.DHCP服务主要运用在哪些领域?
DHCP通常被应用在大型的局域网络环境中,要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
DHCP也可用于直接为服务器和桌面计算机分配地址,并且通过一个PPP代理,也可为拨号及宽带主机,以及住宅NAT网关和路由器分配地址。DHCP一般不适用于使用在无边际路由器和DNS服务器上。
扩展资料:
DHCP用一台或一组DHCP服务器来管理网络参数的分配,这种方案具有容错性。即使在一个仅拥有少量机器的网络中,DHCP仍然是有用的,因为一台机器可以几乎不造成任何影响地被增加到本地网络中。
DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。
-DHCP
这是Windows DHCP最佳实践和技巧的最终指南。
如果您有任何最佳做法或技巧,请在下面的评论中发布它们。
在本指南(一)中,我将分享以下 DHCP最佳实践和技巧 。
一般建议不要在域控制器上运行除DNS以外的任何其他角色。您的域控制器应该是域控制器/ DNS,就是这样。小型组织通常会在其域控制器上安装其他角色和第三方软件。建议您尽可能避免这种情况。
有什么问题
在DC上安装其他服务会增加攻击面,使其难以管理,并可能导致性能问题。
安装了多个角色的域控制器很难管理。这通常会导致不稳定和服务中断。
例如,假设您在使用DHCP时遇到问题,或者安装了需要重新启动的安全补丁。重新引导具有Active Directory域服务角色的服务器可能会对组织造成重大破坏。这可能会影响身份验证,复制,组策略和DNS。如果DNS关闭,您的用户将无法访问任何内容。
如果您有多个域控制器并且配置正确,则可以避免这些问题,但是为什么要冒险呢?
如果在自己的服务器上安装了DHCP,则可以重新启动DCHP服务器,而不必担心会影响域控制器上的服务。
在自己的成员服务器上安装DHCP将减少DC的攻击面。
通常,我已经看到DHCP服务器运行非常高效,并且不需要大量系统资源(例如CPU或内存)。
但是,假设您刚刚了解了新的DHCP选项(例如冲突检测),然后将其打开了所有作用域。现在,CPU使用率激增,域服务变慢,用户无法登录,DNS请求也变慢。
也许您安装了IPAM来跟踪可用的IP地址,并且占用了CPU和内存,从而再次占用了域服务的资源。
我可以继续假设很多情况,但是要指出的是,您在域控制器上安装的软件/服务越多,对性能的影响就越大,并导致服务中断。
DHCP故障转移是用于确保DHCP服务器的高可用性的功能。通过DHCP故障转移,两台DHCP服务器共享DHCP信息,因此,如果一台服务器发生故障,另一台服务器仍可以为客户端提供DHCP租约。
DHCP故障转移选项内置在Windows服务器操作系统中。下图显示了两个配置有负载平衡故障模式的DHCP服务器的设置。如果一台服务器发生故障,另一台服务器仍处于活动状态并接管所有DCHP请求。
有两种故障转移设计选项:
使用热备用模式时,一台服务器是活动服务器,另一台是备用服务器。活动服务器是主服务器,并处理所有DHCP请求。如果活动服务器关闭,则备用服务器将接管DHCP请求。
该选项通常与备用单元位于与主用单元不同的位置时使用。
在负载平衡模式下,两台服务器均以双活模式工作以处理DHCP请求。请求是负载平衡的,并在两个DHCP服务器之间共享。如果其中一台服务器与其故障转移伙伴失去联系,它将开始向所有DHCP客户端授予租约。
资料来源
https://docsmicrosoftcom/zh-cn/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws11)
您的大型网络在多个位置都有分支机构吗?
问题是您是在这些分支机构中安装DHCP服务器,还是将它们隧道传输回集中式DHCP服务器?
集中式DHCP服务器放置在远程办公室连接到DHCP的集中位置。它通常位于主要数据中心之一。在此设计中,没有本地DHCP服务器,所有请求都返回到集中式服务器。
在分布式DHCP模型中,本地分支机构中有DHCP服务器。此模型的客户端从本地DHCP服务器获取IP地址。
那么哪个选项最好呢?
可以用一个简单的问题来回答吗?
分支机构可以完全独立地工作,而无需回到数据中心吗?如果是,则应该有一个本地DHCP和DNS服务器。
如果分支机构通过隧道返回到Internet,Active Directory,DNS等数据中心,则将DHCP放在本地毫无意义。
我为一家在全国设有分部的公司工作,并使用集中式DHCP模式。我们拥有可靠的快速连接,因此使用集中式DHCP服务器非常有意义。
要考虑的一件事是分部有多少员工。如果您有一个拥有数千名员工的大型分部,那么拥有Active Directory,DNS和DHCP等本地资源可能会有所帮助。这将通过WAN链接传输大量流量,如果该链接断开,将使所有这些员工脱机。
资料来源
https://docsmicrosoftcom/zh-cn/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failover
https://wwwredditcom/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/
为计算机,打印机,电话或任何其他最终用户设备分配静态IP地址是一件很麻烦的事情。
以下是统计分配静态IP地址时,发生以下情况:
我已经多次处于上述情况,就像我说的那样。为了避免这种情况,只需使用DHCP保留而不是静态IP分配即可。
对于需要固定IP地址的任何内容,我都使用DHCP保留。一个例外是路由器和交换机等基础设施设备,它们会获得静态IP。
打印机的DHCP保留的屏幕截图。
通过DHCP保留,您所需要做的就是在更换设备并自动将IP分配回设备时更新MAC地址。它还可以快速查看为其分配IP的所有内容,而无需手动跟踪电子表格中的所有内容。
DHCP最佳实践(一)
DHCP最佳实践(二)
DHCP最佳实践(三)
DHCP最佳实践(四)
现状:目前分公司dhcp服务器不统一,有在windows server、有在3层交换机,有在防火墙。
目的:统一改为dhcp服务器,在用户网关进行中继,在无线控制器(wlc)进行中继。
下面是两种dhcp获取方式,我们要改成第二种,也就是通过网关中继到windows server。
第一种:
客户端-----发送----广播DHCP发现数据包(在同一个局域网内部(vlan)的DHCP服务器进行相应)
DHCP服务器(三层交换机)---响应
客户端----发送----广播dhcp请求
DHCP服务器----响应发送地址
上面是dhcp在三层交换机的dhcp获取过程,在同一个vlan下,直接由网关设备进行回复,分配地址。
第二种:
客户端-----发送----广播DHCP发现数据包(在同一个局域网内部(vlan)的DHCP服务器进行相应)
三层交换机 (网关 or wlc)---发现配置了 中继 ----请求dhcp server( windows server )----返回---- 三层交换机(网关 or wlc)
客户端----发送----广播dhcp请求
三层交换机 (网关 or wlc )----发现配置了 中继 ----请求dhcp server( windows server )---返回--- 三层交换机(网关 or wlc)
第二种多了一个中继的概念,就是从客户端---dhcp服务器,变为客户端----中继----dhcp服务器。
实际使用示例:
无线客户端(客户端)----无线控制器(中继)----windows server(dhcp server)
具体配置:无线控制器配置dhcp 中继,各地按照实际情况进行
有线客户端(客户端)---网关(三层交换机or防火墙)----windows server(dhcp server)
具体配置:在三层交换机的interface下,配置helper-address,根据实际情况配置
一、启用DHCP审核记录
在DHCP服务器中到底发生了什么事情,管理员单靠肉眼是无法察觉的,最简单的方法是查看Windows日志,但这时一定要确保启用了DHCP服务器的“审核记录”功能,否则,就无法在事件查看器中找到相应的记录。
笔者以Windows 2000服务器为例,依次点击“开始→程序→管理工具→DHCP”后,弹出DHCP控制台窗口,右键点击你的服务器,在菜单中选择“属性”,弹出属性设置对话框,切换到“常规”标签页,确保一定要选中“启用DHCP审核记录”选项,最后点击“确定”按钮。
这样就启用了DHCP服务器的审核记录,它的日志文件默认保存在“C:\WINNT\System32\dhcp”目录下。为了防止“不法之徒”恶意删除日志,可以修改DHCP日志文件的存放路径。切换到“高级”标签页,点击“审核日志路径”栏的“浏览”按钮,指定新的日志文件存放位置,接着,使用相同的方法,修改“数据库路径”,最后点击“确定”。这样,我们的DHCP日志就更加安全了。
二、指定DHCP管理用户
在企业网中,为了加强对DHCP服务器的管理,网络管理员要指定一个或若干用户对DHCP服务器进行管理。如笔者要指定账号名为“CCE”的用户能够对DHCP进行管理,在Windows 2000服务器中,进入到“控制面板→管理工具”,运行“Active Directory 用户和计算机”工具,在弹出的窗口中,点击“Users”选项,接着在右侧框体中找到“DHCP Administrators”项,右键点击,选择“属性”,弹出“DHCP Administrators属性”对话框,切换到“成员”标签页,点击“添加”按钮,将“CCE”用户添加到列表框中,最后点击“确定”按钮,这样“CCE”用户就能够管理DHCP服务器了。
三、对DHCP管理用户限制
如果网络管理员意外出现误操作,将其他的用户加入到DHCP管理组,那么这些用户也会拥有对DHCP服务器的管理权限,这种情况的发生同样会影响DHCP服务器的安全。如何对这些DHCP管理组用户进行限制呢?何不利用域安全策略,给DHCP服务器加个“双保险”。
如笔者只允许DHCP管理组的CCE用户,对DHCP服务器拥有管理权限,而其他用户只有“只读”权限。进入到“控制面板→管理工具”,运行“域安全策略”工具,弹出安全策略控制台窗口,接着依次展开“Windows 设置→安全设置→受限制的组”,然后在右侧框体中的空白处单击右键,选择“添加组”,弹出添加组对话框,在栏中输入“DHCP Administrators”后,点击“确定”按钮。
然后右键点击“DHCP Administrators”,选择“安全性”,弹出配置成员身份对话框,接着点击“添加”按钮,将“CCE”用户添加到成员列表中,最后点击“确定”。
一DHCP服务的自动IP地址分配原理 DHCP使用客户端/服务器(Client/Server)模型。网络管理员建立一个或多个维护TCP/IP配置信息,并将其提供给客户端的DHCP服务器。服务器数据库包含以下信息。 网络上所有客户端的有效配置参数。 在指派到客户端的地址池中维护的有效IP地址,以及用于手动指派的保留地址。 服务器提供的租约持续时间。 通过在网络上安装和配置DHCP服务器,启用DHCP的客户端可在每次启动并加入网络时动态地获得其IP地址和相关配置参数。DHCP服务器以地址租约的形式将该配置提供给发出请求的客户端。 在以下3种情况下,DHCP客户机将申请一个新的IP地址。 计算机第一次以DHCP客户机的身份启动。 DHCP客户机的IP地址因某种原因(如租约期到了,或断开连接了)已经被服务器收回,并提供给其他DHCP客户机使用。 DHCP客户机自行释放已经租用的IP地址,要求使用一个新的IP地址。 DHCP客户机申请一个新的IP地址的总体过程如图6所示。其具体的过程如下。 (1)DHCP客户机设置为"自动获得IP地址"后,因为还没有IP地址与其绑定,此时称为处于"未绑定状态"。这时的DHCP客户机只能提供有限的通信能力,如可以发送和广播消息,但因为没有自己的IP地址,所以自己无法发送单播的消息。 (2)DHCP客户机试图从DHCP服务器那里"租借"到一个IP地址,这时DHCP客户机进入"初始化状态"。这个未绑定IP地址的DHCP客户机会向网络上发出一个源IP地址为广播地址0000的DHCP探索消息,寻找看哪个DHCP服务器可以为它分配一个IP地址。 (3)子网络上的所有DHCP服务器收到这个探索消息。各DHCP服务器确定自己是否有权为该客户机分配一个IP地址。 (4)确定有权为对应客户机提供DHCP服务后,DHCP服务器开始响应,并向网络广播一个DHCP提供消息,包含了未租借的IP地址信息以及相关的配置参数。 (5)DHCP客户机会评价收到的DHCP服务器提供的消息并进行两种选择。一是认为该服务器提供的对IP地址的使用约定(称为"租约")可以接受,就发送一个请求消息,该消息中指定了自己选定的IP地址并请求服务器提供该租约。还有一种选择是拒绝服务器的条件,发送一个拒绝消息,然后继续从第(1)步开始执行。 (6)DHCP服务器在收到确认消息后,根据当前IP地址的使用情况以及相关配置选项,对允许提供DHCP服务的客户机发送一个确认消息,其中包含了所分配的IP地址及相关DHCP配置选项。 (7)客户机在收到DHCP服务器的消息后,绑定该IP地址,进入"绑定状态"。这样客户机就有了自己的IP地址,就可以在网络上进行通信了。 二DHCP中继代理原理 在大型的网络中,可能会存在多个子网。DHCP客户机通过网络广播消息获得DHCP服务器的响应后得到IP地址。但广播消息是不能跨越子网的。因此,如果DHCP客户机和服务器在不同的子网内,客户机还能不能向服务器申请IP地址呢?这就要用到DHCP中继代理。DHCP中继代理实际上是一种软件技术,安装了DHCP中继代理的计算机称为DHCP中继代理服务器,它承担不同子网间的DHCP客户机和服务器的通信任务。 中继代理是在不同子网上的客户端和服务器之间中转DHCP/BOOTP消息的小程序。根据征求意见文档(RFC),DHCP/BOOTP中继代理是DHCP和BOOTP标准和功能的一部分。 1.路由器的DHCP/BOOTP中继代理支持 在TCP/IP网络中,路由器用于连接称做"子网"的不同物理网段上使用的硬件和软件,并在每个子网之间转发IP数据包。要在多个子网上支持和使用DHCP服务,连接每个子网的路由器应具有在RFC 1542中描述的DHCP/BOOTP中继代理功能。 要符合RFC 1542并提供中继代理支持,每个路由器必须能识别BOOTP和DHCP协议消息并相应处理(中转)这些消息。由于路由器将DHCP消息解释为BOOTP消息(例如,通过相同的UDP端口编号发送,并包含共享消息结构的UDP消息),具有BOOTP中继代理能力的路由器可中转网络上发送的DHCP数据包和任何BOOTP数据包。 如果路由器不能作为DHCP/BOOTP中继代理运行,则每个子网都必须有在该子网上作为中继代理运行的DHCP服务器或另一台计算机。如果配置路由器支持DHCP/BOOTP中继不可行或不可能,您可以通过安装DHCP中继代理服务来配置运行Windows NT Server 40或更高版本的计算机充当中继代理。 在大多数情况下,路由器支持DHCP/ BOOTP中继。如果您的路由器不支持,则应与路由器制造商或供应商联系以查明是否有软件或固件升级提供对该功能的支持。 2.中继代理的工作原理 中继代理将它连接的其中一个物理接口(如网卡)上广播的DHCP/BOOTP消息中转到其他物理接口连至的其他远程子网。图7显示了子网2上的客户端C是如何从子网1上的DHCP服务器1获得DHCP地址租约的。具体过程如下。 (1)DHCP客户端C使用众所周知的UDP服务器67号端口在子网2上以"用户数据报协议(UDP)"的数据报广播DHCP/BOOTP查找消息(DHCPDISCOVER)。67号UDP端口是BOOTP和DHCP服务器通信所保留和共享的。 (2)中继代理,在DHCP/BOOTP允许中继的路由器的情况下,检测DHCP/BOOTP消息头中的网关IP地址字段。如果该字段有IP地址0000,代理文件会在其中填入中继代理或路由器的IP地址,然后将消息转发到DHCP服务器1所在的远程子网1。 (3)远程子网1上的DHCP服务器1收到此消息时,它会为该DHCP服务器可用于提供IP地址租约的DHCP作用域检查其网关IP地址字段。 (4)如果DHCP服务器1有多个DHCP作用域,网关IP地址字段(GIADDR)中的地址会标识将从哪个DHCP作用域提供IP地址租约。 例如,如果网关IP地址(GIADDR)字段有10002的IP地址,DHCP服务器会检查其可用的地址作用域集中是否有与包含作为主机的网关地址匹配的地址作用域范围。在这种情况下,DHCP服务器将对10001和1000254之间的地址作用域进行检查。如果存在匹配的作用域,则DHCP服务器从匹配的作用域中选择可用地址以便在对客户端的IP地址租约提供响应时使用。 (5)当DHCP服务器1收到DHCPDISCOVER消息时,它会处理IP地址租约(DHCPOFFER)并将其直接发送给在网关IP地址(GIADDR)字段中标识的中继代理。 (6)路由器然后将地址租约(DHCPOFFER)转发给DHCP客户端。此时客户端的IP地址仍旧无人知道,所以它必须在本地子网上广播。同样,根据RFC 1542,DHCPREQUEST消息从客户端中转发服务器,而DHCPACK消息从服务器转发到客户端。
记得采纳啊
0条评论