デフォルト ゲートウェイ 指定なし
修復サーバーへのアクセス経路の確保
DHCP サーバー側のスコープ オプション
にて、宛先アドレスとルータの対を指定クライアント側のルーティング テーブルに ネットマスク
255.255.255.255 にて
修復サーバーへのルーティングが 設定される
(ルータ越えも可能)
37
特徴
Windows Server 2008 で DHCP サーバーを 構築することで比較的容易に導入可能
留意点
デフォルト ゲートウェイの推測で容易に、
制限は回避されてしまう可能性がある
IPSec 実施との組合わせによりセキュリティを強化可能
スイッチとの連携による対応も可能802.1x
認証、MAC認証、DHCP snooping 機能ネットワークの制限より、NAP 対応クライアントの
コンプライアンスに重きを置く場合に向く
DHCP サーバーの配置と構成
DHCP サーバーはセンター配置する事も可能
異なるセグメントからの
DHCP リクエストが中継されるよう、
ルーターに
DHCP
リレーエージェントを設定DHCP サーバーは、フェールオーバークラスタにて 冗長化 可能
セグメント A(192.168.100.x)
セグメント B (128.10.1.x)
DHCP サーバー
(フェールオーバークラスタ構成)
セグメント C (10.10.10.x)
ルーター
(DHCP リレーエージェント設定)
39
ネットワーク ポリシー サーバー
2 台のDHCP サーバーを同一スコープにて、それぞ れ重複しないアドレス プールを構成
192.168.100.1~ 192.168.100.127
192.168.100.128~ 192.168.100.254
1つのスコープを 2 台の DHCP サーバーに分割して提供
1つの サブネットに接続されるコンピュータ数が少なく、
IP アドレス(ホスト ID)数に余裕がある場合のみ
クラスC(マスク
24bit)のサブネットの場合
有効な ホストID:254(x.x.x.1~
x.x.x.254)
接続可能な コンピュータ数:
127
台未満ネットワーク ポリシー サーバー
セグメント(192.168.100.x)
41
New
不正に
IP
アドレスを取得されないよう下記の対策が可能方法1:ネットワークポリシーに
Active Directory
のコンピュータを登録ネットワークポリシーの条件
[コンピュータ グループ]
にActive Directory 上のグループを
登録NAP
対応クライアントのみに有効方法2:DHCP 不正利用禁止機能を持つスイッチを利用する
アラクサラネットワークス社、AX シリーズ:DHCP snooping 機能
ソリトンシステムズ社、H3C セキュリティスイッチ:ユーザー認証機能 など
方法3:DHCP サーバーでの
MAC アドレスのフィルタ
Windows Server 2008 R2 DHCP
フィルター機能IP アドレスのリース可否を、MAC アドレスの許可/不許可のリストに従い処理
0003FF3916FF
⇒ IPアドレス取得NG
•MAC_ACTION={ALLOW}
• 許可するMAC アドレス
•000123456789
•MAC_ACTION={DENY}
•不許可のMAC アドレス
•0003FF3916FF 000123456789
⇒ IPアドレス取得OK
New
MACアドレスに基づき DHCP での IP アドレス付与を制御
許可または拒否
コマンド例:
netsh dhcp server v4 add filter allow 00-15-5D-5D-00-01 "filter description"
43
New