DHCP最佳实践(一)
这是Windows DHCP最佳实践和技巧的最终指南。
如果您有任何最佳做法或技巧,请在下面的评论中发布它们。
在本指南(一)中,我将分享以下DHCP最佳实践和技巧。
不要在域控制器上放置DHCP
一般建议不要在域控制器上运行除DNS以外的任何其他角色。您的域控制器应该是域控制器/ DNS,就是这样。小型组织通常会在其域控制器上安装其他角色和第三方软件。建议您尽可能避免这种情况。
有什么问题
在DC上安装其他服务会增加攻击面,使其难以管理,并可能导致性能问题。
问题1:管理具有多个角色的DC
安装了多个角色的域控制器很难管理。这通常会导致不稳定和服务中断。
例如,假设您在使用DHCP时遇到问题,或者安装了需要重新启动的安全补丁。重新引导具有Active Directory域服务角色的服务器可能会对组织造成重大破坏。这可能会影响身份验证,复制,组策略和DNS。如果DNS关闭,您的用户将无法访问任何内容。
如果您有多个域控制器并且配置正确,则可以避免这些问题,但是为什么要冒险呢?
如果在自己的服务器上安装了DHCP,则可以重新启动DCHP服务器,而不必担心会影响域控制器上的服务。
问题2:安全
- 您安装的软件/服务越多,攻击生存期就越大。如果在DC上安装了DHCP,并且在DHCP服务中发现了一个新漏洞,则DC服务器现在处于危险中。
- 您有访客无线网路吗?您如何看待这些不受管设备连接到DHCP / DC服务器?我不喜欢使用内部DHCP服务器为公众提供IP地址。然后添加这些公共设备也正在连接到域控制器,这会导致我关闭安全告警。
- 在域控制器上安装DHCP后,DHCP服务将继承DC计算机帐户的安全权限。这违反了最小特权原则。现在,您的DHCP服务器正在以特权运行,并且执行的并不是为其设计的任务。所以这可以纠正,不要增加这种风险。
在自己的成员服务器上安装DHCP将减少DC的攻击面。
问题3:性能
通常,我已经看到DHCP服务器运行非常高效,并且不需要大量系统资源(例如CPU或内存)。
但是,假设您刚刚了解了新的DHCP选项(例如冲突检测),然后将其打开了所有作用域。现在,CPU使用率激增,域服务变慢,用户无法登录,DNS请求也变慢。
也许您安装了IPAM来跟踪可用的IP地址,并且占用了CPU和内存,从而再次占用了域服务的资源。
我可以继续假设很多情况,但是要指出的是,您在域控制器上安装的软件/服务越多,对性能的影响就越大,并导致服务中断。
总结
域控制器是Windows域环境中最关键的服务之一,在一台单独服务器上运行。域控制服务器器只能是是域控制器,只能是域控制器,只能是域控制器。没有其他的,重要的事情说三遍。
使用DHCP故障转移
DHCP故障转移是用于确保DHCP服务器的高可用性的功能。通过DHCP故障转移,两台DHCP服务器共享DHCP信息,因此,如果一台服务器发生故障,另一台服务器仍可以为客户端提供DHCP租约。
DHCP故障转移选项内置在Windows服务器操作系统中。下图显示了两个配置有负载平衡故障模式的DHCP服务器的设置。如果一台服务器发生故障,另一台服务器仍处于活动状态并接管所有DCHP请求。
有两种故障转移设计选项:
热备设计
使用热备用模式时,一台服务器是活动服务器,另一台是备用服务器。活动服务器是主服务器,并处理所有DHCP请求。如果活动服务器关闭,则备用服务器将接管DHCP请求。
该选项通常与备用单元位于与主用单元不同的位置时使用。
负载均衡设计
在负载平衡模式下,两台服务器均以双活模式工作以处理DHCP请求。请求是负载平衡的,并在两个DHCP服务器之间共享。如果其中一台服务器与其故障转移伙伴失去联系,它将开始向所有DHCP客户端授予租约。
总结
您将需要确定哪种故障转移设计最适合您的环境。它是一个免费的内置选项,因此请充分利用它,并使您的DHCP服务器具有容错能力。
资料来源
中央与分布式DHCP服务器
您的大型网络在多个位置都有分支机构吗?
问题是您是在这些分支机构中安装DHCP服务器,还是将它们隧道传输回集中式DHCP服务器?
集中式DHCP服务器
集中式DHCP服务器放置在远程办公室连接到DHCP的集中位置。它通常位于主要数据中心之一。在此设计中,没有本地DHCP服务器,所有请求都返回到集中式服务器。
分布式DHCP服务器
在分布式DHCP模型中,本地分支机构中有DHCP服务器。此模型的客户端从本地DHCP服务器获取IP地址。
那么哪个选项最好呢?
可以用一个简单的问题来回答吗?
分支机构可以完全独立地工作,而无需回到数据中心吗?如果是,则应该有一个本地DHCP和DNS服务器。
如果分支机构通过隧道返回到Internet,Active Directory,DNS等数据中心,则将DHCP放在本地毫无意义。
我为一家在全国设有分部的公司工作,并使用集中式DHCP模式。我们拥有可靠的快速连接,因此使用集中式DHCP服务器非常有意义。
要考虑的一件事是分部有多少员工。如果您有一个拥有数千名员工的大型分部,那么拥有Active Directory,DNS和DHCP等本地资源可能会有所帮助。这将通过WAN链接传输大量流量,如果该链接断开,将使所有这些员工脱机。
总结
集中式DHCP或分布式DHCP之间的选择通常可以通过以下问题回答:“分支机构可以在没有连接回数据中心的情况下工作。远程办公室的大小和回到数据中心的连接速度也可能是一个因素。
资料来源
https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/
避免静态IP分配并使用DHCP保留
为计算机,打印机,电话或任何其他最终用户设备分配静态IP地址是一件很麻烦的事情。
以下是统计分配静态IP地址时,发生以下情况:
- Helpdesk替换了不知道设置了静态IP的设备
- 现在这台设备完全或部分失去网络连接
- Helpdesk将故障单发送给网络团队以求解决问题
- 网络团队把故障单发回Helpdesk,因为使用了静态IP
- 现在,Helpdesk必须找到设备并重新分配IP
我已经多次处于上述情况,就像我说的那样。为了避免这种情况,只需使用DHCP保留而不是静态IP分配即可。
对于需要固定IP地址的任何内容,我都使用DHCP保留。一个例外是路由器和交换机等基础设施设备,它们会获得静态IP。
打印机的DHCP保留的屏幕截图。
通过DHCP保留,您所需要做的就是在更换设备并自动将IP分配回设备时更新MAC地址。它还可以快速查看为其分配IP的所有内容,而无需手动跟踪电子表格中的所有内容。
本系列文档目录:
本文首发于BigYoung小站
DHCP最佳实践(一)的更多相关文章
- DHCP最佳实践(二)
这是Windows DHCP最佳实践和技巧的最终指南. 如果您有任何最佳做法或技巧,请在下面的评论中发布它们. 在本指南(二)中,我将分享以下DHCP最佳实践和技巧. 从DHCP作用域中排除IP 了解 ...
- DHCP最佳实践(三)
这是Windows DHCP最佳实践和技巧的最终指南. 如果您有任何最佳做法或技巧,请在下面的评论中发布它们. 在本指南(三)中,我将分享以下DHCP最佳实践和技巧. 仅在需要时才使用IP冲突检测 运 ...
- Windows DHCP最佳实践(四)
这是Windows DHCP最佳实践和技巧的最终指南. 如果您有任何最佳做法或技巧,请在下面的评论中发布它们. 在本指南(四)中,我将分享以下DHCP最佳实践和技巧. 使用DHCP中继代理 防止恶意D ...
- ASP.NET跨平台最佳实践
前言 八年的坚持敌不过领导的固执,最终还是不得不阔别已经成为我第二语言的C#,转战Java阵营.有过短暂的失落和迷茫,但技术转型真的没有想象中那么难.回头审视,其实单从语言本身来看,C#确实比Java ...
- 《开源安全运维平台:OSSIM最佳实践》内容简介
<开源安全运维平台:OSSIM最佳实践 > 李晨光 著 清华大学出版社出版 内 容 简 介在传统的异构网络环境中,运维人员往往利用各种复杂的监管工具来管理网络,由于缺乏一种集成安全运维平台 ...
- 《开源安全运维平台OSSIM最佳实践》
<开源安全运维平台OSSIM最佳实践> 经多年潜心研究开源技术,历时三年创作的<开源安全运维平台OSSIM最佳实践>一书即将出版.该书用80多万字记录了,作者10多年的IT行业 ...
- Cobbler自动化部署最佳实践
第1章 Cobbler自动化部署最佳实践 运维自动化在生产环境中占据着举足轻重的地位,尤其是面对几百台,几千台甚至几万台的服务器时,仅仅是安装操作系统,如果不通过自动化来完成,根本是不可想象的. 面对 ...
- Window下使用Xshell连接VirtualBox中CentOS SSH最佳实践
网上已经有非常多讲怎样连接VMware的文章.可是针对一些可能遇到的细节没有讲全. 这里会有一个非常 实际的样例,附带全部软件的链接,保证成功. 最佳实践什么的都是骗人的. 1.安装VirtualBo ...
- 《AngularJS深度剖析与最佳实践》简介
由于年末将至,前阵子一直忙于工作的事务,不得已暂停了微信订阅号的更新,我将会在后续的时间里尽快的继续为大家推送更多的博文.毕竟一个人的力量微薄,精力有限,希望大家能理解,仍然能一如既往的关注和支持sh ...
随机推荐
- IIS-logfiles详解以及日志日期问题
IIS日志的含义IIS是Internet Information Server的缩写,意思是英特网信息服务,日志就是运行的记录 IIS日志的默认目录就是%systemroot%\system32\lo ...
- docker 使用ubuntu 系统
1.安装Ubuntu系统命令:docker pull ubuntu这是一个极度精简的系统,连最基本的wget命令都没有:所以先要apt-get update升级系统和安装apt-get install ...
- 跨站点请求伪造 - SpringBoot配置CSRF过滤器
1. 跨站点请求伪造 风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务. 原因:应用程序使用的认证方法不充分. ...
- Kafka客户端编程入门介绍
1.maven依赖 <dependency> <groupId>org.apache.kafka</groupId> <artifactId>kafka ...
- python 字典常用操作
字典键是唯一的,但值则不是 一个简单的字典 dict = {"guo":"1106","tang":"0809",&qu ...
- Netty源码解析 -- PoolSubpage实现原理
前面文章说了PoolChunk如何管理Normal内存块,本文分享PoolSubpage如何管理Small内存块. 源码分析基于Netty 4.1.52 内存管理算法 PoolSubpage负责管理S ...
- matplotlib的学习14-图中图
# 导入pyplot模块 import matplotlib.pyplot as plt # 初始化figure fig = plt.figure() # 创建数据 x = [1, 2, 3, 4, ...
- rest framework Serializer fields
串行领域 在表单类中的每个字段不仅负责验证数据,同时也为"清洁" - 它以标准化格式一致. - Django文档 串行字段手柄的原始值和内部数据类型之间的转换.他们还应对验证输入值 ...
- 详述网络中ARP安全的综合功能
组网图形 ARP安全简介 ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制.检查等措施来保证网络设 ...
- Appium App UI 自动化测试理论知识
(一)App自动化测试背景 随着移动终端的普及,手机应用越来越多,也越来越重要.App的回归测试用例数量越来越多,全量回归也越来越消耗时间.另外移动端碎片化严重(碎片化:兼容性测试,手机品牌多样.An ...