từ phía DHCP Server1, Domain Controller sẽ tiến hành kiểm tra xem Server1 có được cấp phép hoạt động dịch DHCP hay không? Vì Server1 đã được cấp phép hoạt động dịch vụ DHCP nên Server1 được phép cung cấp địa chỉ IP động cho các DHCP client trong nội bộ domain. Ngược lại với Server1, Server2 sau khi khởi động dịch vụ DHCP cũng tiến hành nhờ Domain Controller kiểm tra. Do không được cấp phép hoạt động dịch vụ, cho nên mặc dù dịch vụ đã được start nhưng Server2 vẫn không được phép cung cấp địa chỉ IP động cho nội bộ domain. Nếu DHCP server là không được authorize thì DHCP service sẽ log (ghi lại) một error trong system log (các bạn có thể tìm thấy trong Administrative Tools/Event log). Cuối cùng DHCP Client xin được IP từ DHCP Server1. 8. Phân biệt sự khác nhau giữa các level như server, scope, class và reserved client trong dịch vụ DHCP + Server level : các option khai báo ở cấp độ server sẽ được áp đặt tới tất cả các DHCP client của DHCP Server. Đây là option có độ ưu tiên thấp nhất. + Scope level : các option khai báo ở cấp độ scope sẽ được áp đặt tới tất cả các DHCP client của riêng scope đó mà thôi, các scope khác sẽ không chịu ảnh hưởng. Đây là option có độ ưu tiên cao hơn option ở cấp độ server level. + Class level : Các option khai báo ở cấp độ class level sẽ được áp đặt tới những thành viên của class. Độ ưu tiên của các option này cao hơn option ở cấp độ scope level. + Reversed client level : Các option ở cấp độ này sẽ chỉ được áp đặt đến một DHCP client mà thôi. Đây là option có độ ưu tiên cao nhất. Nó sẽ ghi đè tất cả các option khác nếu có conflict (xung đột level) xảy ra. 9. Quản lý, giám sát hoạt động dịch vụ DHCP Cài đặt cấu hình dịch vụ DHCP là một phần của giải pháp mạng. Vì môi trường làm việc của dịch vụ DHCP là động, thay đổi liên tục. Vậy nên việc theo dõi hoạt động này là cần thiết tránh những sự cố có thể xảy ra trong hệ thống mạng. Cấu hình mặc định của Windows Server 2003 cơ sở dữ liệu của DHCP được lưu theo đường dẫn : %SystemRoot% \ System32 \ DHCP • Sao lưu phục hồi dữ liệu đối với dịch vụ DHCP cũng quan trọng không kém, tăng khả năng chịu lỗi của DHCP Server khi gặp sự cố về phần cứng hoặc phục hồi trong trường hợp đặc biệt. Mặc định dịch vụ DHCP tự động sao lưu trong mỗi 60 phút theo đường dẫn %SystemRoot% \ System32 \ DHCP \ Backup. Trong các trường hợp dịch vụ DHCP không thể nạp dữ liệu thì nó tự động khôi phục lại theo đường dẫn mặc định trên. Lưu ý: Khi bạn thay đổi đường dẫn sao lưu thì quá trình sao lưu và phục hồi bạn phải thao tác bằng tay(Manual) • Đồng bộ dữ liệu: thông thường khi có một số thay đổi về thông tin trong hệ thống mạng hoặc sau khi phục hồi dữ liệu của DHCP thì sự đồng bộ diễn ra chưa kịp thời nên gây ra những sai sót. Để khắc phục ta tiến hành đồng bộ trên hệ thống. Khi đi tiến hành đồng bộ dữ liệu dịch vụ DHCP sẽ tổng hợp 2 thông tin từ Registry và trong cơ sở dữ liệu để tổng hợp chính xác các thông số cấu hình hiện tại. Ta có thể thấy trong Console quản lý. • Đưa ra các định mức hoạt động cho DHCP Server thông qua tất cả những gì liên quan đến Server bao gồm: các services, memory, processor… Theo dõi thông qua các gói tin Discovers,Offer,Requests,Acks... Right Click lên DHCP Server chọn Display Statistics…. Dùng các file log theo dõi sự hoạt động hàng ngày. Các File Log ghi nhận mỗi 24 giờ : a) Khi DHCP Server vừa khởi động hoặc qua ngày mới (sau 12h đêm) DHCP Server sẽ ghi nhận sự kiện mới lên File Log. Có 2 trường hợp có thể xảy ra : + Nếu File Log đang có cũ hơn 24h thì DHCP Server sẽ ghi đè lên dữ liệu này. + Nếu File Log ghi nhận sự kiện chưa quá 24h thì DHCP Server sẽ ghi nối tiếp. b) Sau khi các dữ liệu bắt đầu ghi nhận thì ta nên kiểm tra xem sự hoạt động các File Log có kích hoạt chưa, dung lượng các file log có tăng đột biến hay không, kiểm tra chính xác ngày giờ hệ thống, dung lượng đĩa cứng có đủ để lưu File Log hay không. + Ở trạng thái mặc định thì các File Log chỉ lưu 50 sự kiện. + Nếu dung lượng ổ cứng không đủ nhu cầu tối thiểu là 20 megabytes thì các File Log dừng lại không ghi tiếp. + Trong Registry cũng quy định không cho các File Log ghi quá 1/7 dung lượng trống trên Server (không quá 10MB nếu dung lượng trống trên Server là 70MB).Trong trường hợp này DHCP Server sẽ đóng các File Log đang có và từ chối ghi nhận sự kiện tiếp theo. 10. Backup Database DHCP Toàn bộ Database của DHCP Server nằm trong đường dẫn %systemroot%\system32\dhcp Người thực hiện : Domain Admin, DHCP Admin, Local Admin, Backup Operator. 1. Vào Start à Run gõ lệnh dhcpmgmt.msc 2. Chuột phải vào DHCP Server --> Chọn Backup 3. Chỉ đường dẫn để lưu trữ Database của DHCP Server 4. Nhấn OK để hoàn tất backup 11. Restore Database DHCP Người thực hiện : Domain Admin, DHCP Admin, Local Admin, Backup Operator. 1. Vào Start --> Run gõ lệnh dhcpmgmt.msc 2. Chuột phải vào DHCP Server --> chọn Restore 3. Chỉ đường dẫn đến thư mục đã backup dhcp trước đó --> OK 4. Hệ thống sẽ yêu cầu stop và sau đó sẽ restart lại dịch vụ DHCP --> OK 5. Refesh lại DHCP, tiếp đến chuột phải vào DHCP Server chọn Reconcile All Scopes để đồng bộ hóa giữa Database và Registry. Ok, đến đây công việc khôi phục Database trên DHCP đã hoàn thành 12. Các kiểu tấn công có thể xảy ra đối với DHCP Như chúng ta đã biết, hầu hết dịch vụ DNS và DHCP mặc định không được bảo mật. Lợi dụng điều này, các attacker có thể tiến hành tấn công các máy chủ chạy dịch vụ DNS và DHCP. Đối với dịch vụ DHCP thì các kiểu tấn công mà attacker có thể thực hiện đó là : Tấn công từ chối dịch vụ bằng cách “vét cạn” tất cả các giá trị mà DHCP có thể cấp cho client Khi DHCP Server nhận được một DHCP request từ client, DHCP Server sẽ cung cấp cho client đó một địa chỉ IP nằm trong dãy IP mà nó được phép cấp. Vì không có cơ chế chứng thực trong quá trình này, các attacker có thể dễ dàng tấn công làm ngưng dịch vụ này trên DHCP Server. Attacker có thể thực hiện được việc này bằng cách gửi một lượng lớn DHCP request với các giá trị MAC address thay đổi liên tục đến DHCP Server. Khi DHCP Server nhận được các request với các MAC address khác nhau, DHCP sẽ cấp một giá trị IP ứng với mỗi request đó. Vì số lượng địa chỉ IP có giới hạn nên chỉ cần một lượng request tương đối là attacker có thể đăng ký hết số lượng IP này trên DHCP. Kết quả là các request hợp lệ của client sẽ không được DHCP Server cung cấp IP vì lúc này dịch vụ DHCP sẽ không còn phục vụ cho người đến sau. Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà attacker có thể thực hiện. Điều đáng nói ở đây là kẻ tấn công chỉ cần rất ít thời gian và bandwidth là có thể thực hiện được việc tấn công này. Tuy nhiên, kiểu tấn công này có thể khắc phục được bằng cách sử dụng các switch có tính năng bảo mật của Cisco. Các switch này sẽ giới hạn số lượng MAC address có thể sử dụng trên một port. Mục đích là để ngăn chặn việc trong một khoản thời gian giới hạn, một port của nó có quá nhiều MAC address được phép sử dụng. Nếu vượt qua quy định này, port đó sẽ shutdown ngay lặp tức. Thời gian để port này có thể hoạt động lại tùy thuộc vào giá trị mặc định hoặc do người quản trị mạng thiết lặp. Bằng cách này, thiết bị này có thể ngưng kiểu tấn công vét cạn đối với dịch vụ DHCP. Tấn công theo kiểu Man-in-the-middle bằng việc sử dụng DHCP Server giả mạo Như chúng ta đã biết, DHCP không yêu cầu chứng thực trong quá trình cấp phát IP cho client và DHCP client không biết địa chỉ IP của DHCP Server trong quá trình xin cấp IP. Lợi dụng việc này, attacker có thể xây dựng một DHCP Server giả mạo (Rogue DHCP Server), mục đích là cung cấp địa chỉ Default Gateway giả mạo (địa chỉ IP này là của attacker hoặc một máy tính nào đó được đặt dưới sự kiểm soát của attacker) cho DHCP client. Việc này cho phép attacker có thể xem trộm nội dung gói tin. Các bước tiến hành như sau : 1. Đầu tiên, attacker xây dựng một DHCP giả mạo với đầy đủ các thông số để cấp cho client. 2. Khi một DHCP client broadcast một gói tin DHCPDISCOVERY, cả hai DHCP hợp lệ và DHCP giả mạo cùng gửi gói tin DHCPOFFER đến client. 3. Client sẽ tiếp nhận gói tin nào đến trước, nếu gói tin của DHCP Server hợp lệ đến trước thì quá trình tấn công theo dạng này sẽ thất bại. Do đó để chắc chắn rằng client sẽ nhận được gói tin do DHCP Server giả mạo cấp, attacker thường tiến hành tấn công từ chối dịch vụ theo kiểu “vét cạn” đối với DHCP Server thật. 4. Trong gói tin response đến client, địa chỉ Default Gateway lại chỉ về máy tính cho attacker kiểm soát. 5. Sau đó, khi nào client gửi gói tin cho mạng bên ngoài (thường là internet). Gói tin này sẽ được chuyển tiếp đến cho máy tính có địa chỉ Default Gateway giả mạo và nội dung bên trong bị xem trộm. Sau khi xem trộm nội dung, gói tin sẽ được forward đến Default Gateway thật. Nhưng khuyết điểm của kiểu tấn công này là, attacker chỉ có thể xem trộm gói tin theo chiều từ client gửi đi mà thôi, chiều ngược lại từ bên ngoài gửi đến client thì attacker hoàn toàn không biết. Để khắc phục kiểu tấn công này, các thiết bị switch của Cisco cung cấp tính năng bảo mật dành cho DHCP. Tính năng này được gọi là DHCP snooping, bằng cách chỉ cho kết nối đến DHCP trên một hoặc một số port nhất định mà thôi. Các port này được gọi là trusted port, chỉ có những port này mới cho phép gói tin DHCP response hoạt động. Port này được người quản trị mạng kết nối đến DHCP Server thật trong mạng. Mục đích là ngăn chặn không cho DHCP giả mạo hoạt động trên những port còn lại. Tấn công theo kiểu DNS redirect bằng cách sử dụng DHCP Server giả mạo Đây là kiểu tấn công rất thông dụng của phương pháp man-in-the-middle. Thay vì giả mạo địa chỉ Default Gateway, DHCP Server giả mạo sẽ cung cấp địa chỉ IP của DNS Server giả. Trên DNS Server này chứa các thông tin phân giải tên đã bị “nhiễm bẩn” (DNS Server nằm trong sự kiểm soát của attacker). 13. Bảo mật cơ bản cho DHCP Server - Bảo mật về mặt vật lý cho các máy chủ DHCP (physically secure) - Nên sử dụng hệ thống file NTFS để lưu trữ dữ liệu hệ thống. - Triển khai và ứng dụng các giải pháp anti-virus mạnh cho hệ thống. - Thường xuyên cập nhật các bản vá lỗi cho các phần mềm và Windows. - Các dịch vụ hay các phần mềm không sử dụng thì nên xóa hoặc uninstall đi. - Thực hiện việc quản lý DHCP với user có quyền hạn tối thiểu nhất. - DHCP Server phải được đặt phía sau firewall. - Đóng tất cả các port không sử dụng đến. - Để tăng thêm tính bảo mật cho DHCP Server, bạn có thể sử dụng VPN tunnel để bảo mật traffic DHCP. - Sử dụng filter MAC Address. - Giám sát hoạt động của DHCP bằng cách xem qua các file log và xem thông tin thống kê của hệ thống trên DHCP Server. 14. Sử dụng Event Viewer để giám sát hoạt động của DHCP Bạn có thể sử dụng công cụ Event Viewer nằm trong thư mục Administrative Tools để giám sát hoạt động của DHCP. Event Viewer lưu trữ các sự kiện của system, application và security. Tất cả các sự kiện giám sát hoạt động của DHCP được ghi nhận trong security log. Các thông tin này ghi nhận cả hoạt động của dịch vụ DHCP và DHCP Server, ví dụ như DHCP Server được start và stop vào lúc nào, dãy IP cấp cho client gần cạn kiệt vào lúc nào, database của DHCP bị lỗi vào lúc nào. Mỗi một sự kiện trong log được đánh một mã số (ID number) riêng biệt với nhau. Sau đây là một vài ID sự kiện thường gặp trong system log của DHCP : Event ID 1037 (Information): cho biết DHCP Server đã xóa sạch cơ sở dữ liệu. Event ID 1044 (Information): cho biết DHCP Server được ủy quyền (authorized) để có thể cung cấp địa chỉ IP cho client. Event ID 1042 (Warning): cho biết dịch vụ DHCP đang chạy trên hệ thống thì phát hiện có dịch vụ DHCP khác cũng được chạy trên mạng (tức là có 2 máy tính chạy dịch vụ DHCP trong hệ thống). Event ID 1056 (Warning): cho biết dịch vụ DHCP được chạy trên máy chủ Domain Controller nhưng nó không được cấu hình để cập nhật DNS động. Event ID 1046 (Error): cho biết dịch vụ DHCP chạy trên Server này chưa được ủy quyền (authorized) để có thể cung cấp IP động cho client. 18. Các vấn đề cần lưu ý của dịch vụ DHCP Có các trường hợp Client tự cài dịch vụ DHCP trong hệ thống mạng(DHCP Server giả mạo) điều này gây ảnh hưởng đến các Client muốn được cấp IP nhưng nằm xa vị trí DHCP Server thật sự. Do tính hiệu xin và cấp địa chỉ IP là Broadcast nên sẽ có trường hợp Client nhận không đúng thông số IP do DHCP Server giả mạo cấp. Bạn cần rà soát kỹ trong hệ thống mạng của mình. - Các thiết bị phần cứng như Router ADSL,Wireless.. cũng có khả năng cấp địa chỉ IP, do đó cần tắt chức năng cấp IP động trên các thiết bị trước khi đưa vào sử dụng. - Chỉ có thành viên của nhóm DHCP Administrators mới cấu hình và sử đung các tính năng trong dịch vụ DHCP. Chỉ cần cung cấp đủ quyền cho các đối tượng liên quan đến quản lý duy trì hoạt động của dịch vụ này. Phần II DNS (Domain Name System) 1. Giới thiệu về DNS : - Mỗi máy tính, thiết bị mạng tham gia vào mạng Internet đều giao tiếp với nhau bằng địa chỉ IP (Internet Protocol) . Để thuận tiện cho việc sử dụng và dễ nhớ ta dùng tên (domain name) để xác định thiết bị đó. Hệ thống tên miền (Domain Name System) được sử dụng để ánh xạ tên miền thành địa chỉ IP. Vì vậy, khi muốn liên hệ tới các máy, chúng chỉ cần sử dụng chuỗi ký tự dễ nhớ (domain name) như: www.microsoft.com, www.ibm.com..., thay vì sử dụng địa chỉ IP là một dãy số dài khó nhớ. - Ban đầu, khi DNS chưa ra đời, người ta sử dụng một file tên Host.txt, file này sẽ lưu thông tin về tên host và địa chỉ của host của tất cả các máy trong mạng, file này được lưu ở tất cả các máy để chúng có thể truy xuất đến máy khác trong mạng. Khi đó, nếu có bất kỳ sự thay đổi về tên host, địa chỉ IP của host thì ta phải cập nhật lại toàn bộ các file Host.txt trên tất cả các máy. Do vậy đến năm 1984 Paul Mockpetris thuộc viện USC’s Information Sciences Institute phát triển một hệ thống quản lý tên miền mới lấy tên là Hệ thống tên miền – Domain Name . - Hệ thống tên miền này cũng sữ dụng một file tên host.txt, lưu thông tịn của tất cả các máy trong mạng, nhưng chỉ được đặt trên máy làm máy chủ tên miền (DNS). Khi đó, các Client trong mạng muốn truy xuất đến các Client khác, thì nó chỉ việc hỏi DNS. Như vậy, mục đích của DNS là : + Phân giải địa tên máy thành địa chỉ IP và ngược lại. + Phân giải tên domain. 2. Cấu trúc của hệ thống tên miền : - Hiện nay hệ thống tên miền được phân thành nhiêu cấp : - Gốc (Domain root) : Nó là đỉnh của nhánh cây của tên miền. Nó được biểu diễn đơn giản chỉ là dấu chấm “.” - Tên miền cấp một (Top-level-domain) : gồm vài kí tự xác định một nước, khu vưc hoặc tổ chức. Nó đươc thể hiện là “.com” , “.edu” …. Ví dụ: www.tuoitre.com.vn thực ra là www.tuoitre.com.vn. tên miền cấp 1 là "vn." Tên miền cấp hai (Second-level-domain): Nó rất đa dạng có thể là tên một công ty, một tổ chức hay một cá nhân. Ví dụ: "com." là tên miền cấp 2 - Tên miền cấp nhỏ hơn (Subdomain) : Chia thêm ra của tên miền cấp hai trở xuống thường được sử dụng như chi nhánh, phòng ban của một cơ quan hay chủ đề nào đó. ví dụ: "tuoitre." 3. Phân loại tên miền : - Com : Tên miền này được dùng cho các tổ chức thương mại. - Edu : Tên miền này được dùng cho các cơ quan giáo dục, trường học. - Net : Tên miền này được dùng cho các tổ chức mạng lớn. - Gov : Tên miền này được dùng cho các tổ chức chính phủ. - Org : Tên miền này được dùng cho các tổ chức khác. - Int : Tên miền này dùng cho các tổ chức quốc tế. - Info : Tên miền này dùng cho việc phục vụ thông tin. - Arpa : Tên miền ngược. - Mil : Tên miền dành cho các tổ chức quân sự, quốc phòng. - Mã các nước trên thế giới tham gia vào mạng internet, các quốc gia này được qui định bằng hai chữ cái theo tiêu chuẩn ISO-3166 .Ví dụ : Việt Nam là .vn, Singapo là sg…. 4.Chức năng của DNS Mỗi Website có một tên ( là tên miền hay đường dẫn URL : Universal Resource Locator ) và một địa chỉ IP. Địa chỉ IP gồm 4 nhóm số cách nhau bằng dấu chấm. Khi mở một trình duyệt Web và nhập tên website, trình duyệt sẽ đến thẳng website mà không cần phải thông qua việc nhập địa chỉ IP của trang web. Quá trình "dịch" tên miền thành địa chỉ IP để cho trình duyệt hiểu và truy cập được vào website là công việc của một DNS server. Các DNS trợ giúp qua lại với nhau để dịch địa chỉ "IP" thành "tên" và ngược lại. Người sử dụng chỉ cần nhớ "tên", không cần phải nhớ địa chỉ IP ( địa chỉ IP là những con số rất khó nhớ ). 5.Nguyên tắc làm việc của DNS - Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server riêng của mình, gồm các máy bên trong phần riêng của mỗi nhà cung cấp dịch vụ đó trong Internet. Tức là, nếu một trình duyệt tìm kiếm địa chỉ của một website thì DNS server phân giải tên website này phải là DNS server của chính tổ chức quản lý website đó chứ không phải là của một tổ chức ( nhà cung cấp dịch vụ ) nào khác. - INTERNIC ( Internet Network Information Center ) chịu trách nhiệm theo dõi các tên miền và các DNS server tương ứng. INTERNIC là một tổ chức được thành lập bởi NFS ( National Science Foundation ), AT&T và Network Solution, chịu trách nhiệm đăng ký các tên miền của Internet. INTERNIC chỉ có nhiệm vụ quản lý tất cả các DNS server trên Internet chứ không có nhiệm vụ phân giải tên cho từng địa chỉ. - DNS có khả năng tra vấn các DNS server khác để có được một cái tên đã được phân giải. DNS server của mỗi tên miền thường có hai việc khác biệt. Thứ nhất, chịu trách nhiệm phân giải tên từ các máy bên trong miền về các địa chỉ Internet, cả bên trong lẫn bên ngoài miền nó quản lý. Thứ hai, chúng trả lời các DNS server bên ngoài đang cố gắng phân giải những cái tên bên trong miền nó quản lý. - DNS server có khả năng ghi nhớ lại những tên vừa phân giải. Để dùng cho những yêu cầu phân giải lần sau. Số lượng những tên phân giải được lưu lại tùy thuộc vào quy mô của từng DNS. 6. Ph

Các file đính kèm theo tài liệu này:

  • doctim_hieu_dhcp_va_dns_1863.doc