这是Windows DHCP最佳实践和技巧的最终指南。windows
若是您有任何最佳作法或技巧,请在下面的评论中发布它们。安全
在本指南(一)中,我将分享如下DHCP最佳实践和技巧。服务器
不要在域控制器上放置DHCP
通常建议不要在域控制器上运行除DNS之外的任何其余角色。您的域控制器应该是域控制器/ DNS,就是这样。小型组织一般会在其域控制器上安装其余角色和第三方软件。建议您尽量避免这种状况。
网络
有什么问题负载均衡
在DC上安装其余服务会增长攻击面,使其难以管理,并可能致使性能问题。分布式
问题1:管理具备多个角色的DC
安装了多个角色的域控制器很难管理。这一般会致使不稳定和服务中断。性能
例如,假设您在使用DHCP时遇到问题,或者安装了须要从新启动的安全补丁。从新引导具备Active Directory域服务角色的服务器可能会对组织形成重大破坏。这可能会影响身份验证,复制,组策略和DNS。若是DNS关闭,您的用户将没法访问任何内容。操作系统
若是您有多个域控制器而且配置正确,则能够避免这些问题,可是为何要冒险呢?设计
若是在本身的服务器上安装了DHCP,则能够从新启动DCHP服务器,而没必要担忧会影响域控制器上的服务。server
问题2:安全
- 您安装的软件/服务越多,攻击生存期就越大。若是在DC上安装了DHCP,而且在DHCP服务中发现了一个新漏洞,则DC服务器如今处于危险中。
- 您有访客无线网路吗?您如何看待这些不受管设备链接到DHCP / DC服务器?我不喜欢使用内部DHCP服务器为公众提供IP地址。而后添加这些公共设备也正在链接到域控制器,这会致使我关闭安全告警。
- 在域控制器上安装DHCP后,DHCP服务将继承DC计算机账户的安全权限。这违反了最小特权原则。如今,您的DHCP服务器正在以特权运行,而且执行的并非为其设计的任务。因此这能够纠正,不要增长这种风险。
在本身的成员服务器上安装DHCP将减小DC的攻击面。
问题3:性能
一般,我已经看到DHCP服务器运行很是高效,而且不须要大量系统资源(例如CPU或内存)。
可是,假设您刚刚了解了新的DHCP选项(例如冲突检测),而后将其打开了全部做用域。如今,CPU使用率激增,域服务变慢,用户没法登陆,DNS请求也变慢。
也许您安装了IPAM来跟踪可用的IP地址,而且占用了CPU和内存,从而再次占用了域服务的资源。
我能够继续假设不少状况,可是要指出的是,您在域控制器上安装的软件/服务越多,对性能的影响就越大,并致使服务中断。
总结
域控制器是Windows域环境中最关键的服务之一,在一台单独服务器上运行。域控制服务器器只能是是域控制器,只能是域控制器,只能是域控制器。没有其余的,重要的事情说三遍。
使用DHCP故障转移
DHCP故障转移是用于确保DHCP服务器的高可用性的功能。经过DHCP故障转移,两台DHCP服务器共享DHCP信息,所以,若是一台服务器发生故障,另外一台服务器仍能够为客户端提供DHCP租约。
DHCP故障转移选项内置在Windows服务器操做系统中。下图显示了两个配置有负载平衡故障模式的DHCP服务器的设置。若是一台服务器发生故障,另外一台服务器仍处于活动状态并接管全部DCHP请求。
有两种故障转移设计选项:
热备设计
使用热备用模式时,一台服务器是活动服务器,另外一台是备用服务器。活动服务器是主服务器,并处理全部DHCP请求。若是活动服务器关闭,则备用服务器将接管DHCP请求。
该选项一般与备用单元位于与主用单元不一样的位置时使用。
负载均衡设计
在负载平衡模式下,两台服务器均以双活模式工做以处理DHCP请求。请求是负载平衡的,并在两个DHCP服务器之间共享。若是其中一台服务器与其故障转移伙伴失去联系,它将开始向全部DHCP客户端授予租约。
总结
您将须要肯定哪一种故障转移设计最适合您的环境。它是一个免费的内置选项,所以请充分利用它,并使您的DHCP服务器具备容错能力。
资料来源
中央与分布式DHCP服务器
您的大型网络在多个位置都有分支机构吗?
问题是您是在这些分支机构中安装DHCP服务器,仍是将它们隧道传输回集中式DHCP服务器?
集中式DHCP服务器
集中式DHCP服务器放置在远程办公室链接到DHCP的集中位置。它一般位于主要数据中心之一。在此设计中,没有本地DHCP服务器,全部请求都返回到集中式服务器。
分布式DHCP服务器
在分布式DHCP模型中,本地分支机构中有DHCP服务器。此模型的客户端从本地DHCP服务器获取IP地址。
那么哪一个选项最好呢?
能够用一个简单的问题来回答吗?
分支机构能够彻底独立地工做,而无需回到数据中心吗?若是是,则应该有一个本地DHCP和DNS服务器。
若是分支机构经过隧道返回到Internet,Active Directory,DNS等数据中心,则将DHCP放在本地毫无心义。
我为一家在全国设有分部的公司工做,并使用集中式DHCP模式。咱们拥有可靠的快速链接,所以使用集中式DHCP服务器很是有意义。
要考虑的一件事是分部有多少员工。若是您有一个拥有数千名员工的大型分部,那么拥有Active Directory,DNS和DHCP等本地资源可能会有所帮助。这将经过WAN连接传输大量流量,若是该连接断开,将使全部这些员工脱机。
总结
集中式DHCP或分布式DHCP之间的选择一般能够经过如下问题回答:“分支机构能够在没有链接回数据中心的状况下工做。远程办公室的大小和回到数据中心的链接速度也多是一个因素。
资料来源
https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/
避免静态IP分配并使用DHCP保留
为计算机,打印机,电话或任何其余最终用户设备分配静态IP地址是一件很麻烦的事情。
如下是统计分配静态IP地址时,发生如下状况:
- Helpdesk替换了不知道设置了静态IP的设备
- 如今这台设备彻底或部分失去网络链接
- Helpdesk将故障单发送给网络团队以求解决问题
- 网络团队把故障单发回Helpdesk,由于使用了静态IP
- 如今,Helpdesk必须找到设备并从新分配IP
我已经屡次处于上述状况,就像我说的那样。为了不这种状况,只需使用DHCP保留而不是静态IP分配便可。
对于须要固定IP地址的任何内容,我都使用DHCP保留。一个例外是路由器和交换机等基础设施设备,它们会得到静态IP。
打印机的DHCP保留的屏幕截图。
经过DHCP保留,您所须要作的就是在更换设备并自动将IP分配回设备时更新MAC地址。它还能够快速查看为其分配IP的全部内容,而无需手动跟踪电子表格中的全部内容。
本系列文档目录:
本文首发于BigYoung小站