Olá pessoal, tudo bem?
Já publiquei alguns artigos sobre DHCP no Windows Server, são eles:
Gerenciando servidores DHCP pelo Windows Admin Center
Criando reservas de IPs no DHCP pelo Powershell
Implantação do DHCP Failover utilizando o Powershell no Windows Server 2019
Implementar DHCP utilizando o Powershell no Windows Server 2019
Este contéudo faz parte do exame AZ-800: Como administrar a infraestrutura de núcleo híbrido do Windows Server. Recomendo a compra do livro Exam Ref AZ-800 Administering Windows Server Hybrid Core Infrastructure (3570357) (English Edition) do autor Orin Thomas para estudos desta certificação.
Proteção de Nome DHCP
Um recurso que não vem habilitado por padrão quando a função de DHCP e implantado no Windows Server, disponível no Windows Server 2008 R2 e posterior.
Em organizações e bastante comum ter ambos os sistemas operacionais Windows e Linux.
A funcionalidade de Proteção de Nome DHCP é um recurso que assegura que os registros de nomes de host, que um servidor DHCP registra em um servidor DNS, não sejam substituídos caso haja um sistema operacional diferente do Windows com o mesmo nome. Além disso, a Proteção de Nome DHCP impede que registros sejam sobrescritos por hosts que possuam endereços estáticos que entrem em conflito com os endereços atribuídos pelo DHCP.
Em um cenário onde computadores com sistemas operacionais Windows e sistemas não-Windows (como Mac, Linux, Unix etc.) coexistem, qualquer dispositivo cliente que utilize o protocolo DHCP (seja ele com sistema Windows ou não) é capaz de requisitar e receber informações de configuração, incluindo endereço IP, máscara de sub-rede, roteador, entre outras, a partir do servidor DHCP presente no ambiente Windows.
O servidor DHCP presente na infraestrutura Windows pode ser ajustado para realizar atualizações automáticas nos servidores DNS autoritativos pertencentes ao ecossistema Windows. Essas atualizações envolvem a inclusão dos registros de host (A) e ponteiro (PTR) dos dispositivos clientes que adquiriram suas configurações por meio do serviço DHCP. Essa configuração é acessada por meio das propriedades do escopo DHCP ou das propriedades de protocolo IPv4 (e IPv6), onde a opção correspondente pode ser selecionada na aba DNS, conforme demonstrado abaixo.
Configurações de IPv4 no DHCP do Windows Server
O servidor DHCP não apenas tem a capacidade de efetuar atualizações nos registros A e PTR dos clientes dentro do servidor DNS, mas também pode remover esses registros automaticamente quando o período de concessão DHCP expirar.
Da mesma forma que as opções de configuração de um escopo no DHCP podem ser ajustadas tanto ao nível do servidor quanto ao nível do escopo, as configurações no nível do escopo têm prioridade sobre aquelas definidas no nível do servidor. Quando a Proteção de Nome DHCP está ativada, o servidor DHCP assume a responsabilidade de registrar registros A e PTR em nome de clientes não-Windows. Adicionalmente, um registro de recurso adicional denominado DHCID (abreviação de Identificação do Cliente DHCP) é registrado pelo servidor para clientes não-Windows. Uma imagem capturada do servidor DHCP apresenta o DHCID como uma das opções possíveis de registro de recurso. No que se refere à Proteção de Nome DHCP, não é necessário efetuar manualmente a configuração desse registro, pois o DHCP administra esse processo automaticamente.
Criação de registro DHCID no DNS do Windows Server
O DHCID, um código de identificação específico do cliente DHCP, é mantido nos registros do servidor DHCP e desempenha um papel essencial na solução de conflitos de FQDN (Nome de Domínio Totalmente Qualificado).
Cenário de uso para o Proteção de Nome DHCP
Para ilustrar, consideremos um cenário no qual há um computador na rede com o sistema operacional Windows 11 e o nome ” Kubanacan”, pertencente ao domínio “gabrielcunha.com”. Esse computador obtém seu endereço IP de um servidor DHCP do Windows Server, o qual registra o nome no servidor DNS e cria um registro na zona DNS “gabrielluiz.com” associando o nome “Kubanacan.gabrielcunha.com” ao endereço IP do computador com Windows 11. Agora, imagine que um novo computador seja instalado, executando uma distribuição personalizada do Linux e seja nomeado como “Kubanacan”.
Devido à Proteção de Nome DHCP estar ativada, esse novo computador não tem permissão para substituir o registro existente. Isso ocorre porque o servidor DHCP analisa o DHCID do segundo cliente e compara com os registros existentes. Se for identificada uma correspondência com um DHCID já registrado, o servidor recusará a operação de registro, evitando assim qualquer conflito. Ele não pode criar um novo registro que associe ao nome ” Kubanacan.gabrielcunha.com ” ao endereço IP do computador com Linux. Se a Proteção de Nome DHCP não estivesse ativada, haveria a possibilidade desse novo registro substituir o registro existente.
O destaque deste artigo vai para os clientes não Windows. Isto se justifica pelo fato que em uma infraestrutura de rede baseada em um domínio do Windows, nossa atenção não se volta tanto para os clientes Windows como para os clientes não Windows. Isto se deve ao fato que clientes Windows que estão integrados a um domínio do Active Directory (AD) podem se beneficiar das ACLs (Listas de Controle de Acesso) do AD, as quais têm a capacidade de evitar práticas indesejadas, como usurpação de identidade, através da restrição de direitos de acesso dos dispositivos. Nesse contexto, o recurso de Proteção de Nome no DHCP tem por alvo os clientes que não possuem o sistema operacional Windows e não estão vinculados a um domínio do Active Directory.
Passo a passo
O processo de habilitar a Proteção de Nome DHCP e bem simples, pode ser ativado e desativo usando a interface gráfica ou Powershell.
Pela interface gráfica acesse o Gerenciamento do DHCP.
1. Clique com o botão direito do mouse em IPv4, em seguida em Propriedades de IPv4, em seguida clique na aba DNS.
2. Em Proteção de Nome clique em Configurar em seguida em Habilitar Proteção, para finalizar clique em Aplicar e logo em seguida em OK.
Pelo Powershell, execute como administrador
Em seguida execute o seguinte comando para habilitar a Proteção de Nome para IPv4:
|
1 |
Set-DhcpServerv4DnsSetting -ComputerName DHCP1 -NameProtection $true |
Saída do comando:
Explicação do comando:
No parâmetro -ComputerName insira do hostname do seu servidor DHCP.
Para desabilitar execute o seguinte comando:
|
1 |
Set-DhcpServerv4DnsSetting -ComputerName DHCP1 -NameProtection $false. |
Saída do comando:
Para verificar se o recurso Proteção de Nome DHCP foi ativado ou desativado execute o seguinte comando:
|
1 |
Get-DhcpServerv4DnsSetting -ComputerName DHCP1 | Select-Object NameProtection |
Saída do comando:
Observações:
O recurso de proteção de nome no servidor DHCP só funcionará se a atualização dinâmica segura tiver sido habilitada no servidor DNS.
Propriedades de uma zona de pesquisa direta – Atualizações dinâmicas seguras
A imposição da Proteção de Nome resultará em mudanças comportamentais, são elas:
- Servidor DHCP honra solicitação de registros A/AAAA e PTR registro para clientes DHCP do Windows.
- O servidor DHCP atualiza dinamicamente os registros A/AAAA e PTR para clientes DHCP não-Windows.
- O servidor DHCP descarta registros A/AAAA e PTR quando a concessão é deletada.
Referências
https://www.rfc-editor.org/rfc/rfc4701.txt
Não perca as novidades!
Inscreva-se no meu canal do YouTube e ative o sino de notificações para ficar por dentro de tudo!
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.
One response
[…] gabrielluiz, rfc-editor, […]