Modificando a duração da concessão DHCP

Quando o escopo é criado, a duração da concessão padrão é de 8 dias. Na maioria dos caos esse valor é suficiente. No entanto, como a renovação da concessão é um processo continuo que pode afetar o desempenho dos clientes DHCP e sua rede, pode ser recomendável alterar a duração da concessão.




Também é possível definir um tempo de concessão separado, diferente do tempo de concessão do escopo padrão usado pelos clientes DHCP que utilizam classes de usuários: por exemplo, tempos de concessão alternativos para dar suporte a outros tipos de clientes (como clientes BOOTP ou clientes de roteamento e acesso remoto). No aspecto de segurança, é preferível um tempo de concessão menor para os clientes de roteamento e acesso remoto.

Por exemplo, se você deseja que o tempo de concessão seja uma hora, digite: 3600

Protegendo o DHCP em sub-redes com triagem

A disponibilização de endereços alocados pelo DHCP em um sub-rede com triagem ou fora de um firewall único apresenta riscos de segurança. Se houver um servidor DHCP instalado em uma sub-rede com triagem, você deve garantir a implementação de medidas de segurança. Se um endereço IP valido for alocado a um cliente não autorizado, poderá ocorrer o acesso não autorizado aos recursos da rede.

Minimizando os riscos de segurança nas sub-redes com triagem
· Reservando manualmente endereços IP no escopo. Isso possibilita que o endereço IP seja mapeado diretamente para o endereço MAC do cliente, reduzindo a probabilidade de que ele seja alocado a um host não autorizado.
· Definindo tempo de concessão estendidos. Isso diminui a probabilidade de que um host não autorizado capture o endereço IP reduzindo a quantidade de solicitações de concessão.
· Minimizando o intervalo de endereços disponíveis. Isso permite que apenas uma quantidade suficiente de endereços no escopo atenda as necessidades da sub-rede com triagem.

Protegendo o serviço DHCP

O serviço DHCP pode ser protegido fazendo-se o seguinte:
· Autorizando servidores DHCP no Active Directory
o A implementação da autorização de servidor DHCP exige o uso exclusivo de servidores baseados no Windows Server 2003, se uma rede usar servidores DHCP não se baseiam no Windows Server 2003, esses servidores não solicitarão a lista autorizada de servidores e serão inicializados sendo ou não autorizados.


· Usando grupos do Microsoft Windows Server 2003 para controlar o acesso a configuração do servidor DHCP.
o Somente as contas com participação em grupos especiais (Administradores do DHCP, Usuarios do DHCP ) podem reconfigurar ou visualizar uma configuração do servidor DHCP.

Diretrizes para planejar uma estratégia DHCP

· Avaliar a topologia de rede.
· Determinar qual infra-estrutura de rede será utilizada.
· Determinar as reservas.
· Definir as opções DHCP.
· Determinar questões de integração.
· Determinar a abordagem de tolerância a falhas.

DHCP - Classe de Usuario

Por exemplo, pode-se configurar uma classe definida pelo usuário para fornecer uma configuração para computadores que não necessitam de acesso a Internet.

No computador cliente utilize o seguinte comando para inseri-lo a uma classe:

ipconfig /setclassid ADAPTER_NAME CLASS_ID_TO_SET

Para retornar a classe padrao utilize o comando:

ipconfig /setclassid ADAPTER_NAME

Para exibir classe do computador:

ipconfig /showclassid ADAPTER_NAME

DHCP - Classe de Fornecedor

Exemplo de Configuracao
Proporciona uma configuração personalizada para impressoras de fornecedores específicos, como HP ou Xerox, quando a impressora é colocada online, ela recebe um endereço IP com opções especificas configuradas.

Reserva DHCP

Uma reserva DHCP também é chamado de DHCP manual. As reservas garantem que um dispositivo de hardware especificado em uma sub-rede possa sempre usar o mesmo endereço IP. No caso de reservas de cliente, é possível reservar um endereço IP especifico para ser usado de modo permanente por um cliente DHCP.
A reserva DHCP possibilita que outros servidores DHCP aceitem a reserva de endereço IP feita para o cliente reservado. Embora a reserva do cliente seja realizada pelo servidor DHCP somente quando o endereço reservado faz parte do pool de endereços disponíveis, é possível criar a mesma reserva em outros servidores DHCP que excluam este endereço.
Há varias situações em que se deve criar um reserva. Algumas delas envolvem dispositivos com DHCP habilitado. Outras envolvem clientes:
É recomendável criar uma reserva com base em um dispositivo com DHCP habilitado quando:
For necessário que o dispositivo tenha sempre o mesmo endereço IP da rede. Entre esses dispositivos estão os servidores de impressão, firewalls e roteadores.
Um servidor DHCP puder atender ao cliente reservado.
É recomendável criar uma reserva com base em cliente quando:
O cliente usar um endereço IP que foi atribuído por outro método de configuração do TCP/IP
O cliente DHCP receber sempre a mesma concessão de endereço IP na inicialização
Houver mais de um servidor DHCP que possa ser acessado por um cliente reservado e for necessário adicionar a reserva a cada um dos outros servidores DHCP.