这是Windows DHCP最佳实践和技巧的最终指南。

如果您有任何最佳做法或技巧,请在下面的评论中发布它们。

在本指南(一)中,我将分享以下DHCP最佳实践和技巧

  1. 不要将DHCP放在您的域控制器上
  2. 使用DHCP故障转移
  3. 中央与分布式DHCP服务器
  4. 避免静态IP分配并使用DHCP保留

不要在域控制器上放置DHCP

一般建议不要在域控制器上运行除DNS以外的任何其他角色。您的域控制器应该是域控制器/ DNS,就是这样。小型组织通常会在其域控制器上安装其他角色和第三方软件。建议您尽可能避免这种情况。

有什么问题

在DC上安装其他服务会增加攻击面,使其难以管理,并可能导致性能问题。

问题1:管理具有多个角色的DC

安装了多个角色的域控制器很难管理。这通常会导致不稳定和服务中断。

例如,假设您在使用DHCP时遇到问题,或者安装了需要重新启动的安全补丁。重新引导具有Active Directory域服务角色的服务器可能会对组织造成重大破坏。这可能会影响身份验证,复制,组策略和DNS。如果DNS关闭,您的用户将无法访问任何内容。

如果您有多个域控制器并且配置正确,则可以避免这些问题,但是为什么要冒险呢?

如果在自己的服务器上安装了DHCP,则可以重新启动DCHP服务器,而不必担心会影响域控制器上的服务。

问题2:安全

  1. 您安装的软件/服务越多,攻击生存期就越大。如果在DC上安装了DHCP,并且在DHCP服务中发现了一个新漏洞,则DC服务器现在处于危险中。
  2. 您有访客无线网路吗?您如何看待这些不受管设备连接到DHCP / DC服务器?我不喜欢使用内部DHCP服务器为公众提供IP地址。然后添加这些公共设备也正在连接到域控制器,这会导致我关闭安全告警。
  3. 在域控制器上安装DHCP后,DHCP服务将继承DC计算机帐户的安全权限。这违反了最小特权原则。现在,您的DHCP服务器正在以特权运行,并且执行的并不是为其设计的任务。所以这可以纠正,不要增加这种风险。

在自己的成员服务器上安装DHCP将减少DC的攻击面。

问题3:性能

通常,我已经看到DHCP服务器运行非常高效,并且不需要大量系统资源(例如CPU或内存)。

但是,假设您刚刚了解了新的DHCP选项(例如冲突检测),然后将其打开了所有作用域。现在,CPU使用率激增,域服务变慢,用户无法登录,DNS请求也变慢。

也许您安装了IPAM来跟踪可用的IP地址,并且占用了CPU和内存,从而再次占用了域服务的资源。

我可以继续假设很多情况,但是要指出的是,您在域控制器上安装的软件/服务越多,对性能的影响就越大,并导致服务中断。

总结

域控制器是Windows域环境中最关键的服务之一,在一台单独服务器上运行。域控制服务器器只能是是域控制器,只能是域控制器,只能是域控制器。没有其他的,重要的事情说三遍。

使用DHCP故障转移

DHCP故障转移是用于确保DHCP服务器的高可用性的功能。通过DHCP故障转移,两台DHCP服务器共享DHCP信息,因此,如果一台服务器发生故障,另一台服务器仍可以为客户端提供DHCP租约。

DHCP故障转移选项内置在Windows服务器操作系统中。下图显示了两个配置有负载平衡故障模式的DHCP服务器的设置。如果一台服务器发生故障,另一台服务器仍处于活动状态并接管所有DCHP请求。

有两种故障转移设计选项:

热备设计

使用热备用模式时,一台服务器是活动服务器,另一台是备用服务器。活动服务器是主服务器,并处理所有DHCP请求。如果活动服务器关闭,则备用服务器将接管DHCP请求。

该选项通常与备用单元位于与主用单元不同的位置时使用。

负载均衡设计

在负载平衡模式下,两台服务器均以双活模式工作以处理DHCP请求。请求是负载平衡的,并在两个DHCP服务器之间共享。如果其中一台服务器与其故障转移伙伴失去联系,它将开始向所有DHCP客户端授予租约。

总结

您将需要确定哪种故障转移设计最适合您的环境。它是一个免费的内置选项,因此请充分利用它,并使您的DHCP服务器具有容错能力。

资料来源

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws.11)

中央与分布式DHCP服务器

您的大型网络在多个位置都有分支机构吗?

问题是您是在这些分支机构中安装DHCP服务器,还是将它们隧道传输回集中式DHCP服务器?

集中式DHCP服务器

集中式DHCP服务器放置在远程办公室连接到DHCP的集中位置。它通常位于主要数据中心之一。在此设计中,没有本地DHCP服务器,所有请求都返回到集中式服务器。

分布式DHCP服务器

在分布式DHCP模型中,本地分支机构中有DHCP服务器。此模型的客户端从本地DHCP服务器获取IP地址。

那么哪个选项最好呢?

可以用一个简单的问题来回答吗?

分支机构可以完全独立地工作,而无需回到数据中心吗?如果是,则应该有一个本地DHCP和DNS服务器。

如果分支机构通过隧道返回到Internet,Active Directory,DNS等数据中心,则将DHCP放在本地毫无意义。

我为一家在全国设有分部的公司工作,并使用集中式DHCP模式。我们拥有可靠的快速连接,因此使用集中式DHCP服务器非常有意义。

要考虑的一件事是分部有多少员工。如果您有一个拥有数千名员工的大型分部,那么拥有Active Directory,DNS和DHCP等本地资源可能会有所帮助。这将通过WAN链接传输大量流量,如果该链接断开,将使所有这些员工脱机。

总结

集中式DHCP或分布式DHCP之间的选择通常可以通过以下问题回答:“分支机构可以在没有连接回数据中心的情况下工作。远程办公室的大小和回到数据中心的连接速度也可能是一个因素。

资料来源

https://docs.microsoft.com/zh-cn/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failover

https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/

避免静态IP分配并使用DHCP保留

为计算机,打印机,电话或任何其他最终用户设备分配静态IP地址是一件很麻烦的事情。

以下是统计分配静态IP地址时,发生以下情况:

  1. Helpdesk替换了不知道设置了静态IP的设备
  2. 现在这台设备完全或部分失去网络连接
  3. Helpdesk将故障单发送给网络团队以求解决问题
  4. 网络团队把故障单发回Helpdesk,因为使用了静态IP
  5. 现在,Helpdesk必须找到设备并重新分配IP

我已经多次处于上述情况,就像我说的那样。为了避免这种情况,只需使用DHCP保留而不是静态IP分配即可。

对于需要固定IP地址的任何内容,我都使用DHCP保留。一个例外是路由器和交换机等基础设施设备,它们会获得静态IP。

打印机的DHCP保留的屏幕截图。

通过DHCP保留,您所需要做的就是在更换设备并自动将IP分配回设备时更新MAC地址。它还可以快速查看为其分配IP的所有内容,而无需手动跟踪电子表格中的所有内容。

本系列文档目录:

DHCP最佳实践(一)

DHCP最佳实践(二)

DHCP最佳实践(三)

DHCP最佳实践(四)

本文首发于BigYoung小站

DHCP最佳实践(一)的更多相关文章

  1. DHCP最佳实践(二)

    这是Windows DHCP最佳实践和技巧的最终指南. 如果您有任何最佳做法或技巧,请在下面的评论中发布它们. 在本指南(二)中,我将分享以下DHCP最佳实践和技巧. 从DHCP作用域中排除IP 了解 ...

  2. DHCP最佳实践(三)

    这是Windows DHCP最佳实践和技巧的最终指南. 如果您有任何最佳做法或技巧,请在下面的评论中发布它们. 在本指南(三)中,我将分享以下DHCP最佳实践和技巧. 仅在需要时才使用IP冲突检测 运 ...

  3. Windows DHCP最佳实践(四)

    这是Windows DHCP最佳实践和技巧的最终指南. 如果您有任何最佳做法或技巧,请在下面的评论中发布它们. 在本指南(四)中,我将分享以下DHCP最佳实践和技巧. 使用DHCP中继代理 防止恶意D ...

  4. ASP.NET跨平台最佳实践

    前言 八年的坚持敌不过领导的固执,最终还是不得不阔别已经成为我第二语言的C#,转战Java阵营.有过短暂的失落和迷茫,但技术转型真的没有想象中那么难.回头审视,其实单从语言本身来看,C#确实比Java ...

  5. 《开源安全运维平台:OSSIM最佳实践》内容简介

    <开源安全运维平台:OSSIM最佳实践 > 李晨光 著 清华大学出版社出版 内 容 简 介在传统的异构网络环境中,运维人员往往利用各种复杂的监管工具来管理网络,由于缺乏一种集成安全运维平台 ...

  6. 《开源安全运维平台OSSIM最佳实践》

    <开源安全运维平台OSSIM最佳实践> 经多年潜心研究开源技术,历时三年创作的<开源安全运维平台OSSIM最佳实践>一书即将出版.该书用80多万字记录了,作者10多年的IT行业 ...

  7. Cobbler自动化部署最佳实践

    第1章 Cobbler自动化部署最佳实践 运维自动化在生产环境中占据着举足轻重的地位,尤其是面对几百台,几千台甚至几万台的服务器时,仅仅是安装操作系统,如果不通过自动化来完成,根本是不可想象的. 面对 ...

  8. Window下使用Xshell连接VirtualBox中CentOS SSH最佳实践

    网上已经有非常多讲怎样连接VMware的文章.可是针对一些可能遇到的细节没有讲全. 这里会有一个非常 实际的样例,附带全部软件的链接,保证成功. 最佳实践什么的都是骗人的. 1.安装VirtualBo ...

  9. 《AngularJS深度剖析与最佳实践》简介

    由于年末将至,前阵子一直忙于工作的事务,不得已暂停了微信订阅号的更新,我将会在后续的时间里尽快的继续为大家推送更多的博文.毕竟一个人的力量微薄,精力有限,希望大家能理解,仍然能一如既往的关注和支持sh ...

随机推荐

  1. IIS-logfiles详解以及日志日期问题

    IIS日志的含义IIS是Internet Information Server的缩写,意思是英特网信息服务,日志就是运行的记录 IIS日志的默认目录就是%systemroot%\system32\lo ...

  2. docker 使用ubuntu 系统

    1.安装Ubuntu系统命令:docker pull ubuntu这是一个极度精简的系统,连最基本的wget命令都没有:所以先要apt-get update升级系统和安装apt-get install ...

  3. 跨站点请求伪造 - SpringBoot配置CSRF过滤器

    1. 跨站点请求伪造   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务.   原因:应用程序使用的认证方法不充分. ...

  4. Kafka客户端编程入门介绍

    1.maven依赖 <dependency> <groupId>org.apache.kafka</groupId> <artifactId>kafka ...

  5. python 字典常用操作

    字典键是唯一的,但值则不是 一个简单的字典 dict = {"guo":"1106","tang":"0809",&qu ...

  6. Netty源码解析 -- PoolSubpage实现原理

    前面文章说了PoolChunk如何管理Normal内存块,本文分享PoolSubpage如何管理Small内存块. 源码分析基于Netty 4.1.52 内存管理算法 PoolSubpage负责管理S ...

  7. matplotlib的学习14-图中图

    # 导入pyplot模块 import matplotlib.pyplot as plt # 初始化figure fig = plt.figure() # 创建数据 x = [1, 2, 3, 4, ...

  8. rest framework Serializer fields

    串行领域 在表单类中的每个字段不仅负责验证数据,同时也为"清洁" - 它以标准化格式一致. - Django文档 串行字段手柄的原始值和内部数据类型之间的转换.他们还应对验证输入值 ...

  9. 详述网络中ARP安全的综合功能

    组网图形 ARP安全简介 ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制.检查等措施来保证网络设 ...

  10. Appium App UI 自动化测试理论知识

    (一)App自动化测试背景 随着移动终端的普及,手机应用越来越多,也越来越重要.App的回归测试用例数量越来越多,全量回归也越来越消耗时间.另外移动端碎片化严重(碎片化:兼容性测试,手机品牌多样.An ...