Windows Server 8 DHCP Kurulumu ve Yapılandırması – II
İlk makalemizde Server 8 üzerinde DHCP Server kurmuş, authorize ( yetkilendirmiş), ve scope ( IP havuzu) oluşturmuş idik. Bu makalemizde DHCP Server özelliklerini incelemeye devam edeceğiz. Hatırlamamız açısından kavramlara kısaca göz atacak olur isek;
Eğer sistemimizde bir Domain Controller, dolayısıyla AD varsa, yetkisiz bir DHCP Server’ın IP adresi dağıtması mümkün olmaz. Yani bir Domain üyesi DHCP Server’ın IP adresini dağıtabilmesi için, mutlaka yetkilendirilmesi gerekir (Authorized).
Bir DHCP Server yetkilendirildikten sonra, bu AD veritabanına işlenir ve DHCP Server ilk çalıştığında kendi adının AD’de kayıtlı olup olmadığını kontrol eder. Eğer kayıtlı ise yani; daha önce yetkilendirişmiş ise IP adresi dağıtmak için hazırdır. Ancak yetkilendirilmemiş ise o zaman servis durur ve log dosyalarına yazılır.
Birde aynı sistemde DHCP Server kurulu stand-alone yani; Domain üyesi olmayan bilgisayarlar bulunabilir. Bunlar DHCP Server kurulu fakat Domain’e ait olmayan bilgisayarlar grubudur. Açıldıklarında sistemde bir DHCP Server olup olmadığını kontrol için DHCPINFORM mesajı yollarlar, eğer sistemde yetkilendirilmiş bir DHCP Server varsa, bu mesajı yakalar ve DHCPACK mesajı yollar ve sisteme IP adresi dağıtılması engellenir. Tabiki su stand-alone DHCP Server, domain üyesi olmayan bilgisayarlara IP adresi dağıtabilir.
Bu DHCPINFORM mesajı her 5 dakikada bir tekrar edilir. Bunun amacı; eğer sistemde yetkili DHCP Server’ın başına bir şey gelirse onun yerine devreye girmesidir.
Yani stand-alone DHCP Server kurulu bir bilgisayar; sistemde yetkili bir DHCP Server olmadığı durumlarda IP adresi dağıtabilir. Ancak sistemde yetkili bir DHCP Sever varsa; Domain üyelerine IP adresi dağıtamaz, sadece Domain harici bilgisayarlar varsa IP adresi dağıtabilir.
DHCP Server kurulum sırasında oluşturduğumuz 192.168.1.10 – 192.168.1.50 arasındaki IP havuzuna SCOPE denir. Daha geniş anlamda; Bir SUBNET içindeki Client’lara IP adresi dağıtmak için oluşturulan havuza Scope denir. Buradan çıkacak sonuç bir DHCP server aynı anda birden fazla SUBNET’e IP dağıtabilir.
Bir Scope oluşturulurken aktif edilmedi ise Scope IP dağıtmaz ( Biz scope oluştururken active etmiştik). IP dağıtması için aktif edilmesi gerekir. Bir Scop’u aktif etmek için; Scope üzerinde sağ tuşa basılarak açılan menüden Activate seçeneğinin seçilmesi gerekir
Şekil 1
Daha önce DHCP Server’ın Authorize edilmesini incelemiştik. Bir DHCP Server yetkilendirilince altında bulunan tüm Scope’lar IP adresi dağıtmaya hazır hale gelebilir. Ancak bu Scope’ların IP adresi dağıtabilmesi için hepsinin Activate edilmesi gerekir. Yani DHCP Server servisindeki Authorize ana kilit, Scope’lardaki Activate ise oda kilitleri olarak düşünebiliriz. Bu iki kavramı karıştırmamalıyız.
Activate edilmiş bir Scope yine aynı yoldan Deactivate edilebilir.
Evet kısa bir hatırlatmadan sonra kaldığımız yerden devam edebiliriz.
ADRESS POOL
Scope altında bulunan bu ilk seçenek üzerine tıklandığında, ekranın sağ köşesinde scope içinde bulunan IP adres havuzu ve başında kırmızı çarpı işareti bulunan bu havuz içinde; dağıtılmayacak IP adreslerinin listesi (Exclusion Range) bulunur.
Şekil 2
Yukarıdaki şekilde IP adres aralığı 192.168.1.10 – 192.168.1.50 arasındadır. Ancak 192.168.1.20 – 192.168.1.25 IP aralığı devre dışı bırakılmıştır. Yani DHCP Server bu aralıktaki IP adreslerini dağıtmayacaktır. Bunun için devre dışı bırakılmıştır.
Eğer başka bir IP adresini yada IP adres aralığını devre dışı bırakmaya yani dağıtılmamasına karar verirsek Adress Pool üzerinde sağ tıklıyoruz ve New Exclusion Range diyoruz. Gelen ekranda IP adresini veya aralığını yazarak Add butonuna basarız ve Close butonu ile bu ekrandan çıkarız.
Şekil 3
ADDRESS LEASES
Bu bölümde oluşturduğumuz Scope’dan IP adresi almış Clientların listesi ve özellikleri görülür. İstersek manuel olarak kiralama süresini sonlandırabiliriz.
Şekil 4
Şu an için bizim DHCP Server’ımızdan IP adresi alan istemci makine görülmemektedir.
RESERVATION
Bu kısımda ise Scope içindeki belirli IP’lerin hep aynı clientların almasını istersek o client için Statik IP adresi ayarlayabiliriz. Bu durum genelde IP adresinin değişmemesi gereken makineler için yapılır.
Örneğin bizim Print Server olan bir makinemiz vardır ve hep aynı IP adresini alması gerekiyordur. Bunun için statik IP adresi vereceğimiz bilgisayarın MAC adresini öğrenmemiz gerekir. Bunun için komut satırına ipconfig /all yazmalıyız.
MAC adresini öğrendikten sonra Reservation üzerinde sağ tuşa basılarak New Reservation seçilir.
Gelen ekranda IP adres kısmına atayacağımız statik IP adresini ve MAC adresini araya çizgi koymadan yazarız.
Şekil 5
Exclusion ve Reservation çakışmsaı durumunda; yani ikisinde de aynı IP adreslerinin yazılması durumunda geçerli olan Exclusion’dur. Statik IP’nin uygulanabilmesi için Exclusion’ın kaldırılması gerekir.
Microsoft işletim sistemi kullanmayan bazı eski işletim sistemleri DHCP yerine BOOTP kullanırlar. Aynı şekilde RIS (Remote Installation Services) istemcilerde BOOTP protokolünü kullanırlar. BOTH işaretli olursa her iki yapıya da destek verir.
Reservation oluştuktan sonra üzerinde sağ tuşa basılarak bu istemci için özel atamalar yapılabilir. Bu atamalar diğer özel atamalar içinde en baskın olanıdır.
Özel atamalar olarak kabul ettiğimiz IP adresi, Subnet Mask’ı yollarken yanında DNS, WINS veya Router’ın IP adresi atanmış makineye vereceğimiz seçenekleri belirler.
Şekil 6
SCOPE OPTIONS
Bu bölümde Scope’a ait diğer özellikleri (WINS, DNS, ROUTER) dağıtmak için kullanılır. Eğer bu özellikleri birden fazla scope için kullanacaksak o zaman Server Options seçeneğini kullanmamız gerekir.
Scope options veya Server options üzerinde sağ tıklanarak Configure Options seçeneğine tıklanır.
Şekil 7
Şekil 8
Genaral sekmesinde uygulanacak seçenekler belirlenir. Bu sekmede Default Gateway için: 003 Router, DNS Server için: 006 DNS Server ve WINS Server için: 044 WINS/NBNS Servers ile 046 WINS/NBT node type belli başlı önemli seçeneklerdir.
CLASS ID
Reservation, Scope ve Server için ekstra özellikler gönderebileceğimize değindik. Ancak aynı Scope içinde statik IP özelliğini kullanmadan farklı bilgisayarla farklı özellikler kazandırmak için ne yapacağız?
Örneğin: 200 IP adresi dağıtan bir Scope yapımız var. Ancak bu Scope’u kullanan 100 adet desktop, 200 adette günde sadece 1 saat sisteme giren gezgin laptop var. Varsayılan olarak IP kiralama süresi 8 gün o zaman 300 bilgisayara bu Scope yetersiz kalır. Biz yerleşik bilgisayarların süresini azaltmak istemiyoruz ama laptop kullananlara maksimum 1 saatlik süre vermek istiyoruz. Bu işlem için en uygun yol Class ID oluşturmaktır.
Şimdi bir örnekle Class ID oluşturalım.
DHCP Server üzerinde IPv4 sekmesinde sağ tuşa basarak Define User Classes.. seçeneğine tıklanır.
Şekil 9
Gelen ekranda Add butonuna tıklanır. Ekranda Display Name kısmına; bu class için bir isim verilir. İstenirse Description kısmına açıklama yazılır. Daha sonra ASCII kısmına bu Class’ı temsil edecek numara yazılır. Biz örneğimizde 4444 yazacağız.
Şekil 10
Bu numarayı ve verdiğimiz ismi unutmamalıyız. Çünkü bu bilgiler ile istemci bilgisayarlar yapılandırılacak. OK tuşuna basarak işlemi tamamlayalım.
Server 2008 / R2 de hangi Scope’u atayacak isek o Scope’un Scope Options seçeneği üzerinde sağ tuşa basarak; Configure Options seçeneğine tıklayarak bu işi gerçekleştirebiliyorduk. Ancak Server 8’ de Rezervation kısmında sağ tıklayarak Configure Options seçmemiz gerekmekte.
Şekil 11
Advanced sekmesine geçelim, User Class kısmında önceki kısımlarda oluşturduğumuz LAPROPCULAR isimli Class’ı seçelim. Avaliable options kısmında hangi özelliği kazandırmak istiyorsak seçip gerekli ayarları yapalım (senaryomuz gereği kiralama süresini belirleyen 051 Lease seçeneğini işaretleyerek, saniye cinsinden bir saatin karşılığını 3600 olarak Data Entry; Long kısmına girdik).
Şekil 12
Bu ayarlamaları yaptıktan sonra OK diyerek bu pencereyi kapatabiliriz. Bu işlemler ile DHCP Server üzerinde gerekli ayarlamaları yapmış olduk. Şimdi ise bu özelliklerden yararlanmak istediğimiz istemci bilgisayar üzerinde ayar yapmamız gerekiyor.
İstemci bilgisayarda komut satırına geçilerek ipconfig /release yazarak IP adresini bırakırız. Ardından oluşturduğumuz Class’ı tanımlayan satırı yazarız. Bu satır;
Ipconfig /setclassis “Local Area Connection” 4444
Ipconfig /renew yazarak tekrar IP adresini alırız.
Eğer Client bilgisayarda kullandığımız Class ID’yi iptal etmek istiyorsak o zaman aşağıdaki satırı yazmamız gerekir.
Ipconfig /setclassid “Local Area Connection”
4 adet özellik dağıtma mekanizmasını inceledik. Çakışma olduğu zaman bunlar arsındaki baskınlık sırasını, en baskınından, en az baskınına doğru sıralayacak olursak;
Reservation — Class — Scope — Server
Ayrıca Class ID’yi tanımladığımız yerden Vendor Class tanımlayarak Microsoft Windows 2000 Options, Microsoft Windows 98 Options, Microsoft Options işletim sistemlerine değişik özellikler verilebilir.
SCOPE İSTATİSTLİKLERİ
Scope üzerinde sağ tuşa basarak Display Statistics seçeneğine tıkladığımızda, bu Scope’a ait genel istatistikler gelir. Bu ekranda toplam dağıtılacak IP adres sayısının yanı sıra, kullanılan IP adresleri ile kullanılabilecek IP adres miktarlarını görebiliriz.
SCOPE GENEL ÖZELLİKLERİ
Scope üzerinde sağ tuşa basılarak Properties seçeneğine tıkladığımızda 4 tab sekmesinden oluşan bir ayarlar ekranı karşımıza gelir. Bunlardan ilki genel özelliklerin bulunduğu General sekmesidir.
Şekil 13
Bu kısımda bulunan Scope Name ile Scope’un ismini değiştirebiliriz. Ayrıca Scope havuzunu değiştirmek için Start IP ve End IP adres seçeneklerini kullanabileceğimiz gibi, kiralama süresini de değiştirebiliriz. Unlimited seçeneği ile sınırsın kiralama yapabiliriz. Burada değiştiremeyeceğimiz tek şey Subnet mask değeridir. Eğer subnet mask değerini değiştirmemiz gerekirse Scope yeniden oluşturulmalıdır.
Bu kısımda bir diğer özellik DNS kısmıdır. Bu kısımda DNS ile DHCP hizmetlerinin birbirleriyle uyumlu çalışması için gereken ayarları yapabiliriz
Şekil 14
Bir istemci DHCP’den IP adresi aldığı zaman bu kaydın otomatik olarak DNS Server’a yapılabilmesi için yukarıdaki ekranda Enable DNS dynamic updates According to the settings below kutucuğunun dolu olması gerekir. Bu dinamik kaydın DHCP istemcilerden gelen istek doğrultusunda mı yoksa her zaman mı yapılacağı alttaki seçeneklerden birisisini seçerek kararlaştırılır.
Bir DHCP istemcinin kiralama süresi dolduğu zaman bunun otomatik olarak DNS Server’dan silinmesi için Discard A and PTR records when lease is deleted kutucuğunun doldurarak sağlıyoruz.
Windows 2000 öncesi DHCP istemcilerin dinamik güncelleme olayından yararlanmasını istiyorsak o zaman Dynamically update DNS A and PTR records for DHCP Clients…. Kutucuğunu doldurmamız gerekir.
Windows 2008 R2 ile beraber Name Protection (isim koruma) özelliği gelmiştir ve 8 ile birlikte devam ettiğini görmekteyiz. Name Squatting Windows olmayan işletim sistemlerinin DNS üzerinde bir Windows işletim sistemi tarafından yaratılmış olan kaydın üzerine yazabilmesine denir. Sadece Windows istemcilerin olduğu bir Active Directory Domain’inde “Computer” isimlerinin benzersiz olması kontrol edebilmektedir. Bu sebeple bir kontrol mekanizmasına ihtiyaç yoktur.
Ancak Windows işletim sistemleri dışındaki sistemlerin kayıtların üzerine yazmasını engellmek için ise Dynamic Host Configuration Identifier (DHCID) adı verilen ve 4701 ile 4703 RFC’lerinde belirtilen kurallar çerçevesinde yeni bir kayıt türü oluşturulmuştur. DHCPID ile bir ismin daha önce başka bir sistem tarafından alındığını doğrulamaya yarar. Böylelikle DHCPID’sini eşleşmeyen sistemlerin aynı ismi kullanarak daha önce yaratılmış olan kayıtlara sahip olması engellenmiş olur.
Name Squatting için geliştirilen bu engellemenin çalışabilmesi için DNS zone’ları üzerine “secure-only” güncelleştirme seçilmiş olmalıdır. Ayrıca DHCP sunucusunun hem A/AAAA hem de PTR kayıtlarını güncelleştirmesi için scope özelliklerinde seçim yapılmış olması gerekmektedir.
Bu özelliği etkinleştirmek için IPv4 veya IPv6 scope özelliklerinde DNS sekmesinde belirtilen Name Protection alanından Configure butonuna basarak yeni açılan pencerede Enable Name Protection seçimi yapılmalıdır. Seçim sonrası DNS sekmesinde yer alan seçenekler devre dışı kalacaktır.
Network Access Protection sekmesinde ise DHCP ile NAP’ın entegre çalışması sağlanır
Şekil 15
Bu sayede ağa uygun özellikleri olmayan makinelerin girmesi engellenmiş olur, yani DHCP Server uygun olmayan makinelere IP adresi dağıtmaz. Bunu yapmak için NAP’ın yüklenmiş olması gerekir
Şekil 16
Advanced sekmesinde ise IP atama türünü belirleyebiliriz. Eğer yapımızda eski sistemler var ise BOOTP’i de dahil eden Both seçeneğini işaretlememiz gerekir. Eğer BOOTP’i yi seçersek buna ait kiralama süresini de belirtmemiz gerekir
DHCP ÖZELLİKLERİ
DHCP İSTATİSTLİKLERİ
DHCP Server açılıp IPv4 üzerinde sağ tıkladığımızda karşımıza gelen menüden Display Statistics seçeneğine tıkladığımızda tüm DHCP server içinde bulunan IPv4 Scope’larına ait istatistikleri görebiliriz.
Şekil 17
IPv4 üstüne gelip sağ tıklayıp properties’i seçtiğimizde karşımıza aşağıdaki gibi bir ekran gelir.
Şekil 18
İlk sekme olan Genaral sekmesinde Automatically update statistics every kutusunun başındaki kutuyu doldurarak istatistik bilgilerini güncelleme süresini belirleyebiliriz.
Yine Enable DHCP audit logging kutusunu doldurarak günlük aktivitelerle ilgili log dosyalarını tutmayı sağlayabiliriz.
Buradaki son seçenek ise Show the BOOTP table folder ise eğer sistemde BOOTP istemciler var ise, doldurmamız gereken bir seçenektir.
İkinci sekme olan DNS sekmesi ise Scope bölümünde işlediğimiz DNS tab sekmesindeki ayarlar ile aynıdır. Tek fark IPv4 altındaki tüm Scope’lara etki etmesini istiyorsak buradan ayarlama yapabiliriz.
Şekil 19
Üçüncü sekme olan NAP sekmesi yine Scope kısmında gördüğümüz NAP ile farklılıkları vardır. Tüm Scope’lara etki etmesini istiyorsak buradan aya yaparız. Ama öncelikle NAP Server’ın kurulması gerekmektedir. Yine buradaki farklılık ise NPS (Network Policy Server) erişilemiyorsa DHCP server nasıl davransın seklinde üç adet davranış seklinden birisini belirleyebiliyoruz.
1- Full Access ( Tam erişlim)
2- Restricted Access ( Kısıtlanmış erişim)
3- Drop Client Packet ( İstemci paketlerini düşür, geçirme)
Dördüncü sekme olan Filters sekmesi ise Windows 2008 R2 ile gelen bir özelliktir. Server 8’de devam etmektedir. Bu sekmede MAC tabanlı filtreleme yapabiliriz.
MAC adresi seviyesinde IP kiralama isteklerinin cevaplanması ile ilgili kontrol artık Link Layer seviyesinde yapılabilmektedir.
Bü özellik sadece Windows Server 2008 R2 DHCP sunucusu üzerinde tanımlanabilir. Ancak DHCP istemci kapsamında bir zorunluluk yoktur. Tüm Windows ve Windows olmayan işletim sistemleri için kullanılabilir.
Sadece IPv4 adresleri için uygulanabilir.
DHCP protokolünde yer alan DISCOVER, RENEW ve INFORM gibi operasyonlar bu kurala tabi olacaktır. Ancak diğer DHCP sunucuları tarafından gönderilen ve Rogue DHCP sunucularını belirlemek için kullanılan DHCPINFORM paketleri bu kapsam dışındadır. Böylelikle MAC adresi seviyesinde filtreleme yaptığımız listede olsun olmasın başka bir DHCP sunucusu tarafından gönderilen bu istekler kabul edilecektir.
Bu özelliği etkinleştirmek için IPv4 scope özelliklerinde Filters sekmesi kullanılabilir. Enable Allow List (Kabul listesini etkinleştir) ve Enable Deny List (Red Listesini etkinleştir) olmak üzere iki farklı liste tanımı yapılabilir.
“Ethernet” dışındaki tüm ağ donanım türleri muaf tutulmaktadır. Özellikler/Filters sekmesinde yer alan Advanced bölümünde ise muaf tutulan diğer ağ tiplerinin eklenmesi sağlanabilir.
Özellikler/Filters sekmesinden etkinleştirme yapıldıktan sonra DHCP konsolu üzerinde Filters scope adında yeni bir bölüm oluşturulacaktır. Özelliklerden yapılan tanıma göre “Allow” ve “Deny” listelerinin buradan tanımlanabilir. Ayrıca belirli bir listeyi etkinleştirmek veya devre dışı bırakmak için yine bu bölüm kullanılabilir.
MAC adreslerinin oluşturulacağı listede ‘*’ gibi karakterler kullanılabilir. Ancak kullanımına dikkat etmek gerekiyor çünkü IP adresi alması gereken bir istemci yanlış ‘*’ kullanımı ile RED listesinde yer alabilir.
Şekil 20
Şekil 21
Server 8 ile birlikte gelen Failover sekmesinde ise; DHCP server’ın başına olumsuz bir şey gelmesi halinde ağımızdaki iletişimin kesilmemesi için gelmiş olan bir özelliktir. DHCP Failover sayesinde bir DHCP server üzerinde oluşturulan scope başka bir DHCP servera replikasyon yöntemi ile çoğaltılarak sistemin devamlılığı sağlanmaktadır.
Son sekme olan Advanced sekmesinde ise; Çakışabilecek IP adreslerini önlemek için, bir Client; IP adresi istediği zaman bu adresi vermeden önce sistemde bu IP adresin kullanılıp kullanılmadığını tespit etmek için, kaç kez teşebbüste bulunulacağını belirten Conflict detection attemps önemli bir seçenek olup maksimum verilebilecek sayı 5’ tir.
Şekil 22
Ayrıca Genaral sekmesindeki log dosyası tutulmaya karar verildiğinde bu log dosyalarının nerede tutulacağını Audit log file path kısmında belirtilir.
Database path bölümü ise DHCP Server konsolunda server adı üzerinde sağ tuşa basıp properties kısmında görülür.
Şekil 23
Database path kısmında DHCP bilgilerini tutan veritabanın nerede tutulacağını belirtir. DHCP bilgilerinin tutulduğu veri tabanının adı dhcp.mdb’ dir
Backup path kısmında ise; otomatik olarak dhcp.mdb veritabanının yedeğinin nereye alınacağı belirtilir. Bu yer %systemroot%\system32\dhcp\backup klasörüdür.
En basit şekliyle Restore yapılırken yani dhcp.mdb’nin başına bir şey geldiği zaman yedekten veritabanını yüklemek için;
1- DHCP Server servisi durdurulur. Bunun için komut satırına geçilerek şu komut verilir net stop dhcpserver
2- %systemroot%\system32\dhcp içindeki tüm dosyalar silinir veya başka bir yere taşınır.
3- Yedek dosyası %systemroot%\system32\dhcp\backup\new klasörü içindeki dhcp.mdb dosyasıdır. Bu dosya buradan kopyalamak suretiyle alınarak esas veritabanının bulanacağı yere yani %systemroot%\system32\dhcp klasörü içine yapıştırılır.
4- Komut satırına net start dhcpserver komutu yazılarak DHCP Server servisi yeniden başlatılır.
MANUAL BACKUP
Eğer herhangi bir zamanda Manuel backup yapmak istersek aşağıdaki adımları takip etmemiz gerekir.
DHCP Server konsolundan bilgisayar isminin yazdığı yere sağ tıklanır ve Backup seçeneğine tıklanır.
Şekil 24
Gelen ekranda Backup alınacak yer seçilir ve OK tuşuna basılır.
Şekil 25
Yine aynı şekilde veritabanını yeniden yüklemek için aynı yerde Restore butonuna basılır. Gelen ekranda OK tuşuna bastığımızda, otomatik olarak servis durdurulur restore yapılır ve servis başlatılır.
DHCP SERVER VERİTABANIN BAKIMI
Tüm .mdb dosyalarında olduğu gibi dhcp.mdb dosyasıda zamanla işlem yapıldıkça şişme olur. Bütün bu işlemlerden önce ise dhcp veritabanının yedeği alınmalıdır. Bakım yapmak için;
Dhcp.mdb dosyasının bulunduğu yere komut satırından gidilir. %systemroot%\system32\dhcp
Şekil 26
DHCP Server servisi durdurulur.
Şekil 27
Jetpack.exe kullanılarak veritabanının bakımı yapılır. Jetpack dhcp.mdb temizle.mdb. Burada bizim bakıma aldığımız dhcp.mdb içeriği sıkıştırılarak orijinal boyutuna getirilip, temizle.mdb içine kopyalanıyor. Orijinal dhcp.mdb siliniyor ve temizle.mdb ise; dhcp.mdb olarak değiştiriliyor. Tabiî ki biz bu işlemleri göremiyoruz.
Tekrar DHCP Server servisi start ettirilir.
Windows Server 8 DHCP Kurulumu ve Yapılandırması – I Makalesi için Tıklayınız.
Windows Server 8 DHCP Kurulumu ve Yapılandırması – III Makalesi için Tıklayınız.
Murat KOÇAK
IT Professional
Kategori: Windows Server

Emeğine Sağlık Murat Hocam..
Eline sağlık Murat hocam.