DHCP最佳實踐(一)


這是Windows DHCP最佳實踐和技巧的最終指南。

如果您有任何最佳做法或技巧,請在下面的評論中發布它們。

在本指南(一)中,我將分享以下DHCP最佳實踐和技巧

  1. 不要將DHCP放在您的域控制器上
  2. 使用DHCP故障轉移
  3. 中央與分布式DHCP服務器
  4. 避免靜態IP分配並使用DHCP保留

不要在域控制器上放置DHCP

一般建議不要在域控制器上運行除DNS以外的任何其他角色。您的域控制器應該是域控制器/ DNS,就是這樣。小型組織通常會在其域控制器上安裝其他角色和第三方軟件。建議您盡可能避免這種情況。

有什么問題

在DC上安裝其他服務會增加攻擊面,使其難以管理,並可能導致性能問題。

問題1:管理具有多個角色的DC

安裝了多個角色的域控制器很難管理。這通常會導致不穩定和服務中斷。

例如,假設您在使用DHCP時遇到問題,或者安裝了需要重新啟動的安全補丁。重新引導具有Active Directory域服務角色的服務器可能會對組織造成重大破壞。這可能會影響身份驗證,復制,組策略和DNS。如果DNS關閉,您的用戶將無法訪問任何內容。

如果您有多個域控制器並且配置正確,則可以避免這些問題,但是為什么要冒險呢?

如果在自己的服務器上安裝了DHCP,則可以重新啟動DCHP服務器,而不必擔心會影響域控制器上的服務。

問題2:安全

  1. 您安裝的軟件/服務越多,攻擊生存期就越大。如果在DC上安裝了DHCP,並且在DHCP服務中發現了一個新漏洞,則DC服務器現在處於危險中。
  2. 您有訪客無線網路嗎?您如何看待這些不受管設備連接到DHCP / DC服務器?我不喜歡使用內部DHCP服務器為公眾提供IP地址。然后添加這些公共設備也正在連接到域控制器,這會導致我關閉安全告警。
  3. 在域控制器上安裝DHCP后,DHCP服務將繼承DC計算機帳戶的安全權限。這違反了最小特權原則。現在,您的DHCP服務器正在以特權運行,並且執行的並不是為其設計的任務。所以這可以糾正,不要增加這種風險。

在自己的成員服務器上安裝DHCP將減少DC的攻擊面。

問題3:性能

通常,我已經看到DHCP服務器運行非常高效,並且不需要大量系統資源(例如CPU或內存)。

但是,假設您剛剛了解了新的DHCP選項(例如沖突檢測),然后將其打開了所有作用域。現在,CPU使用率激增,域服務變慢,用戶無法登錄,DNS請求也變慢。

也許您安裝了IPAM來跟蹤可用的IP地址,並且占用了CPU和內存,從而再次占用了域服務的資源。

我可以繼續假設很多情況,但是要指出的是,您在域控制器上安裝的軟件/服務越多,對性能的影響就越大,並導致服務中斷。

總結
域控制器是Windows域環境中最關鍵的服務之一,在一台單獨服務器上運行。域控制服務器器只能是是域控制器,只能是域控制器,只能是域控制器。沒有其他的,重要的事情說三遍。

使用DHCP故障轉移

DHCP故障轉移是用於確保DHCP服務器的高可用性的功能。通過DHCP故障轉移,兩台DHCP服務器共享DHCP信息,因此,如果一台服務器發生故障,另一台服務器仍可以為客戶端提供DHCP租約。

DHCP故障轉移選項內置在Windows服務器操作系統中。下圖顯示了兩個配置有負載平衡故障模式的DHCP服務器的設置。如果一台服務器發生故障,另一台服務器仍處於活動狀態並接管所有DCHP請求。

有兩種故障轉移設計選項:

熱備設計

使用熱備用模式時,一台服務器是活動服務器,另一台是備用服務器。活動服務器是主服務器,並處理所有DHCP請求。如果活動服務器關閉,則備用服務器將接管DHCP請求。

該選項通常與備用單元位於與主用單元不同的位置時使用。

負載均衡設計

在負載平衡模式下,兩台服務器均以雙活模式工作以處理DHCP請求。請求是負載平衡的,並在兩個DHCP服務器之間共享。如果其中一台服務器與其故障轉移伙伴失去聯系,它將開始向所有DHCP客戶端授予租約。

總結
您將需要確定哪種故障轉移設計最適合您的環境。它是一個免費的內置選項,因此請充分利用它,並使您的DHCP服務器具有容錯能力。

資料來源

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws.11)

中央與分布式DHCP服務器

您的大型網絡在多個位置都有分支機構嗎?

問題是您是在這些分支機構中安裝DHCP服務器,還是將它們隧道傳輸回集中式DHCP服務器?

集中式DHCP服務器

集中式DHCP服務器放置在遠程辦公室連接到DHCP的集中位置。它通常位於主要數據中心之一。在此設計中,沒有本地DHCP服務器,所有請求都返回到集中式服務器。

分布式DHCP服務器

在分布式DHCP模型中,本地分支機構中有DHCP服務器。此模型的客戶端從本地DHCP服務器獲取IP地址。

那么哪個選項最好呢?

可以用一個簡單的問題來回答嗎?

分支機構可以完全獨立地工作,而無需回到數據中心嗎?如果是,則應該有一個本地DHCP和DNS服務器。

如果分支機構通過隧道返回到Internet,Active Directory,DNS等數據中心,則將DHCP放在本地毫無意義。

我為一家在全國設有分部的公司工作,並使用集中式DHCP模式。我們擁有可靠的快速連接,因此使用集中式DHCP服務器非常有意義。

要考慮的一件事是分部有多少員工。如果您有一個擁有數千名員工的大型分部,那么擁有Active Directory,DNS和DHCP等本地資源可能會有所幫助。這將通過WAN鏈接傳輸大量流量,如果該鏈接斷開,將使所有這些員工脫機。

總結
集中式DHCP或分布式DHCP之間的選擇通常可以通過以下問題回答:“分支機構可以在沒有連接回數據中心的情況下工作。遠程辦公室的大小和回到數據中心的連接速度也可能是一個因素。

資料來源

https://docs.microsoft.com/zh-cn/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failover

https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/

避免靜態IP分配並使用DHCP保留

為計算機,打印機,電話或任何其他最終用戶設備分配靜態IP地址是一件很麻煩的事情。

以下是統計分配靜態IP地址時,發生以下情況:

  1. Helpdesk替換了不知道設置了靜態IP的設備
  2. 現在這台設備完全或部分失去網絡連接
  3. Helpdesk將故障單發送給網絡團隊以求解決問題
  4. 網絡團隊把故障單發回Helpdesk,因為使用了靜態IP
  5. 現在,Helpdesk必須找到設備並重新分配IP

我已經多次處於上述情況,就像我說的那樣。為了避免這種情況,只需使用DHCP保留而不是靜態IP分配即可。

對於需要固定IP地址的任何內容,我都使用DHCP保留。一個例外是路由器和交換機等基礎設施設備,它們會獲得靜態IP。

打印機的DHCP保留的屏幕截圖。

通過DHCP保留,您所需要做的就是在更換設備並自動將IP分配回設備時更新MAC地址。它還可以快速查看為其分配IP的所有內容,而無需手動跟蹤電子表格中的所有內容。

本系列文檔目錄:

DHCP最佳實踐(一)

DHCP最佳實踐(二)

DHCP最佳實踐(三)

DHCP最佳實踐(四)

本文首發於BigYoung小站


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM