Использование DHCP для настройки VPN-клиентов? В Windows Server 2016 есть функции, которые вам нужны

Опубликовано: 14 Марта, 2023
Использование DHCP для настройки VPN-клиентов? В Windows Server 2016 есть функции, которые вам нужны

Если вы пользуетесь службами DHCP — а кто их не использует в наши дни — возможно, вы используете DHCP на Windows Server. Если вы используете VPN, вы, вероятно, хотели настроить ретранслятор DHCP, но, возможно, столкнулись с проблемой безопасности вашей сети, либо потому, что внутренний интерфейс VPN-сервера находился в неправильной подсети для того, что вы хотели, чтобы клиенты делали, либо потому, что вы приходилось поддерживать несколько клиентских подсетей для разных уровней безопасности. Это распространенная проблема, которая обычно приводит к настройке статических пулов на концентраторе VPN для клиентов, что означает дополнительную работу и отсутствие централизованных служб DHCP. Если это было проблемой в вашей среде, вам следует взглянуть на Windows Server 2016, потому что улучшенные службы DHCP в Server 2016 решают именно эти проблемы!

Проблема

У вас есть сервер DHCP во внутренней сети и концентратор Windows RRAS или другой VPN в экранированной подсети, который должен предоставлять клиентов в нескольких подсетях. Агент ретрансляции DHCP сам по себе не может решить второй сценарий, так как он получит ip.addrs от DHCP на основе исходного ip.addr агента, как определено в RFC 2131, который не будет находиться в той же подсети, что и большинство или все VPN-клиенты. Чтобы решить эту проблему, у многих администраторов нет другого выбора, кроме как настроить несколько VPN-серверов или предварительно выделить диапазоны ip.addrs для каждой клиентской подсети. Ни одна из ситуаций не идеальна.

Решение

Есть два документа RFC, в которых предлагаются усовершенствования служб DHCP в сетях. В обоих случаях необходимость инициализации клиентов включает в себя разделение между клиентами и сервером, с которым не справится простая ретрансляция DHCP. Это может включать в себя несколько подсетей VPN на одном и том же концентраторе, действующем в качестве агента ретрансляции DHCP, или другие сложные сетевые механизмы между DHCP-сервером и клиентами. Служба DHCP Windows Server 2016 включает поддержку как RFC 3011, так и 3527. RFC 3011 — параметр выбора подсети IPv4 для DHCP — предоставляет решение для выбора подсети для назначения DHCP, когда обычные методы используют либо подсеть агента ретрансляции, либо подсеть интерфейса, на который был получен запрос, не подходят. Второй, RFC 3527 — подпараметр Link Selection для параметра информации агента ретрансляции для DHCPv4 — позволяет прокси-серверу DHCP указывать подсеть, из которой назначается адрес.

Хотя оба эти сценария, возможно, являются второстепенными, они настолько распространены, что для их решения были написаны RFC, а Windows Server 2016 теперь их поддерживает, поэтому для некоторых из вас они, вероятно, станут хорошей новостью.

Чего не хватает?

Но теперь минус. Совершенно не связанные с новыми поддерживаемыми возможностями, упомянутыми выше, но также важные, если вы рассматриваете Windows Server 2016 для DHCP, обратите внимание, что возможность поддержки защиты доступа к сети (NAP) больше не поддерживается. Это устарело в Windows Server 2012 R2, но все еще существовало. В Server 2016 его нет. Если вы использовали NAP для защиты доступа к подсетям, вам потребуется что-то еще, например EMS или Intune.

Служба DHCP в Server 2016 работает почти так же, как в 2012 R2 и 2008 R2, с привычным для MSC внешним видом и очень узнаваемыми шагами по настройке параметров и областей. Если вы хотите начать обновление своих серверов и хотите начать со своих служб DHCP, вам должно быть хорошо, если вам не нужен NAP.