Inhoud van deze Opdracht; - TCP/IP - DHCP

Onderhoud en Beheer Informatiesystemen. 70_642 opdracht TCP/IP en Dhcp. Deze opdracht maakt gebruik van de VApp DualNic. Opdracht werkend getest in VNIA. DOCENTENEXEMPLAAR Inhoud van deze Opdracht; - TCP/IP - DHCP Inhoudsopgave; Doel van deze opdracht;... 1 Inleiding.... 1 Subnetrekenen... 2 DHCP.... 3 Tweede Dhcp server... 6 Dhcp Relay Agent... 8 Onderhoud DHCP server.... 12 APIPA.... 14 Netwerkmonitor... 15 Doel van deze opdracht; - Oefenen IP rekenen, inclusief subnetting - Oefenen DHCP installatie, inclusief relay agent - Inzicht verkrijgen in de dhcp procedure (DORA) - Onderhoud en backup van de dhcp service Inleiding. In deze opdracht ga je een netwerk bouwen voor het bedrijf Subsystem. Dit bedrijf heeft 2 vestigingen. Het hoofdkantoor bevindt zich in s- Hertogenbosch. Het bijkantoor bevindt zich in Boxtel. Het netwerk van Subsystem bestaat uit 4 subnetten. Het subnet van de lokatie s- Hertogenbosch zal een Dhcp server gaan bevatten, het subnet van het bijkantoor niet. In het subnet van de lokatie Boxtel dient daarom een Relay agent te worden geinstalleerd. De opdracht bestaat uit twee onderdelen die elk een eigen situatie behandelen. In deel 1 hebben we twee DHCP servers in het subnet van 's- Hertogenbosch staan die elkaar aanvullen in het DHCP-werk. Ook hebben we in dat subnet een Win7 client nodig om een en ander te kunnen testen. Zie netwerktekening situatie deel 1 voor meer details. Augustus 2010 pagina 1 van 18

In deel 2 gaan we het bedrijfsnetwerk uitbouwen met een tweede pand in Boxtel. Een van de twee DHCP servers uit 's-hertogenbosch zal dan worden verplaatst naar Boxtel. Dit heeft gevolgen voor de IP configuratie van het netwerk als geheel en de IP configuratie van alle machines in het netwerk. Zie netwerktekening situatie deel 2 voor meer details. Het totale netwerk van Subsystem moet je bouwen in de cloud. Daarvoor heb je de VApp DualNIC nodig. In deze VApp zijn de machines al gekoppeld aan de vereiste netwerkverbindingen. Jij moet alleen de juiste ip adressen toekennen aan de juiste verbindingen om het geheel correct werkend te krijgen. 's- Hertogenbosch gebruikt NW1 OBI. Voor een overzicht van het nu te bouwen netwerk verwijs ik je naar de bijlage Netwerk, situatie 1. Subnetrekenen Om het netwerk voor Subsytem te kunnen bouwen moet je eerst de IPconfiguratie van de te gebruiken subnetten vast stellen. Gebruik daarvoor de private range 192.168.0.0 /26 Opdracht 1. Gebruik het Ip plan voor een netwerk dat bestaat uit 4 subnetten. Gebruik daarbij onderstaande tabel; NetID subnetmasker Eerste host Laatste host broadcast 192.168.0.0 255.255.255.192 192.168.0.1 192.168.0.62 192.168.0.63 192.168.0.64 255.255.255.192 192.168.0.65 192.168.0.126 192.168.0.127 192.168.0.128 255.255.255.192 192.168.0.129 192.168.0.190 192.168.0.191 192.168.0.192 255.255.255.192 192.168.0.193 192.168.0.254 192.168.0.255 Augustus 2010 pagina 2 van 18

Start de VApp op. Richt nu een virtuele machine DC_DHCP in. Gebruik hiervoor de machine X86-1-Win2008. Hostname wordt DC-DHCP. Voorzie de WAN verbinding van DC_DHCP van het eerst beschikbare static ip adres van het eerste subnet. Disable de verbinding LAN. Via het network sharing center; Disable IPv6 In de properties van IPv4; Stel het juiste IP adres volgens het gegeven IP plan. (eerst beschikbare ipadres van het eerste subnet) Vul géén DNS server in. Rename daarna de verbinding tot Hoofdkantoor. Maak DC_DHCP Domain Controller van het domein Dhcp.nl. (Run Dcpromo) Laat automatisch de DNS ip settings invullen. Hiermee gebruikt DC_DHCP zelf zijn eigen ip adres (127.0.0.1 verwijst naar de eigen "broekzak" ) als hem gevraagd wordt om in DNS iets te resolven, de local Host. Zou DC_DHCP ooit een ander ipadres krijgen, dan hoeven we het adres van de DNS server voor DC_DHCP in elk geval niet te wijzigen Kies; Create a new domain in a new forest; FQDN wordt Dhcp.nl Forest functional Windows Server2008 Accepteer de waarschuwing over de DNS delegation; die ken je vanuit de module 70-640. DHCP. Om in het netwerk een stukje faulttolerance in te bouwen kunnen we de 80/20 regel hanteren bij de opzet van DHCP. We bouwen dan twee Dhcp servers in ons netwerk. De eerste server verzorgt binnen het subnet ( en dus de scope) 80 % van alle beschikbare ip adressen. De andere server verzorgt de overige 20 %. Mocht de hoofdserver uitvallen, dan kan de tweede server in elk geval nog client aanvragen bedienen. Aangezien toch nooit alle dhcp clients tegelijk zullen aanstaan kun je met 20 % van alle beschikbare ip adressen toch meer clients bedienen dat aantal beschikbare adressen. Augustus 2010 pagina 3 van 18

Eventueel kunnen we zelfs de lease duration naar beneden bijstellen, zodat uitgegeven ip adressen sneller beschikbaar komen voor heruitgifte. Een kortere lease duration levert natuurlijk wel meer netwerkverkeer op Installeer nu de DHCP service en richt DC_DHCP in als DHCP server. Nu moeten we in ons subnet twee scopes gaan inrichten; Eén scope die 80% van de beschikbare ip adressen bevat en een scope die de overige 20 % bevat. We beginnen met de scope voor het hoofdkantoor. Deze gaan we meteen splitsen in twee delen, één deel( 80%) te verzorgen door onze DC_DHCP, en een ander deel(20%), te verzorgen door een later in te richten tweede server, Member_DHCP. Member_DHCP moet dan wel in hetzelfde subnet aanwezig zijn. Om onze servers een vast ip adres buiten de scope te kunnen geven, zullen we de scope beginnen vanaf het 10 e ip adres. We beginnen onze eerste scope daarom met 192.168.0.11 Grafisch ziet dit er zo uit; Totale subnet van 192.168.0.1 tot en met 192.168.0.63, te verdelen in een deel gereserveerd voor servers met een vast ip adres en de DHCP scope vanaf het 10e ip adres. Scope te verdelen in twee stukken, te verzorgen door twee afzonderlijke DHCP servers. ( split scope) Start 192.168.0.1 Eind 192.168.0.63 scopedeel DC_DHCP tot 192.168.0.50 Eerste 10 ip adressen buiten de scope gehouden voor servers met een vast adres. Tweede deel van de scope; dat scopedeel wordt straks ingericht op (en verzorgd door) een andere Dhcpserver, namelijk Member_DHCP. Augustus 2010 pagina 4 van 18

Aldus op DC_DHCP; We gebruiken een wired network. Scopenaam; Hoofdkantoor80%. In ons netwerk treedt DC_DHCP ook op als default gateway van dit subnet. In de meeste gevallen wordt deze taak natuurlijk niet uitgevoerd door een DC. Disable DHCPv6 stateless mode. Zorg ervoor dat DC_DHCP als DHCP server geauthoriseerd wordt! Maak verder gebruik van de scopegegevens zoals hieronder vermeld. Geef in elke scope de volgende scope options mee; - Router ( steeds het eerste ip adres van het betreffende subnet) - dns domainname - timeserver DC_DHCP - dnsserver DC_DHCP( elk subnet dezelfde dnsserver) - nameserver DC_DHCP( de Dns server wordt tevens nameserver voor deze Dns zone) Regel dit nu alvast voor de eerste scope. De tweede scope configureren we later. Richt nu de Windows7 machine in. Gebruik de machine Windows7 Kaal. Hostname wordt: Win7. Stel op de netwerkverbinding LAN2 in dat Win7 DHCP client is. Rename de verbinding tot Hoofdkantoor. Disable de verbinding LAN. Maak Win7 GEEN lid van het domein. Ga na dat Win7 toch direct een ipadres krijgt van DC_DHCP. Vraag met Ipconfig /all de ipconfiguratiegegevens van Win7 op. Noteer hieronder de volgende informatie; a. IPv4 IPadres; b. Default gateway;.. c. DHCP server; d. DNS server;.. Augustus 2010 pagina 5 van 18

Antwoorden b t.m. d zijn identiek ; lp adres van DC_Dhcp. Tweede Dhcp server. Richt nu de tweede server in. Gebruik hiervoor de machine X86-2- Win2008. Hostname wordt Member_DHCP. Ga na dat Member_DHCP twee netwerkverbindingen heeft. Rename de verbinding WAN weer tot Hoofdkantoor en voorzie deze verbinding van het tweede beschikbare static ip adres van het netwerksegment in Den Bosch. De machines kunnen nu pingen; ga dit na. Maak Member_DHCP vervolgens lid van het domein, maak hem niet tot Domain Controller. Installeer ook hier weer de rol van Dhcp server. Laat de DNS server van het parent domain even validaten. Maak ook hier weer een scope aan, Scopenaam Hoofdkantoor20%. Ditmaal wordt de scope het restant van het subnet, dat niet is ondergebracht in de scope van DC_DHCP. Denk aan de scope options... Op DC_DHCP: Voeg in de console van DC_ DHCP de machine Member_DHCP toe als tweede Dhcp server. Augustus 2010 pagina 6 van 18

Ga na dat beide Dhcp servers een scope hebben waarbinnen zij authorized zijn. Het kan wel even duren voordat de informatie doorkomt... Zet op DC_DHCP de Dhcp server services stop. Release en renew het IP adres van Win7. Vraag met Ipconfig /all de ipconfiguratiegegevens van Win7 op. Noteer hieronder de volgende informatie; e. IPv4 IPadres; f. Default gateway;.. g. DHCP server; h. DNS server;.. Augustus 2010 pagina 7 van 18

Ga aan de hand van je antwoord na dat Win7 nu een ip adres heeft gekregen via Member_DHCP. Die staat nu immers vermeld als Dhcp server. Hiermee hebben we nu dus een stukje fault tolerance ingebouwd. Ondanks het feit dat onze Hoofd DHCP server niet beschikbaar is, kunnen de dhcp clients toch een ipadres krijgen, via de tweede Dhcp server. Dhcp Relay Agent In dit tweede deel van de opdracht gaan we kijken wat er gebeurt als we binnen ons netwerk te maken hebben met fysiek gescheiden netten. In ons geval hebben we het totale netwerk opgedeeld in 4 subnetten. Het eerste subnet, Hoofdkantoor, hebben we in twee stukken gehakt om de ip adressen van dat subnet te kunnen uitgeven via twee individuele Dhcp servers die zich in dat eerste subnet bevinden. Alle dhcp clients die zich in dat eerste subnet bevinden krijgen dus altijd wel een ip adres, is het niet van de ene dhcp server, dan is het wel van de andere dhcp server. Dat heb je werkend gezien in het eerste deel van de opdracht. Nu gaan we ons bezighouden met het subnet van Boxtel, subnet 2. Dit subnet ligt niet in s-hertogenbosch, maar in Boxtel. Via een aparte glasvezelkabel zijn de twee subnetten met elkaar verbonden. Op het subnet van Boxtel bevindt zich echter geen Dhcp server, dus de Win7 clients kunnen daar geen ip adres krijgen van een dhcp server. In de praktijk van alledag zullen de subnetten via een router verbonden zijn. De meeste routers zullen de Dhcp broadcast tegenwoordig wel doorgeven van het ene subnet naar het andere, maar in onze Microsoftwereld doen we nu even alsof dat niet het geval is. Met andere woorden; de router is geen zogenaamde BootP enabled router. Dan zou je er natuurlijk voor kunnen kiezen om in dat subnet van Boxtel een eigen Dhcp server te hangen, dan is het probleem opgelost. Klopt! In onze Microsoftwereld echter gaan we het nu toch anders doen; we doen alsof onze routers niet BootP-enabled zijn. Bij gebrek aan een BootP-enabled router, gaan we dan gewoon een Windows server2008 machine inzetten als router. Enkel en alleen om de Dhcp broadcast pakketten te kunnen routeren tussen de twee gescheiden subnetten. Voor een overzicht van het nu te bouwen netwerk, verwijs ik je weer naar de bijlage Netwerk, nu naar situatie 2. Wat gaan we doen? Augustus 2010 pagina 8 van 18

We gaan Member_DHCP inzetten als Dhcp Relay agent tussen het subnet van het hoofdkantoor in s-hertogenbosch en het subnet van het bijkantoor in Boxtel. Daartoe moeten we de rol van Dhcp server op Member_DHCP verwijderen. Je kunt niet op één computer zowel de Dhcp server rol hebben alsook de rol van de Dhcp relay agent. Ook gaan we Member_DHCP een andere naam geven. Bovendien; als router tussen twee netwerken in, zal deze machine over minstens twee netwerkverbindingen moeten beschikken. Een tweede netwerkaart is echter al wel aanwezig in Member_DHCP. Op Member_DHCP: Log op het domein in als administrator. Geef de netwerkverbinding LAN als vast IP adres het eerste IP adres uit het tweede subnet. Rename de verbinding tot Boxtel. Aangezien deze computer gaat optreden als router, laten we de optie Default Gateway leeg. DNS server voor het domein is natuurlijk nog steeds DC_DHCP. Enable nu de verbinding. Verwijder de rol van Dhcp server. Rename Member_DHCP tot Relay. Restart Relay. OP DC_DHCP: Start de DHCP service weer op. Maak nu een tweede scope, Boxtel, aan voor het bijkantoor in Boxtel. Ook hier weer de eerste 10 adressen van het subnet buiten de scope houden. We passen hier niet de 80/20 regel toe. Denk eraan dat de clients uit scope Boxtel een andere default gateway moeten hebben dan de clients uit scope Hoofdkantoor. Welke dan? Tip; bekijk de tekening van het netwerk, situatie 2 eens goed; wie bevindt zich op de kruising tussen subnet s-hertogenbosch en Boxtel? Augustus 2010 pagina 9 van 18

Scope options; Router uiteraard dns domainname timeserver DC_DHCP dnsserver DC_DHCP( elk subnet dezelfde dnsserver) nameserver DC_DHCP Op Relay: Installeer de Role service Routing and Remote Access. Direct na de installatie; start Routing and Remote Access op. Configureer nu Routing and Remote Acces: Selecteer uitsluitend Lanrouting. Start de service direct op. Installeer nu de Relay agent als nieuw routing protocol. Voeg toe aan Relay agent; New interface = Boxtel Laat de boot treshold ( 4 seconds) op de defaultwaarde staan. Door het IP adres van de verbinding Netwerk Boxtel weet de DHCP server uit welke scope een ip adres verstrekt moet worden aan de client. De scope waarin zich de nic Netwerk Boxtel bevindt is de scope waaruit een ip adres wordt verstrekt aan de client. Augustus 2010 pagina 10 van 18

In de properties van de relay agent moeten we Relay nog wel vertellen dat hij de Dhcp requests die hij ontvangt vanuit het subnet Boxtel, moet doorsturen naar DC_DHCP. Een relay agent zal normaal gesproken niet meteen in actie komen als hij merkt dat een dhcp client via een broadcast op zoek is naar een dhcp server. Wellicht heeft de bestaande dhcp server even geen tijd om te reageren op het dhcp verzoek. Pas indien de client na enkele seconden nog steeds geen antwoord heeft van de dhcp server, dan zal de relay agent ingrijpen. In een situatie met fysiek gescheiden netten, waarbij een van de netten geen eigen Dhcp server heeft, grijpt de relay agent van dat betreffende net dus altijd in. Hij zal het DHCP request doorsturen naar de DHCP server op een ander netwerk. Nu kunnen we gaan testen. Daarvoor hebben we Win7 weer nodig. Ook deze machine heeft twee netwerkkaarten. We hebben het in deze VApp zo gebouwd dat de tweede netwerkverbindig standaard al is aangesloten op het subnet van Boxtel. Disable daarom nu de verbinding Hoofdkantoor. Rename de verbinding Local Area Network tot Boxtel. Stel daarop tevens in dat Win7 zijn ipadres moet verkrijgen via dhcp. Doe dat nu eerst. Vervolgens zullen we nu DC_DHCP moeten vertellen dat hij voortaan te maken heeft met een default gateway. Welke? Tip; bekijk de tekening van Augustus 2010 pagina 11 van 18

het netwerk, situatie 2 eens goed; wie bevindt zich op de kruising tussen subnet s-hertogenbosch en Boxtel? Voorzie de ipconfiguratie van DC_DHCP van de juiste gateway. Op Win7: Nu kun je op de client via Ipconfig/ release en Ipconfig/ renew, het Ip adres vernieuwen. Controleer op Relay of de relay agent requests received (ontvangen van Win7) en replies received ( ontvangen van DC_DHCP) vermeldt. Onderhoud DHCP server. Op DC_DHCP; Laat alle IPv4 scopes controleren op fouten m.b.v. de optie Reconcile all scopes. Hiermee wordt gecontroleerd of er geen fouten, onvolledigheden of verouderde gegevens in de scopes aanwezig zijn. Als die worden aangetroffen wordt dit gerepareerd. Zet de dhcpserverservice stop. Gebruik het commando; net stop. Augustus 2010 pagina 12 van 18

Laat de dhcpdatabase controleren op fouten met het commando ; Jetpack dhcp.mdb dhcptemp.mdb. Let op; In Windows Server 2008 wordt Jetpack.exe niet meer meegeleverd in de directory Windows\system32\dhcp. Zoek uit waar Jetpack zich wel bevindt. Kopieer daarna de tool naar de map Windows\system32\ dhcp. Start nu jetpack op en type in; Jetpack dhcp.mdb dhcptemp.mdb Let op; dit werkt zo niet direct; zoek op internet uit waarom de database niet kan worden gecontroleerd. Om te controleren of Jetpack werd uitgevoerd doe je het volgende: Bekijk de tijd maar eens waarop het bestand Dhcp.mdb het laatst is modified. Deze wordt direct aangepast naar het moment waarop Jetpack is gedraaid. Augustus 2010 pagina 13 van 18

Ga dit na door de tijd te noteren voordat je jetpack uitvoert en de tijd na het uitvoeren. Als de tijd niet wordt gewijzigd heeft Jetpack niet gedraaid. APIPA. Indien een dhcpclient bij de aanvraag van zijn ipadresgegevens geen antwoord krijgt van de dhcpserver, zal hij zelf automatisch een adres aannemen in de 169.254.x.y. range. Dit is een zogenaamd APIPA adres. Test dit als volgt uit; Op Relay; Restart de Relay agent service even ; controleer dat direct daarna de requests received en replies received weer op 0 staan. Op Win7; Renew het IP adres met IPConfig. Op Relay; Kijk wat er gebeurt bij de relay agent op Relay. Vul in: Aantal requests received Vóór het renewen 0 0 Na het renewen 6 0 Aantal replies received Vernieuw het beeld regelmatig anders krijg je een foutieve weergave Conclusie; De relay agent stuurt de broadcast van Win7 door naar DC_DHCP, maar hij krijgt geen antwoord terug. Dus stelt Win7 uiteindelijk zelf maar een APIPA adres in. Noteer hier het adres dat Win7 uiteindelijk zelf instelt; Antw;... APIPA Augustus 2010 pagina 14 van 18

Op DC_DHCP: Start de dhcpserver service weer op vanuit de command prompt en controleer dat Win7 nu weer een IP adres krijgt van de DHCP server. Netwerkmonitor De communicatie tussen DHCP client en DHCP server bestaat uit 4 fasen, D.O.R.A. afgekort. Om dit proces te kunnen zien moeten we op DC_DHCP de networkmonitor installeren. Insert in de VApp de Networkmonitor 3.3. Installeer deze nu; kies de complete install. Op Win7; Release het IP adres via Ipconfig /release. Op DC_DHCP: Start nu de networkmonitor op. Uiteraard capturen we netwerkverkeer op het netwerk van Den Bosch. Kies nu New Capture; klik op start. Op Win7 ; Renew het IP adres via IPconfig/ renew. Augustus 2010 pagina 15 van 18

Op DC_DHCP: (Pas als Win7 zijn IPadres heeft ontvangen.) Stop de Capture. Je krijgt nu een overzicht waarin allerlei gecapturede frames worden weergegeven. Noteer waarvoor de afkorting D.O.R.A. staat; D: O:.... R:..... A:.. Sluit de networkmonitor. Sla niets op. Maak nu m.b.v. de DHCP console een backup van de DHCP informatie. Noteer hier het pad waar de backup default wordt opgeslagen: Antw; PAD: C:\Windows/System32/DHCP/Backup Hiermee zijn we gekomen aan het einde van de opdracht over DHCP. Sluit de machines af en verwijder de VApp uit je cloud.. Einde opdracht TCP/IP en DHCP. Augustus 2010 pagina 16 van 18

Bijlage Netwerk. Situatie 1; twee Dhcpservers ivm Fault tolerance DC_DHCP 192.168.0.1 /26 Scope 192.168.0.11 192.168.0.50 Netwerk Den Bosch NW 1 OBI Win7, dhcpclient Gebruik de verbinding LAN2 Member_DHCP 192.168.0.2 /26 Scope 192.168.0.51 192.168.0.62 Augustus 2010 pagina 17 van 18

Situatie 2; de relay agent als router tussen drie fysiek gescheiden subnetten. Netwerk Den VMNet Bosch 4 Subnet : Hoofdkantoor Nw Dhcp 1 OBI scope Hoofdkantoor VMNet 5 Netwerk Subnet Boxtel ; Bijkantoor Nw 2 OBI Boxtel Dhcp scope BIjkantoor ethernet Ethernet 2 DC _ DHCP DHCP server Dhcp. nl Hoofdkantoor Relay Ethernet 3 Relay Relay agent VMNet 6 Subnet ; Bijkantoor Jouw straat Dhcp scope Jouw straatnaam Win7 Dhcpclient gebruik nu de verbinding LAN Win7 Dhcpclient Augustus 2010 pagina 18 van 18