Windows Server 2012: Der Wächter für DHCP
22. Mai 2013Mit dem Windows Server 2012 haben die Entwickler aus Redmond auch für den Hyper-V einige Neuerungen und Erweiterungen zur Verfügung gestellt. Das betrifft ganz besonders den Bereich des Netzwerks. John Savill erläutert hier was es mit dem neuen Feature „DHCP Wächter“ beim Hyper-V auf sich hat und wie es die Sicherheit beim Betrieb vieler virtueller Maschinen deutlich erhöhen kann.
Beim DHCP-Wächter handelt es sich um ein neues Feature, das ein Administrator für jede Netzwerkkarte einer virtuellen Maschine konfigurieren kann. Zu finden ist diese Einstellung im Hyper-V Manager bei den Eigenschaften der entsprechenden virtuellen Maschine. Dort unter dem Eintrag Netzwerkkarte findet sich bei der jeweiligen Karte ein Menüpunkt Erweiterte Features unter dem dann wiederum der Eintrag DHCP-Wächter aufgelistet ist.
Alle Netzwerkkarten, bei denen diese Option eingeschaltet wurde, sind damit so konfiguriert, dass jedes DHCP-Reply-Paket, das von der virtuellen Maschine kommt, am Hyper-V Switch direkt verworfen wird. Das ist eine Sicherheitseinstellung, die gegen den Versuch einer virtuellen Maschine wirkt, die „vorgibt“ ein DHCP-Server zu sein, obwohl sie es nicht sein sollte und sich auch nicht so verhalten sollte.
Obwohl dann dieser „falsche Server“ in der virtuellen Maschine auch weiterhin alle DHCP-Anfragen von den Client-Systemen sieht und weiterhin darauf antwortet, werden diese Antworten nie auf das Netzwerk gelangen.
Gerade wenn es sich um ein Mandaten-fähige IT-Umgebung (Multi-Tenant) handelt, ist es extrem wichtig, dass keines der Systeme sich selbst für einen DHCP-Server hält, entsprechend reagiert und damit die gesamte Umgebung stört. Für Administratoren ist es deshalb sicher ein guter Weg, das Feature DHCP-Wächter auf allen virtuellen Maschinen zu aktivieren und dies nur bei der oder den dedizierten Maschinen nicht zu tun, die wirklich die Rolle eines DHCP-Servers in der Umgebung einnehmen.
Systemverwalter, die dieses Feature auf allen virtuellen Maschinen eines Hyper-V aktivieren wollen, können dazu auch das folgende Powershell-Kommando verwenden:
Get-VM | Set-VMNetworkAdapter -DhcpGuard On
Allerdings sollten sie danach nicht vergessen, das Feature bei der virtuellen Maschine, die den DHCP-Server beherbergt auch wieder abzuschalten. Ein weiterer Vorschlag, der schon bei einigen Administratoren zur „Best Practice“-Methode geworden ist: Diese Einstellung wird bereits bei der Erstellung des sogenannten „Golden Image“ für die VMs eingeschaltet. So können Administratoren sicherstellen, dass es per Standardeinstellung bereits eingeschaltet ist, wenn eine neue virtuelle Maschine von diesem Image erstellt wird.