DHCP最佳实践（一）

这是Windows DHCP最佳实践和技巧的最终指南。

如果您有任何最佳做法或技巧，请在下面的评论中发布它们。

在本指南（一）中，我将分享以下DHCP最佳实践和技巧。

1. 不要将DHCP放在您的域控制器上
2. 使用DHCP故障转移
3. 中央与分布式DHCP服务器
4. 避免静态IP分配并使用DHCP保留

不要在域控制器上放置DHCP

一般建议不要在域控制器上运行除DNS以外的任何其他角色。您的域控制器应该是域控制器/ DNS，就是这样。小型组织通常会在其域控制器上安装其他角色和第三方软件。建议您尽可能避免这种情况。

有什么问题

在DC上安装其他服务会增加攻击面，使其难以管理，并可能导致性能问题。

问题1：管理具有多个角色的DC

安装了多个角色的域控制器很难管理。这通常会导致不稳定和服务中断。

例如，假设您在使用DHCP时遇到问题，或者安装了需要重新启动的安全补丁。重新引导具有Active Directory域服务角色的服务器可能会对组织造成重大破坏。这可能会影响身份验证，复制，组策略和DNS。如果DNS关闭，您的用户将无法访问任何内容。

如果您有多个域控制器并且配置正确，则可以避免这些问题，但是为什么要冒险呢？

如果在自己的服务器上安装了DHCP，则可以重新启动DCHP服务器，而不必担心会影响域控制器上的服务。

问题2：安全

1. 您安装的软件/服务越多，攻击生存期就越大。如果在DC上安装了DHCP，并且在DHCP服务中发现了一个新漏洞，则DC服务器现在处于危险中。
2. 您有访客无线网路吗？您如何看待这些不受管设备连接到DHCP / DC服务器？我不喜欢使用内部DHCP服务器为公众提供IP地址。然后添加这些公共设备也正在连接到域控制器，这会导致我关闭安全告警。
3. 在域控制器上安装DHCP后，DHCP服务将继承DC计算机帐户的安全权限。这违反了最小特权原则。现在，您的DHCP服务器正在以特权运行，并且执行的并不是为其设计的任务。所以这可以纠正，不要增加这种风险。

在自己的成员服务器上安装DHCP将减少DC的攻击面。

问题3：性能

通常，我已经看到DHCP服务器运行非常高效，并且不需要大量系统资源（例如CPU或内存）。

但是，假设您刚刚了解了新的DHCP选项（例如冲突检测），然后将其打开了所有作用域。现在，CPU使用率激增，域服务变慢，用户无法登录，DNS请求也变慢。

也许您安装了IPAM来跟踪可用的IP地址，并且占用了CPU和内存，从而再次占用了域服务的资源。

我可以继续假设很多情况，但是要指出的是，您在域控制器上安装的软件/服务越多，对性能的影响就越大，并导致服务中断。

总结

域控制器是Windows域环境中最关键的服务之一，在一台单独服务器上运行。域控制服务器器只能是是域控制器，只能是域控制器，只能是域控制器。没有其他的，重要的事情说三遍。

使用DHCP故障转移

DHCP故障转移是用于确保DHCP服务器的高可用性的功能。通过DHCP故障转移，两台DHCP服务器共享DHCP信息，因此，如果一台服务器发生故障，另一台服务器仍可以为客户端提供DHCP租约。

DHCP故障转移选项内置在Windows服务器操作系统中。下图显示了两个配置有负载平衡故障模式的DHCP服务器的设置。如果一台服务器发生故障，另一台服务器仍处于活动状态并接管所有DCHP请求。

有两种故障转移设计选项：

热备设计

使用热备用模式时，一台服务器是活动服务器，另一台是备用服务器。活动服务器是主服务器，并处理所有DHCP请求。如果活动服务器关闭，则备用服务器将接管DHCP请求。

该选项通常与备用单元位于与主用单元不同的位置时使用。

负载均衡设计

在负载平衡模式下，两台服务器均以双活模式工作以处理DHCP请求。请求是负载平衡的，并在两个DHCP服务器之间共享。如果其中一台服务器与其故障转移伙伴失去联系，它将开始向所有DHCP客户端授予租约。

总结

您将需要确定哪种故障转移设计最适合您的环境。它是一个免费的内置选项，因此请充分利用它，并使您的DHCP服务器具有容错能力。

资料来源

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws.11）

中央与分布式DHCP服务器

您的大型网络在多个位置都有分支机构吗？

问题是您是在这些分支机构中安装DHCP服务器，还是将它们隧道传输回集中式DHCP服务器？

集中式DHCP服务器

集中式DHCP服务器放置在远程办公室连接到DHCP的集中位置。它通常位于主要数据中心之一。在此设计中，没有本地DHCP服务器，所有请求都返回到集中式服务器。

分布式DHCP服务器

在分布式DHCP模型中，本地分支机构中有DHCP服务器。此模型的客户端从本地DHCP服务器获取IP地址。

那么哪个选项最好呢？

可以用一个简单的问题来回答吗？

分支机构可以完全独立地工作，而无需回到数据中心吗？如果是，则应该有一个本地DHCP和DNS服务器。

如果分支机构通过隧道返回到Internet，Active Directory，DNS等数据中心，则将DHCP放在本地毫无意义。

我为一家在全国设有分部的公司工作，并使用集中式DHCP模式。我们拥有可靠的快速连接，因此使用集中式DHCP服务器非常有意义。

要考虑的一件事是分部有多少员工。如果您有一个拥有数千名员工的大型分部，那么拥有Active Directory，DNS和DHCP等本地资源可能会有所帮助。这将通过WAN链接传输大量流量，如果该链接断开，将使所有这些员工脱机。

总结

集中式DHCP或分布式DHCP之间的选择通常可以通过以下问题回答：“分支机构可以在没有连接回数据中心的情况下工作。远程办公室的大小和回到数据中心的连接速度也可能是一个因素。

资料来源

https://docs.microsoft.com/zh-cn/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failover

https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/

避免静态IP分配并使用DHCP保留

为计算机，打印机，电话或任何其他最终用户设备分配静态IP地址是一件很麻烦的事情。

以下是统计分配静态IP地址时，发生以下情况：

1. Helpdesk替换了不知道设置了静态IP的设备
2. 现在这台设备完全或部分失去网络连接
3. Helpdesk将故障单发送给网络团队以求解决问题
4. 网络团队把故障单发回Helpdesk，因为使用了静态IP
5. 现在，Helpdesk必须找到设备并重新分配IP

我已经多次处于上述情况，就像我说的那样。为了避免这种情况，只需使用DHCP保留而不是静态IP分配即可。

对于需要固定IP地址的任何内容，我都使用DHCP保留。一个例外是路由器和交换机等基础设施设备，它们会获得静态IP。

打印机的DHCP保留的屏幕截图。

通过DHCP保留，您所需要做的就是在更换设备并自动将IP分配回设备时更新MAC地址。它还可以快速查看为其分配IP的所有内容，而无需手动跟踪电子表格中的所有内容。

本系列文档目录：

DHCP最佳实践（一）

DHCP最佳实践（二）

DHCP最佳实践（三）

DHCP最佳实践（四）

本文首发于BigYoung小站