這是Windows DHCP最佳實踐和技巧的最終指南。windows
若是您有任何最佳作法或技巧,請在下面的評論中發佈它們。安全
在本指南(一)中,我將分享如下DHCP最佳實踐和技巧。服務器
不要在域控制器上放置DHCP
通常建議不要在域控制器上運行除DNS之外的任何其餘角色。您的域控制器應該是域控制器/ DNS,就是這樣。小型組織一般會在其域控制器上安裝其餘角色和第三方軟件。建議您儘量避免這種狀況。
網絡
有什麼問題負載均衡
在DC上安裝其餘服務會增長攻擊面,使其難以管理,並可能致使性能問題。分佈式
問題1:管理具備多個角色的DC
安裝了多個角色的域控制器很難管理。這一般會致使不穩定和服務中斷。性能
例如,假設您在使用DHCP時遇到問題,或者安裝了須要從新啓動的安全補丁。從新引導具備Active Directory域服務角色的服務器可能會對組織形成重大破壞。這可能會影響身份驗證,複製,組策略和DNS。若是DNS關閉,您的用戶將沒法訪問任何內容。操作系統
若是您有多個域控制器而且配置正確,則能夠避免這些問題,可是爲何要冒險呢?設計
若是在本身的服務器上安裝了DHCP,則能夠從新啓動DCHP服務器,而沒必要擔憂會影響域控制器上的服務。server
問題2:安全
- 您安裝的軟件/服務越多,攻擊生存期就越大。若是在DC上安裝了DHCP,而且在DHCP服務中發現了一個新漏洞,則DC服務器如今處於危險中。
- 您有訪客無線網路嗎?您如何看待這些不受管設備鏈接到DHCP / DC服務器?我不喜歡使用內部DHCP服務器爲公衆提供IP地址。而後添加這些公共設備也正在鏈接到域控制器,這會致使我關閉安全告警。
- 在域控制器上安裝DHCP後,DHCP服務將繼承DC計算機賬戶的安全權限。這違反了最小特權原則。如今,您的DHCP服務器正在以特權運行,而且執行的並非爲其設計的任務。因此這能夠糾正,不要增長這種風險。
在本身的成員服務器上安裝DHCP將減小DC的攻擊面。
問題3:性能
一般,我已經看到DHCP服務器運行很是高效,而且不須要大量系統資源(例如CPU或內存)。
可是,假設您剛剛瞭解了新的DHCP選項(例如衝突檢測),而後將其打開了全部做用域。如今,CPU使用率激增,域服務變慢,用戶沒法登陸,DNS請求也變慢。
也許您安裝了IPAM來跟蹤可用的IP地址,而且佔用了CPU和內存,從而再次佔用了域服務的資源。
我能夠繼續假設不少狀況,可是要指出的是,您在域控制器上安裝的軟件/服務越多,對性能的影響就越大,並致使服務中斷。
總結
域控制器是Windows域環境中最關鍵的服務之一,在一臺單獨服務器上運行。域控制服務器器只能是是域控制器,只能是域控制器,只能是域控制器。沒有其餘的,重要的事情說三遍。
使用DHCP故障轉移
DHCP故障轉移是用於確保DHCP服務器的高可用性的功能。經過DHCP故障轉移,兩臺DHCP服務器共享DHCP信息,所以,若是一臺服務器發生故障,另外一臺服務器仍能夠爲客戶端提供DHCP租約。
DHCP故障轉移選項內置在Windows服務器操做系統中。下圖顯示了兩個配置有負載平衡故障模式的DHCP服務器的設置。若是一臺服務器發生故障,另外一臺服務器仍處於活動狀態並接管全部DCHP請求。
有兩種故障轉移設計選項:
熱備設計
使用熱備用模式時,一臺服務器是活動服務器,另外一臺是備用服務器。活動服務器是主服務器,並處理全部DHCP請求。若是活動服務器關閉,則備用服務器將接管DHCP請求。
該選項一般與備用單元位於與主用單元不一樣的位置時使用。
負載均衡設計
在負載平衡模式下,兩臺服務器均以雙活模式工做以處理DHCP請求。請求是負載平衡的,並在兩個DHCP服務器之間共享。若是其中一臺服務器與其故障轉移夥伴失去聯繫,它將開始向全部DHCP客戶端授予租約。
總結
您將須要肯定哪一種故障轉移設計最適合您的環境。它是一個免費的內置選項,所以請充分利用它,並使您的DHCP服務器具備容錯能力。
資料來源
中央與分佈式DHCP服務器
您的大型網絡在多個位置都有分支機構嗎?
問題是您是在這些分支機構中安裝DHCP服務器,仍是將它們隧道傳輸回集中式DHCP服務器?
集中式DHCP服務器
集中式DHCP服務器放置在遠程辦公室鏈接到DHCP的集中位置。它一般位於主要數據中心之一。在此設計中,沒有本地DHCP服務器,全部請求都返回到集中式服務器。
分佈式DHCP服務器
在分佈式DHCP模型中,本地分支機構中有DHCP服務器。此模型的客戶端從本地DHCP服務器獲取IP地址。
那麼哪一個選項最好呢?
能夠用一個簡單的問題來回答嗎?
分支機構能夠徹底獨立地工做,而無需回到數據中心嗎?若是是,則應該有一個本地DHCP和DNS服務器。
若是分支機構經過隧道返回到Internet,Active Directory,DNS等數據中心,則將DHCP放在本地毫無心義。
我爲一家在全國設有分部的公司工做,並使用集中式DHCP模式。咱們擁有可靠的快速鏈接,所以使用集中式DHCP服務器很是有意義。
要考慮的一件事是分部有多少員工。若是您有一個擁有數千名員工的大型分部,那麼擁有Active Directory,DNS和DHCP等本地資源可能會有所幫助。這將經過WAN連接傳輸大量流量,若是該連接斷開,將使全部這些員工脫機。
總結
集中式DHCP或分佈式DHCP之間的選擇一般能夠經過如下問題回答:「分支機構能夠在沒有鏈接回數據中心的狀況下工做。遠程辦公室的大小和回到數據中心的鏈接速度也多是一個因素。
資料來源
https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/
避免靜態IP分配並使用DHCP保留
爲計算機,打印機,電話或任何其餘最終用戶設備分配靜態IP地址是一件很麻煩的事情。
如下是統計分配靜態IP地址時,發生如下狀況:
- Helpdesk替換了不知道設置了靜態IP的設備
- 如今這臺設備徹底或部分失去網絡鏈接
- Helpdesk將故障單發送給網絡團隊以求解決問題
- 網絡團隊把故障單發回Helpdesk,由於使用了靜態IP
- 如今,Helpdesk必須找到設備並從新分配IP
我已經屢次處於上述狀況,就像我說的那樣。爲了不這種狀況,只需使用DHCP保留而不是靜態IP分配便可。
對於須要固定IP地址的任何內容,我都使用DHCP保留。一個例外是路由器和交換機等基礎設施設備,它們會得到靜態IP。
打印機的DHCP保留的屏幕截圖。
經過DHCP保留,您所須要作的就是在更換設備並自動將IP分配回設備時更新MAC地址。它還能夠快速查看爲其分配IP的全部內容,而無需手動跟蹤電子表格中的全部內容。
本系列文檔目錄:
本文首發於BigYoung小站