Администрирование

Введение

Отказ основного контроллера домена способен парализовать аутентификацию и блокировать работу корпоративных сервисов. Настройка резервного контроллера в Active Directory является критическим этапом проектирования отказоустойчивой инфраструктуры. Правильно организованный узел обеспечивает непрерывность доступа, корректное применение групповых политик и стабильную репликацию объектов каталога между сайтами.

Требования и подготовка окружения

Установка роли на Windows Server 2025 или 2022 не имеет принципиальных отличий от предыдущих версий ОС. Сервер должен иметь статический IPv4-адрес, корректно настроенные DNS-записи и синхронизацию времени по NTP. Критически важно проверить сетевую связность: фаерволы не должны блокировать порты TCP/UDP 53, 88, 135, 389, 445, 464, 636, 3268, 3269.

Компонент	Основной DC	Резервный контроллер
FSMO-роли	Все 5 ролей	Отсутствуют (по умолчанию)
Служба DNS	Авторитетная	Зеркальная зона AD
Синхронизация	Исток изменений	Пассивный репликатор
Резервное копирование	Системное состояние	Системное состояние

Компонент

Основной DC

Резервный контроллер

FSMO-роли

Все 5 ролей

Отсутствуют (по умолчанию)

Служба DNS

Авторитетная

Зеркальная зона AD

Синхронизация

Исток изменений

Пассивный репликатор

Резервное копирование

Системное состояние

Развертывание и проверка топологии

Запустите мастер Server Manager или используйте PowerShell для автоматизации. Команда ниже инициирует промотацию и настраивает репликацию с существующим источником.

Install-ADDSDomainController -NoGlobalCatalog:$false -Credential (Get-Credential) -DomainName "corp.local" -InstallDns:$true -SafeModeAdministratorPassword (ConvertTo-SecureString "Str0ng!Pass#2025" -AsPlainText -Force) -Force:$true

После перезагрузки проверьте статус синхронизации через repadmin /showrepl. Задержки репликации более 15 минут требуют внимания. Для мониторинга используйте Event Viewer (лог Microsoft-Windows-DirectoryService) или скрипты проверки кодов 1311, 1988. В случае аварии резервный контроллер автоматически примет недостающие FSMO-роли, обеспечивая непрерывность работы Active Directory. Рекомендуется настроить мониторинг задержек и периодическое тестовое переключение ролей.

Вопрос-ответ (FAQ)

Вопрос 1: Можно ли назначить FSMO-роли резервному контроллеру?

Ответ 1: Да, это стандартная практика для балансировки нагрузки. Роли можно перенести вручную через PowerShell или оснастку Перенос ролей.

Вопрос 2: Как восстановить данные после удаления основного DC?

Ответ 2: Используйте инструмент NTDSUTIL для проведения авторитетного восстановления (Authoritative Restore) или восстановите из бэкапа с помощью Windows Server Backup.

Вопрос 3: Требуется ли отдельная лицензия на резервный сервер?

Ответ 3: Нет, если сервер работает в рамках существующей лицензии на виртуализацию или физическое оборудование, но требует CAL для каждого пользователя/устройства.

Введение

Протокол DHCP критичен для автоматической выдачи IP-адресов, но его уязвимость к несанкционированному доступу делает его приоритетной мишенью. Злоумышленники истощают пулы, разворачивают поддельные серверы или перехватывают трафик. Грамотная настройка безопасности DHCP требует комплексного подхода на уровне сети, ОС и политик доступа.

Основные векторы атак

Атака истощения (DHCP Starvation) генерирует тысячи Discover-пакетов, исчерпывая доступные адреса и вызывая DoS. Rogue-серверы выдают вредоносные DNS и шлюзы для MITM-атак. Управление scope-ами и пулами должно строго следовать принципу наименьших привилегий, чтобы исключить расширение адресного пространства несанкционированными пользователями.

Сетевые механизмы защиты

Базовая защита сервера обеспечивается на уровне L2-коммутации. DHCP Snooping фильтрует неавторизованные DHCP-сообщения, разделяя порты на доверенные и недоверенные. В связке с IP Source Guard и Dynamic ARP Inspection функции блокируют подмену MAC/IP и ARP-спуфинг, гарантируя легитимность маршрутизации и целостность таблиц ARP.

Угроза	Метод противодействия	Уровень реализации
DHCP Starvation	Rate Limiting, Snooping	Коммутатор
Rogue DHCP	Доверенные порты, Source Guard	Коммутатор
Несанкционированный доступ к пулам	Least Privilege, сегментация	ОС / AD
ARP Spoofing	Dynamic ARP Inspection	Коммутатор

Примеры конфигурации

В ISC DHCP Server отключите выдачу адресов незнакомым клиентам и укажите authoritative режим:

authoritative;
deny unknown-clients;
subnet 192.168.10.0 netmask 255.255.255.0 {
    range 192.168.10.100 192.168.10.200;
    option routers 192.168.10.1;
    option domain-name-servers 8.8.8.8;
    max-lease-time 86400;
}

Настройка коммутатора Cisco для фильтрации и лимитирования:

interface GigabitEthernet0/1
ip dhcp snooping trust
interface GigabitEthernet0/2
ip dhcp snooping limit rate 100
ip verify source port-security

Интеграция с Active Directory

Корпоративная безопасность DHCP неразрывно связана с Active Directory. Авторизация DHCP-серверов в AD блокирует запуск Rogue-узлов в домене. Разделение прав доступа к консоли управления и реестру минимизирует инсайдерские риски. Регулярный аудит журналов событий и анализ DORA-трафика в Wireshark позволяют оперативно фиксировать аномалии и реагировать на инциденты в реальном времени.

Вопрос-ответ (FAQ)

Как быстро определить Rogue DHCP-сервер в сети?

Используйте сканирование UDP-портов 67/68 и анализ MAC-адресов производителей. Включение DHCP Snooping автоматически блокирует ответы от недоверенных портов коммутатора.

Влияет ли включение Snooping на производительность сети?

Минимально. Современные коммутаторы обрабатывают контроль на уровне ASIC. Правильный расчет лимитов пакетов (rate limiting) предотвращает перегрузку CPU.

Обязательно ли настраивать отказоустойчивость DHCP?

Да, используйте Failover-кластеры (Hot Standby или Load Balance). Шифруйте канал синхронизации и ограничивайте доступ к резервным узлам строгими ACL.