這是Windows DHCP最佳實踐和技巧的最終指南。
如果您有任何最佳做法或技巧,請在下面的評論中發(fā)布它們。
在本指南(一)中,我將分享以下DHCP最佳實踐和技巧。
不要在域控制器上放置DHCP
一般建議不要在域控制器上運(yùn)行除DNS以外的任何其他角色。您的域控制器應(yīng)該是域控制器/ DNS,就是這樣。小型組織通常會在其域控制器上安裝其他角色和第三方軟件。建議您盡可能避免這種情況。
有什么問題
在DC上安裝其他服務(wù)會增加攻擊面,使其難以管理,并可能導(dǎo)致性能問題。
問題1:管理具有多個角色的DC
安裝了多個角色的域控制器很難管理。這通常會導(dǎo)致不穩(wěn)定和服務(wù)中斷。
例如,假設(shè)您在使用DHCP時遇到問題,或者安裝了需要重新啟動的安全補(bǔ)丁。重新引導(dǎo)具有Active Directory域服務(wù)角色的服務(wù)器可能會對組織造成重大破壞。這可能會影響身份驗證,復(fù)制,組策略和DNS。如果DNS關(guān)閉,您的用戶將無法訪問任何內(nèi)容。
如果您有多個域控制器并且配置正確,則可以避免這些問題,但是為什么要冒險呢?
如果在自己的服務(wù)器上安裝了DHCP,則可以重新啟動DCHP服務(wù)器,而不必?fù)?dān)心會影響域控制器上的服務(wù)。
問題2:安全
- 您安裝的軟件/服務(wù)越多,攻擊生存期就越大。如果在DC上安裝了DHCP,并且在DHCP服務(wù)中發(fā)現(xiàn)了一個新漏洞,則DC服務(wù)器現(xiàn)在處于危險中。
- 您有訪客無線網(wǎng)路嗎?您如何看待這些不受管設(shè)備連接到DHCP / DC服務(wù)器?我不喜歡使用內(nèi)部DHCP服務(wù)器為公眾提供IP地址。然后添加這些公共設(shè)備也正在連接到域控制器,這會導(dǎo)致我關(guān)閉安全告警。
- 在域控制器上安裝DHCP后,DHCP服務(wù)將繼承DC計算機(jī)帳戶的安全權(quán)限。這違反了最小特權(quán)原則。現(xiàn)在,您的DHCP服務(wù)器正在以特權(quán)運(yùn)行,并且執(zhí)行的并不是為其設(shè)計的任務(wù)。所以這可以糾正,不要增加這種風(fēng)險。
在自己的成員服務(wù)器上安裝DHCP將減少DC的攻擊面。
問題3:性能
通常,我已經(jīng)看到DHCP服務(wù)器運(yùn)行非常高效,并且不需要大量系統(tǒng)資源(例如CPU或內(nèi)存)。
但是,假設(shè)您剛剛了解了新的DHCP選項(例如沖突檢測),然后將其打開了所有作用域。現(xiàn)在,CPU使用率激增,域服務(wù)變慢,用戶無法登錄,DNS請求也變慢。
也許您安裝了IPAM來跟蹤可用的IP地址,并且占用了CPU和內(nèi)存,從而再次占用了域服務(wù)的資源。
我可以繼續(xù)假設(shè)很多情況,但是要指出的是,您在域控制器上安裝的軟件/服務(wù)越多,對性能的影響就越大,并導(dǎo)致服務(wù)中斷。
總結(jié)
域控制器是Windows域環(huán)境中最關(guān)鍵的服務(wù)之一,在一臺單獨(dú)服務(wù)器上運(yùn)行。域控制服務(wù)器器只能是是域控制器,只能是域控制器,只能是域控制器。沒有其他的,重要的事情說三遍。
使用DHCP故障轉(zhuǎn)移
DHCP故障轉(zhuǎn)移是用于確保DHCP服務(wù)器的高可用性的功能。通過DHCP故障轉(zhuǎn)移,兩臺DHCP服務(wù)器共享DHCP信息,因此,如果一臺服務(wù)器發(fā)生故障,另一臺服務(wù)器仍可以為客戶端提供DHCP租約。
DHCP故障轉(zhuǎn)移選項內(nèi)置在Windows服務(wù)器操作系統(tǒng)中。下圖顯示了兩個配置有負(fù)載平衡故障模式的DHCP服務(wù)器的設(shè)置。如果一臺服務(wù)器發(fā)生故障,另一臺服務(wù)器仍處于活動狀態(tài)并接管所有DCHP請求。
有兩種故障轉(zhuǎn)移設(shè)計選項:
熱備設(shè)計
使用熱備用模式時,一臺服務(wù)器是活動服務(wù)器,另一臺是備用服務(wù)器。活動服務(wù)器是主服務(wù)器,并處理所有DHCP請求。如果活動服務(wù)器關(guān)閉,則備用服務(wù)器將接管DHCP請求。
該選項通常與備用單元位于與主用單元不同的位置時使用。
負(fù)載均衡設(shè)計
在負(fù)載平衡模式下,兩臺服務(wù)器均以雙活模式工作以處理DHCP請求。請求是負(fù)載平衡的,并在兩個DHCP服務(wù)器之間共享。如果其中一臺服務(wù)器與其故障轉(zhuǎn)移伙伴失去聯(lián)系,它將開始向所有DHCP客戶端授予租約。
總結(jié)
您將需要確定哪種故障轉(zhuǎn)移設(shè)計最適合您的環(huán)境。它是一個免費(fèi)的內(nèi)置選項,因此請充分利用它,并使您的DHCP服務(wù)器具有容錯能力。
資料來源
中央與分布式DHCP服務(wù)器
您的大型網(wǎng)絡(luò)在多個位置都有分支機(jī)構(gòu)嗎?
問題是您是在這些分支機(jī)構(gòu)中安裝DHCP服務(wù)器,還是將它們隧道傳輸回集中式DHCP服務(wù)器?
集中式DHCP服務(wù)器
集中式DHCP服務(wù)器放置在遠(yuǎn)程辦公室連接到DHCP的集中位置。它通常位于主要數(shù)據(jù)中心之一。在此設(shè)計中,沒有本地DHCP服務(wù)器,所有請求都返回到集中式服務(wù)器。
分布式DHCP服務(wù)器
在分布式DHCP模型中,本地分支機(jī)構(gòu)中有DHCP服務(wù)器。此模型的客戶端從本地DHCP服務(wù)器獲取IP地址。
那么哪個選項最好呢?
可以用一個簡單的問題來回答嗎?
分支機(jī)構(gòu)可以完全獨(dú)立地工作,而無需回到數(shù)據(jù)中心嗎?如果是,則應(yīng)該有一個本地DHCP和DNS服務(wù)器。
如果分支機(jī)構(gòu)通過隧道返回到Internet,Active Directory,DNS等數(shù)據(jù)中心,則將DHCP放在本地毫無意義。
我為一家在全國設(shè)有分部的公司工作,并使用集中式DHCP模式。我們擁有可靠的快速連接,因此使用集中式DHCP服務(wù)器非常有意義。
要考慮的一件事是分部有多少員工。如果您有一個擁有數(shù)千名員工的大型分部,那么擁有Active Directory,DNS和DHCP等本地資源可能會有所幫助。這將通過WAN鏈接傳輸大量流量,如果該鏈接斷開,將使所有這些員工脫機(jī)。
總結(jié)
集中式DHCP或分布式DHCP之間的選擇通常可以通過以下問題回答:“分支機(jī)構(gòu)可以在沒有連接回數(shù)據(jù)中心的情況下工作。遠(yuǎn)程辦公室的大小和回到數(shù)據(jù)中心的連接速度也可能是一個因素。
資料來源
https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/
避免靜態(tài)IP分配并使用DHCP保留
為計算機(jī),打印機(jī),電話或任何其他最終用戶設(shè)備分配靜態(tài)IP地址是一件很麻煩的事情。
以下是統(tǒng)計分配靜態(tài)IP地址時,發(fā)生以下情況:
- Helpdesk替換了不知道設(shè)置了靜態(tài)IP的設(shè)備
- 現(xiàn)在這臺設(shè)備完全或部分失去網(wǎng)絡(luò)連接
- Helpdesk將故障單發(fā)送給網(wǎng)絡(luò)團(tuán)隊以求解決問題
- 網(wǎng)絡(luò)團(tuán)隊把故障單發(fā)回Helpdesk,因為使用了靜態(tài)IP
- 現(xiàn)在,Helpdesk必須找到設(shè)備并重新分配IP
我已經(jīng)多次處于上述情況,就像我說的那樣。為了避免這種情況,只需使用DHCP保留而不是靜態(tài)IP分配即可。
對于需要固定IP地址的任何內(nèi)容,我都使用DHCP保留。一個例外是路由器和交換機(jī)等基礎(chǔ)設(shè)施設(shè)備,它們會獲得靜態(tài)IP。
打印機(jī)的DHCP保留的屏幕截圖。
通過DHCP保留,您所需要做的就是在更換設(shè)備并自動將IP分配回設(shè)備時更新MAC地址。它還可以快速查看為其分配IP的所有內(nèi)容,而無需手動跟蹤電子表格中的所有內(nèi)容。
本系列文檔目錄:
本文首發(fā)于BigYoung小站
