WINDOWS: Proteção de Nome DHCP

Este contéudo faz parte do exame AZ-800: Como administrar a infraestrutura de núcleo híbrido do Windows Server. Recomendo a compra do livro Exam Ref AZ-800 Administering Windows Server Hybrid Core Infrastructure (3570357) (English Edition) do autor Orin Thomas para estudos desta certificação.

Um recurso que não vem habilitado por padrão quando a função de DHCP e implantado no Windows Server, disponível no Windows Server 2008 R2 e posterior.

Em organizações e bastante comum ter ambos os sistemas operacionais Windows e Linux.

A funcionalidade de Proteção de Nome DHCP é um recurso que assegura que os registros de nomes de host, que um servidor DHCP registra em um servidor DNS, não sejam substituídos caso haja um sistema operacional diferente do Windows com o mesmo nome. Além disso, a Proteção de Nome DHCP impede que registros sejam sobrescritos por hosts que possuam endereços estáticos que entrem em conflito com os endereços atribuídos pelo DHCP.

Em um cenário onde computadores com sistemas operacionais Windows e sistemas não-Windows (como Mac, Linux, Unix etc.) coexistem, qualquer dispositivo cliente que utilize o protocolo DHCP (seja ele com sistema Windows ou não) é capaz de requisitar e receber informações de configuração, incluindo endereço IP, máscara de sub-rede, roteador, entre outras, a partir do servidor DHCP presente no ambiente Windows.

O servidor DHCP presente na infraestrutura Windows pode ser ajustado para realizar atualizações automáticas nos servidores DNS autoritativos pertencentes ao ecossistema Windows. Essas atualizações envolvem a inclusão dos registros de host (A) e ponteiro (PTR) dos dispositivos clientes que adquiriram suas configurações por meio do serviço DHCP. Essa configuração é acessada por meio das propriedades do escopo DHCP ou das propriedades de protocolo IPv4 (e IPv6), onde a opção correspondente pode ser selecionada na aba DNS, conforme demonstrado abaixo.

O servidor DHCP não apenas tem a capacidade de efetuar atualizações nos registros A e PTR dos clientes dentro do servidor DNS, mas também pode remover esses registros automaticamente quando o período de concessão DHCP expirar.

Da mesma forma que as opções de configuração de um escopo no DHCP podem ser ajustadas tanto ao nível do servidor quanto ao nível do escopo, as configurações no nível do escopo têm prioridade sobre aquelas definidas no nível do servidor. Quando a Proteção de Nome DHCP está ativada, o servidor DHCP assume a responsabilidade de registrar registros A e PTR em nome de clientes não-Windows. Adicionalmente, um registro de recurso adicional denominado DHCID (abreviação de Identificação do Cliente DHCP) é registrado pelo servidor para clientes não-Windows. Uma imagem capturada do servidor DHCP apresenta o DHCID como uma das opções possíveis de registro de recurso. No que se refere à Proteção de Nome DHCP, não é necessário efetuar manualmente a configuração desse registro, pois o DHCP administra esse processo automaticamente.

O DHCID, um código de identificação específico do cliente DHCP, é mantido nos registros do servidor DHCP e desempenha um papel essencial na solução de conflitos de FQDN (Nome de Domínio Totalmente Qualificado).

Cenário de uso para o Proteção de Nome DHCP

Para ilustrar, consideremos um cenário no qual há um computador na rede com o sistema operacional Windows 11 e o nome ” Kubanacan”, pertencente ao domínio “gabrielcunha.com”. Esse computador obtém seu endereço IP de um servidor DHCP do Windows Server, o qual registra o nome no servidor DNS e cria um registro na zona DNS “gabrielluiz.com” associando o nome “Kubanacan.gabrielcunha.com” ao endereço IP do computador com Windows 11. Agora, imagine que um novo computador seja instalado, executando uma distribuição personalizada do Linux e seja nomeado como “Kubanacan”.

Devido à Proteção de Nome DHCP estar ativada, esse novo computador não tem permissão para substituir o registro existente. Isso ocorre porque o servidor DHCP analisa o DHCID do segundo cliente e compara com os registros existentes. Se for identificada uma correspondência com um DHCID já registrado, o servidor recusará a operação de registro, evitando assim qualquer conflito. Ele não pode criar um novo registro que associe ao nome ” Kubanacan.gabrielcunha.com ” ao endereço IP do computador com Linux. Se a Proteção de Nome DHCP não estivesse ativada, haveria a possibilidade desse novo registro substituir o registro existente.

O destaque deste artigo vai para os clientes não Windows. Isto se justifica pelo fato que em uma infraestrutura de rede baseada em um domínio do Windows, nossa atenção não se volta tanto para os clientes Windows como para os clientes não Windows. Isto se deve ao fato que clientes Windows que estão integrados a um domínio do Active Directory (AD) podem se beneficiar das ACLs (Listas de Controle de Acesso) do AD, as quais têm a capacidade de evitar práticas indesejadas, como usurpação de identidade, através da restrição de direitos de acesso dos dispositivos. Nesse contexto, o recurso de Proteção de Nome no DHCP tem por alvo os clientes que não possuem o sistema operacional Windows e não estão vinculados a um domínio do Active Directory.

Passo a passo

O processo de habilitar a Proteção de Nome DHCP e bem simples, pode ser ativado e desativo usando a interface gráfica ou Powershell.

Pela interface gráfica acesse o Gerenciamento do DHCP.

1. Clique com o botão direito do mouse em IPv4, em seguida em Propriedades de IPv4, em seguida clique na aba DNS.

2. Em Proteção de Nome clique em Configurar em seguida em Habilitar Proteção, para finalizar clique em Aplicar e logo em seguida em OK.

Pelo Powershell, execute como administrador

Em seguida execute o seguinte comando para habilitar a Proteção de Nome para IPv4:

Set-DhcpServerv4DnsSetting -ComputerName DHCP1 -NameProtection $true

Explicação do comando: No parâmetro -ComputerName insira do hostname do seu servidor DHCP.

Para desabilitar execute o seguinte comando:

Set-DhcpServerv4DnsSetting -ComputerName DHCP1 -NameProtection $false.

Para verificar se o recurso Proteção de Nome DHCP foi ativado ou desativado execute o seguinte comando:

Get-DhcpServerv4DnsSetting -ComputerName DHCP1 | Select-Object NameProtection

Observações: O recurso de proteção de nome no servidor DHCP só funcionará se a atualização dinâmica segura tiver sido habilitada no servidor DNS.

A imposição da Proteção de Nome resultará em mudanças comportamentais, são elas:

• Servidor DHCP honra solicitação de registros A/AAAA e PTR registro para clientes DHCP do Windows.
• O servidor DHCP atualiza dinamicamente os registros A/AAAA e PTR para clientes DHCP não-Windows.
• O servidor DHCP descarta registros A/AAAA e PTR quando a concessão é deletada.

Gostou? Se tiverem algumas sugestões, dica ou se ficou com alguma dúvida sobre este tutorial, não tem problema! Basta comentar no post que iremos responder suas dúvidas assim que for possível.

Fonte: gabrielluiz, rfc-editor, learn.microsoft

WINDOWS: COMO MIGRAR O SERVIDOR DHCP PARA OUTRO HOST DO WINDOWS SERVER

Este artigo descreve como migrar um servidor DHCP configurado de um host do Windows Server para outro, mantendo todas as configurações de escopo do DHCP. Você pode usar este guia para migrar configurações de DHCP, zonas e reservas de DHCP de uma versão anterior do Windows Server para uma versão mais recente (por exemplo, do Windows Server 2012/R2 para o Windows Server 2022) ou para mover uma função DHCP para um novo host no domínio do Active Directory.

O que favamos ver:

1. Preparar novo host do Windows Server para função DHCP
2. Transferindo a função do servidor DHCP para outro host do Windows Server
3. Como migrar a função DHCP usando backup e restauração
4. Migrar servidor DHCP do Windows Server 2003
5. Etapas pós-migração do servidor DHCP

1. Preparar novo host do Windows Server para função DHCP

Prepare um novo host para o qual você migrará o servidor DHCP. Instale a versão do Windows Server necessária (2022, 2019 ou 2016), defina um nome de host e endereço IP exclusivos e conecte o computador ao domínio do Active Directory.

Instale o host do servidor DHCP no novo servidor usando o console do Gerenciador do Servidor (Manage > Add Roles and Features > DHCP Server) ou via PowerShell:

Add-WindowsFeature -IncludeManagementTools DHCP

Em seguida, execute o seguinte comando, que criará dois grupos de segurança locais que serão usados ​​para gerenciar o servidor DHCP:

Add-DhcpServerSecurityGroup

• DHCP Administrator — são usuários com permissões totais no servidor DHCP (eles podem alterar qualquer configuração), mas sem permissões de administrador local no Windows Server;
• DHCP Users  — usuários com direitos para visualizar as configurações e estatísticas do servidor DHCP (incluindo as informações de concessões de DHCP).

Reinicie o serviço do servidor DHCP:

Restart-Service DHCPServer

Em seguida, autorize o novo servidor DHCP no domínio do Active Directory. Execute o comando a seguir como a conta de administrador de domínio que é membro do grupo Enterprise Admins .

Para autorizar o novo servidor DHCP no domínio do Active Directory:

Add-DhcpServerInDC -DnsName host1.contoso.com -IPAddress 192.168.10.35

Substitua os valores DnsName(host1.contoso.com) e IPAddress(192.168.10.35) pelos seus próprios.

Você pode iniciar um servidor DHCP sem autorização no AD se não tiver direitos de administrador corporativo. Crie o seguinte parâmetro de registro:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters" -Name DisableRogueDetection -Value 1 -Force

Para evitar que o alerta ‘ Configuração necessária para servidor DHCP no host’ seja exibido no console do Gerenciador do Servidor, defina a chave do registro para assumir que a configuração do DHCP está concluída:

Set-ItemProperty –Path registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManager\Roles\12 –Name ConfigurationState –Value 2

Em seguida, reinicie o serviço DHCP:

Restart-Service -Name DHCPServer -Force

Altere temporariamente a Lease duration (opção de escopo DHCP) no servidor de origem para 2 horas. Isto permitirá que seu cliente obtenha endereços IP do novo servidor DHCP mais rapidamente.

2. Transferindo a função do servidor DHCP para outro host do Windows Server

A maneira mais fácil de transferir as configurações do servidor DHCP para um novo host em versões modernas do Windows Server (2022/2019/2016/2012/R2) é usar os cmdlets do PowerShell Export-DhcpServer e Import-DhcpServer.

Esses comandos permitem conectar-se a um servidor DHCP remoto pela rede, exportar suas configurações e importá-las para um novo servidor.

Crie a pasta C:\DHCP na nova máquina do servidor DHCP. Abra o console do PowerShell em uma conta que seja membro do grupo Administradores DHCP e exporte a configuração do antigo servidor DHCP para o arquivo XML:

Export-DhcpServer -ComputerName "oldDhcp.contoso.com" -Leases -File "C:\DHCP\OldDHCPConf.xml" –Verbose

Em seguida, importe o arquivo de configuração DHCP resultante para o seu novo servidor:

Import-DhcpServer -Leases –File "C:\DHCP\OldDHCPConf.xml" -BackupPath "C:\DHCP\Backup" –Verbose

Execute o console DHCP e verifique se todos os escopos DHCP, reservas e concessões de IP estão em vigor.

Assim que a migração do servidor DHCP for concluída, não se esqueça de reconfigurar os agentes DHCP Relay (IP Helper) nos dispositivos de rede de roteamento. Os reconfigure para apontar para o endereço IP do novo servidor DHCP.

Reinicie várias estações de trabalho para testar e confirmar se elas estão recebendo concessões de DHCP do novo servidor (verifique as informações de concessão do seu escopo DHCP).

3. Como migrar a função DHCP usando backup e restauração

No Windows Server 2016 e mais recente, você pode migrar as configurações do servidor DHCP usando as opções Backup e Restauração na GUI do console de gerenciamento DHCP.

1.Abra o console dhcpmgmt.msc;

2. Clique com o botão direito no servidor DHCP e selecione Backup;

3. Especifique o diretório para salvar a cópia de backup das configurações do servidor DHCP.

Você pode usar esta cópia de backup para restaurar as configurações do servidor DHCP no host atual ou em outro host do Windows Server. No entanto, se você simplesmente copiar os arquivos de backup DHCP para um novo servidor e tentar restaurar a configuração usando a opção Restaurar no console DHCP, ocorrerá um erro ao importar o banco de dados DHCP:

O banco de dados não foi restaurado corretamente. Nenhuma alteração foi feita. Para obter mais informações, consulte Visualizador de eventos no servidor especificado.

Para migrar com êxito a configuração do servidor DHCP para um novo dispositivo, copie o backup do DHCP para o diretório %SystemRoot%\System32\DHCP\backup em uma nova máquina. Em seguida, clique na opção Restaurar no console DHCP e selecione restaurar a configuração desta pasta.

Se tudo deu certo, a seguinte mensagem deverá aparecer:

O banco de dados foi restaurado com sucesso.

Observe que, por padrão, o Windows faz backup da configuração DHCP e aluga a cada 60 minutos para o diretório %SystemRoot%\System32\DHCP\backup.

O diretório de backup é configurado nas configurações do servidor DHCP.

Você pode listar as configurações atuais de backup do DHCP usando o comando do PowerShell:

Get-DhcpServerDatabase

Se o host DHCP do Windows Server falhar, você poderá copiar manualmente os arquivos do banco de dados DHCP do diretório de backup no disco do servidor com falha e restaurar sua configuração para o novo servidor.

4. Migrar servidor DHCP do Windows Server 2003

Se você estiver usando um servidor DHCP herdado no Windows Server 2003/R2, será necessário usar um método de migração diferente. Isso ocorre porque o Windows Server 2003 não oferece suporte aos cmdlets do PowerShell para exportar configurações de DHCP disponíveis em versões mais recentes do Windows Server.

Para exportar a configuração do servidor DHCP para um arquivo binário no Windows Server 2003, use o seguinte comando:

netsh dhcp server export C:\ps\dhcp2003_config.dat all

Você pode importar a configuração DHCP em um novo host usando o comando:

netsh dhcp server import \winsrv2003dhcp\c$\ps\dhcp2003_config.dat all

5. Etapas pós-migração do servidor DHCP

Altere as configurações de duração da concessão no novo servidor se você as tiver alterado anteriormente. A duração padrão da concessão para o escopo DHCP no Windows Server é de 8 dias.

Agora você precisa desabilitar o serviço DHCP no servidor antigo:

Stop-Service DHCPserver
Set-Service -Name DHCPServer -StartupType "Disabled"

E desautorize o antigo servidor DHCP do Active Directory no console DHCP (clique com o botão direito no nome do servidor DHCP > Unauthorize)

Ou use o comando do PowerShell:

Remove-DhcpServerInDC -DnsName "oldDhcp.contoso.com” -IPAddress 192.168.10.36

Em seguida, desinstale a função de servidor DHCP:

Uninstall-windowsfeature dhcp -remove
Uninstall-WindowsFeature RSAT-DHCP

Reinicie o servidor:

Restart-Computer -Force

Gostou? Se tiverem algumas sugestões ou dicas deixem nos comentários.

Fonte: theitbros