DHCP最佳實踐(一)
阿新 • • 發佈:2021-01-17
這是Windows DHCP最佳實踐和技巧的最終指南。
如果您有任何最佳做法或技巧,請在下面的評論中釋出它們。
在本指南(一)中,我將分享以下**DHCP最佳實踐和技巧**。
1. [不要將DHCP放在您的域控制器上](http://bigyoung.cn)
2. [使用DHCP故障轉移](http://bigyoung.cn)
3. [中央與分散式DHCP伺服器](http://bigyoung.cn)
4. [避免靜態IP分配並使用DHCP保留](http://bigyoung.cn)
不要在域控制器上放置DHCP
--------------
一般建議不要在域控制器上執行除DNS以外的任何其他角色。您的域控制器應該是域控制器/ DNS,就是這樣。小型組織通常會在其域控制器上安裝其他角色和第三方軟體。建議您儘可能避免這種情況。
![](https://img2020.cnblogs.com/other/1403943/202101/1403943-20210117104454420-627143027.jpg)
**有什麼問題**
在DC上安裝其他服務會增加攻擊面,使其難以管理,並可能導致效能問題。
### 問題1:管理具有多個角色的DC
安裝了多個角色的域控制器很難管理。這通常會導致不穩定和服務中斷。
例如,假設您在使用DHCP時遇到問題,或者安裝了需要重新啟動的安全補丁。重新引導具有Active Directory域服務角色的伺服器可能會對組織造成重大破壞。這可能會影響身份驗證,複製,組策略和DNS。如果DNS關閉,您的使用者將無法訪問任何內容。
如果您有多個域控制器並且配置正確,則可以避免這些問題,但是為什麼要冒險呢?
如果在自己的伺服器上安裝了DHCP,則可以重新啟動DCHP伺服器,而不必擔心會影響域控制器上的服務。
### 問題2:安全
1. 您安裝的軟體/服務越多,攻擊生存期就越大。如果在DC上安裝了DHCP,並且在DHCP服務中發現了一個新漏洞,則DC伺服器現在處於危險中。
2. 您有訪客無線網路嗎?您如何看待這些不受管裝置連線到DHCP / DC伺服器?我不喜歡使用內部DHCP伺服器為公眾提供IP地址。然後新增這些公共裝置也正在連線到域控制器,這會導致我關閉安全告警。
3. 在域控制器上安裝DHCP後,DHCP服務將繼承DC計算機帳戶的安全許可權。這違反了最小特權原則。現在,您的DHCP伺服器正在以特權執行,並且執行的並不是為其設計的任務。所以這可以糾正,不要增加這種風險。
在自己的成員伺服器上安裝DHCP將減少DC的攻擊面。
### 問題3:效能
通常,我已經看到DHCP伺服器執行非常高效,並且不需要大量系統資源(例如CPU或記憶體)。
但是,假設您剛剛瞭解了新的DHCP選項(例如衝突檢測),然後將其打開了所有作用域。現在,CPU使用率激增,域服務變慢,使用者無法登入,DNS請求也變慢。
也許您安裝了IPAM來跟蹤可用的IP地址,並且佔用了CPU和記憶體,從而再次佔用了域服務的資源。
我可以繼續假設很多情況,但是要指出的是,您在域控制器上安裝的軟體/服務越多,對效能的影響就越大,並導致服務中斷。
> **總結**
> 域控制器是Windows域環境中最關鍵的服務之一,在一臺單獨伺服器上執行。域控制伺服器器只能是是域控制器,只能是域控制器,只能是域控制器。沒有其他的,重要的事情說三遍。
使用DHCP故障轉移
----------
DHCP故障轉移是用於確保DHCP伺服器的高可用性的功能。通過DHCP故障轉移,兩臺DHCP伺服器共享DHCP資訊,因此,如果一臺伺服器發生故障,另一臺伺服器仍可以為客戶端提供DHCP租約。
DHCP故障轉移選項內建在Windows伺服器作業系統中。下圖顯示了兩個配置有負載平衡故障模式的DHCP伺服器的設定。如果一臺伺服器發生故障,另一臺伺服器仍處於活動狀態並接管所有DCHP請求。
![](https://img2020.cnblogs.com/other/1403943/202101/1403943-20210117104454570-1160491261.jpg)
有兩種故障轉移設計選項:
### 熱備設計
使用熱備用模式時,一臺伺服器是活動伺服器,另一臺是備用伺服器。活動伺服器是主伺服器,並處理所有DHCP請求。如果活動伺服器關閉,則備用伺服器將接管DHCP請求。
該選項通常與備用單元位於與主用單元不同的位置時使用。
### 負載均衡設計
在負載平衡模式下,兩臺伺服器均以雙活模式工作以處理DHCP請求。請求是負載平衡的,並在兩個DHCP伺服器之間共享。如果其中一臺伺服器與其故障轉移夥伴失去聯絡,它將開始向所有DHCP客戶端授予租約。
> **總結**
> 您將需要確定哪種故障轉移設計最適合您的環境。它是一個免費的內建選項,因此請充分利用它,並使您的DHCP伺服器具有容錯能力。
**資料來源**
[https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws.11)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws.11))
中央與分散式DHCP伺服器
-------------
您的大型網路在多個位置都有分支機構嗎?
問題是您是在這些分支機構中安裝DHCP伺服器,還是將它們隧道傳輸回集中式DHCP伺服器?
### 集中式DHCP伺服器
集中式DHCP伺服器放置在遠端辦公室連線到DHCP的集中位置。它通常位於主要資料中心之一。在此設計中,沒有本地DHCP伺服器,所有請求都返回到集中式伺服器。
![](https://img2020.cnblogs.com/other/1403943/202101/1403943-20210117104454736-924364073.jpg)
### 分散式DHCP伺服器
在分散式DHCP模型中,本地分支機構中有DHCP伺服器。此模型的客戶端從本地DHCP伺服器獲取IP地址。
![](https://img2020.cnblogs.com/other/1403943/202101/1403943-20210117104454885-1280997126.jpg)
**那麼哪個選項最好呢?**
可以用一個簡單的問題來回答嗎?
分支機構可以完全獨立地工作,而無需回到資料中心嗎?如果是,則應該有一個本地DHCP和DNS伺服器。
如果分支機構通過隧道返回到Internet,Active Directory,DNS等資料中心,則將DHCP放在本地毫無意義。
我為一家在全國設有分部的公司工作,並使用集中式DHCP模式。我們擁有可靠的快速連線,因此使用集中式DHCP伺服器非常有意義。
要考慮的一件事是分部有多少員工。如果您有一個擁有數千名員工的大型分部,那麼擁有Active Directory,DNS和DHCP等本地資源可能會有所幫助。這將通過WAN連結傳輸大量流量,如果該連結斷開,將使所有這些員工離線。
> **總結**
> 集中式DHCP或分散式DHCP之間的選擇通常可以通過以下問題回答:“分支機構可以在沒有連接回資料中心的情況下工作。遠端辦公室的大小和回到資料中心的連線速度也可能是一個因素。
**資料來源**
[https://docs.microsoft.com/zh-cn/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failover](https://docs.microsoft.com/en-us/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failover)
[https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/](https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/)
避免靜態IP分配並使用DHCP保留
-----------------
為計算機,印表機,電話或任何其他終端使用者裝置分配靜態IP地址是一件很麻煩的事情。
以下是統計分配靜態IP地址時,發生以下情況:
1. Helpdesk替換了不知道設定了靜態IP的裝置
2. 現在這臺裝置完全或部分失去網路連線
3. Helpdesk將故障單傳送給網路團隊以求解決問題
4. 網路團隊把故障單發回Helpdesk,因為使用了靜態IP
5. 現在,Helpdesk必須找到裝置並重新分配IP
我已經多次處於上述情況,就像我說的那樣。為了避免這種情況,只需使用DHCP保留而不是靜態IP分配即可。
對於需要固定IP地址的任何內容,我都使用DHCP保留。一個例外是路由器和交換機等基礎設施裝置,它們會獲得靜態IP。
印表機的DHCP保留的螢幕截圖。
![](https://img2020.cnblogs.com/other/1403943/202101/1403943-20210117104455027-380404712.jpg)
通過DHCP保留,您所需要做的就是在更換裝置並自動將IP分配回裝置時更新MAC地址。它還可以快速檢視為其分配IP的所有內容,而無需手動跟蹤電子表格中的所有內容。
本系列文件目錄:
===
[DHCP最佳實踐(一)](http://bigyoung.cn)
[DHCP最佳實踐(二)](http://bigyoung.cn)
[DHCP最佳實踐(三)](http://bigyoung.cn)
[DHCP最佳實踐(四)](http://bigyoung.cn)
> 本文首發於[BigYoung小站](http://bigy