Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 1. september 2006.
flytning Navnetjenesterne DNS og DHCP kører uden problemer, efter at Kommunernes Landsforening flyttede dem fra Windows til et par skræddersyede bokse.
Det var besværligt at etablere en DHCP-server, der kunne tage over, hvis den første gik ned. Og manglende logning gjorde det umuligt at efterforske problemer.
Sådan var situationen hos Kommunernes Landsforening (KL) frem til starten af i år. Problemerne lå i styringen af DHCP-tjenesten (Dynamic Host Configuration Protocol). Hver gang en pc eller tynd klient på KL's netværk bliver tændt, kontakter den DHCP-serveren for at få udleveret en IP-adresse. Lykkes det ikke, kan computeren ikke komme på netværket.
- DHCP er en stærkt undervurderet tjeneste. Der er ingen hokuspokus med den, men virker den ikke, kan hele netværket være lammet. Derfor var det vigtigt for os at sikre hurtigt fail-over, siger it-chef Thomas Fænø fra KL.
Men det viste sig at være svært i Windows. Her kan der kun være én aktiv DHCP-server ad gangen. KL fandt frem til en løsning, der gik ud på, at man holdt en alternativ DHCP-server klar, så den kunne sættes ind, når den første skulle tages ud af drift. Det kunne for eksempel ske, når den skulle opdateres med sikkerhedsrettelser. De to servere var konfigureret fuldstændig ens og med samme IP-adresse.
- Hver gang vi ændrede noget i DHCP-opsætningen, skulle vi huske manuelt at lave de samme ændringer i den anden server. Hvis vi glemte det, var det en kilde til fejl, som man nemt kunne overse, fortæller han.
DHCP-serveren betjener 450 brugere i KL-huset på Amager. De fleste bruger tynde klienter, der kommunikerer med Citrix-servere. I alt er der 45 fysiske og 15 virtuelle servere på nettet. Det er primært Windows, men der er også et par Unix-servere.
Da KL for fem år siden gik over til Windows 2000, betød det samtidig en overgang til Active Directory. Dermed blev DNS-tjenesten mere vigtig: Tidligere brugte man WINS (Windows Internet Naming Service) til at oversætte mellem Windows-servernavne og IP-adresser, men den opgave overlader Active Directory til DNS. Derfor blev det også afgørende, at DNS-tjenesten var i luften konstant.
Sidste år skulle KL have ny firewall.
- Ved den lejlighed blev vi klar over, at vi måtte segmentere vores netværk yderligere. Vi ville isolere hvert krydsfelt, så computerne på det fik deres eget sæt af IP-adresser. Det kunne den indbyggede DHCP-server i Windows ikke håndtere, så vi så på alternativer, siger Thomas Fænø.
Blandt alternativerne var en boks med Unix eller Linux. Men de ville også kræve vedligeholdelse. I stedet valgte man nogle bokse ved navn Infoblox, der udelukkende leverer DNS- og DHCP-tjenesterne.
- De har givet os den redundans, vi havde brug for: Netværket ser dem som én IP-adresse, men der er to bokse, der deler arbejdet imellem sig, og kan tage over for hinanden. Hvis vi ændrer på opsætningen i den ene, føres det automatisk over i den anden, siger han.
Samtidig er løsningen næsten vedligeholdelsesfri. Nogle få gange har man skullet opdatere firmware på boksene, men der er ikke de månedlige sikkerhedsopdateringer, som man kender fra Windows-verdenen.
En anden fordel ved løsningen er, at den har givet mulighed for logning. Det er vigtigt, når man skal efterforske sikkerhedshændelser: Så skal man kunne finde ud af, hvilken computer der på et givet tidspunkt var tildelt en bestemt IP-adresse. Det kan for eksempel blive nødvendigt efter et virusangreb, hvor man skal finde ud af, hvilken pc virussen blev spredt fra.
- Det har vi heldigvis ikke haft brug for endnu, men nu har vi da muligheden for at gøre det. Det havde vi ikke med den gamle løsning, siger Thomas Fænø.
Prisen på Infoblox-boksene svarer til prisen på en gængs rackmonteret standardserver. Thomas Fænø anslår, at KL nok har sparet 50.000 kroner om året i administrationstid, antivirus og softwarelicenser.
Infoblox er ikke de eneste bokse, der er skræddersyet til en enkelt opgave i KL's netværk. Der er også en antispam-boks, en tilslutning til hjemmearbejdspladser og et intrusion prevention system, der er integreret i firewallen. Og står det til Thomas Fænø, kommer der flere:
- Bokse er gode, når der skal løses klart afgrænsede opgaver som for eksempel virusscanning eller DHCP. Derimod ville jeg være mere forsigtig med en boks til for eksempel Exchange - den skulle opdateres så tit, at det ville blive upraktisk, mener han.
Faktaboks:
DNS og DHCP
DNS (Domain Name System) oversætter domænenavne som for eksempel www.cw.dk til IP-adresser af typen 217.116.236.224.
DHCP (Dynamic Host Configuration Protocol) udstyrer en klient på et netværk med en IP-adresse fra en pulje af adresser. DHCP kan også give klienten oplysning om adresserne på nærmeste router og DNS-server.
Billedtekst:
infoblox Den øverste Infoblox-boks, der består af to enheder, leverer DNS og DHCP til KL's interne netværk, mens den nederste står for DNS til ekstern brug.
Torben Klint
OriginalModTime: 14-09-2006 10:24:49