这是WindowsDHCP最佳实践和技巧的终极指南。如果您有任何最佳实践或提示,请将它们发布在下面的评论中。在本指南(一)中,我将分享以下DHCP最佳实践和技巧。不要将DHCP放在域控制器上使用DHCP故障转移中心与分布式DHCP服务器避免静态IP分配并使用DHCP保留不要将DHCP放在域控制器上通常建议不要在域控制器上运行DNS以外的任何其他角色。您的域控制器应该是域控制器/DNS,仅此而已。小型组织通常会在其域控制器上安装其他角色和第三方软件。建议您尽可能避免这种情况。怎么了?在DC上安装额外的服务会增加攻击面,使其难以管理,并可能导致性能问题。问题一:管理多角色域控制器多角色域控难于管理。这通常会导致不稳定和服务中断。例如,假设您在使用DHCP时遇到问题,或者您安装了需要重新启动的安全补丁。重新启动具有ActiveDirectory域服务角色的服务器可能会对组织造成严重破坏。这会影响身份验证、复制、组策略和DNS。如果DNS出现故障,您的用户将无法访问任何内容。如果您有多个域控制器并正确配置它们,您可以避免这些问题,但为什么要冒这个险呢?如果您在自己的服务器上安装了DHCP,则可以重新启动DCHP服务器,而不必担心影响域控制器上的服务。问题2:安全性您安装的软件/服务越多,攻击寿命就越长。如果DC安装了DHCP,发现DHCP服务存在新的漏洞,DC服务器就存在风险。您有访客无线网络吗?您如何看待这些连接到DHCP/DC服务器的非托管设备?我不喜欢使用内部DHCP服务器向公众提供IP地址。然后添加这些公共设备也连接到域控制器,这使我关闭了安全警报。在域控制器上安装DHCP后,DHCP服务将继承DC计算机帐户的安全权限。这违反了最小特权原则。现在,您的DHCP服务器正在以特权运行并执行它不应该执行的任务。所以这可以纠正,不要增加这种风险。在自己的成员服务器上安装DHCP将减少DC的攻击面。问题3:性能总的来说,我看到DHCP服务器运行非常高效并且不需要大量系统资源(例如CPU或内存)。但是假设您刚刚了解了一个新的DHCP选项(例如冲突检测),并且您将它打开了所有作用域。现在,CPU使用率飙升,域服务变慢,用户无法登录,DNS请求变慢。也许您安装了IPAM来跟踪可用的IP地址,它占用了CPU和内存,再次占用了域服务的资源。我可以继续假设很多,但重点是您在域控制器上安装的软件/服务越多,对性能的影响就越大,并导致服务中断。小结域控制器是Windows域环境中最关键的服务之一,运行在单台服务器上。一台域控服务器只能是域控制器,只能是域控制器,只能是域控制器。别的不说,重要的事情说三遍。使用DHCP故障转移DHCP故障转移是一种用于确保DHCP服务器高可用性的功能。通过DHCP故障转移,两台DHCP服务器共享DHCP信息,因此如果一台服务器发生故障,另一台服务器仍可以向客户端提供DHCP租约。DHCP故障转移选项内置于Windows服务器操作系统中。下图显示了配置了负载平衡故障模式的两个DHCP服务器的设置。如果一台服务器出现故障,另一台服务器将保持活动状态并接管所有DCHP请求。有两种故障转移设计选项:热备设计在热备模式下,一台服务器是活动服务器,另一台是备用服务器。活动服务器是主服务器并处理所有DHCP请求。如果活动服务器出现故障,备用服务器将接管DHCP请求。当备用设备与活动设备位于不同位置时,通常会使用此选项。负载均衡设计在负载均衡模式下,两台服务器以双活方式工作,处理DHCP请求。请求在两个DHCP服务器之间进行负载平衡和共享。如果其中一台服务器与其故障转移伙伴失去联系,它将开始向所有DHCP客户端授予租约。总结您需要确定哪种故障转移设计最适合您的环境。这是一个免费的内置选项,因此请充分利用它并使您的DHCP服务器具有容错能力。来源https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws.11))中央与分布式DHCP服务器您的大型网络是否在多个地点设有分支机构?问题是您是在这些分支机构中安装DHCP服务器,还是通过隧道将它们返回到集中式DHCP服务器?集中式DHCP服务器集中式DHCP服务器位于远程办公室连接到DHCP的集中位置。它通常位于主要数据中心之一。在此设计中,没有本地DHCP服务器,所有请求都返回到中央服务器。分布式DHCP服务器在分布式DHCP模型中,本地分支机构中有DHCP服务器。此模型的客户端从本地DHCP服务器获取IP地址。那么哪个选项最好呢?你能用一个简单的问题来回答吗?分支机构是否可以完全独立工作而不回到数据中心?如果是,则应该有一个本地DHCP和DNS服务器。如果分支机构通过隧道返回Internet、ActiveDirectory、DNS等数据中心,那么将DHCP放在本地是没有意义的。我在一家在全国设有分支机构并使用集中式DHCP模型的公司工作。我们拥有可靠的快速连接,因此使用集中式DHCP服务器非常有意义。要考虑的一件事是该部门有多少员工。如果您有一个拥有数千名员工的大型部门,拥有ActiveDirectory、DNS和DHCP等本地资源可能会有所帮助。这将通过WAN链接发送大量流量,如果该链接出现故障,所有这些员工都会脱机。总结集中式或分布式DHCP之间的选择通常可以通过以下问题得到回答:“分支机构可以在没有连接回数据中心的情况下工作吗?远程办公室的规模和连接回数据中心的速度可能也是一个因素。来源https://docs.microsoft.com/en-us/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failoverhttps://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/避免静态IP分配并使用DHCP保留将静态IP地址分配给计算机、打印机、电话或任何其他最终用户设备是一件很痛苦的事情。这是分配静态IP时的统计数据IP地址,发生以下情况:帮助台更换了一台不知道它设置了静态IP的设备,现在该设备完全或部分失去了网络连接返回帮助台,因为静态IPwa现在,Helpdesk必须找到设备并重新分配IP我已经多次遇到上述情况,就像我说的那样。为了避免这种情况,只需使用DHCP保留而不是静态IP分配。对于任何需要固定IP地址的东西,我都使用DHCP预留。一个例外是路由器和交换机等基础设施设备,它们获得静态IP。打印机的DHCP预留屏幕截图。使用DHCP保留,您需要做的就是在更换设备时更新MAC地址,并且IP会自动分配回设备。它还可以快速查看分配了IP的所有内容,而无需手动跟踪电子表格中的所有内容。本系列文档内容:DHCP最佳实践(一)DHCP最佳实践(二)DHCP最佳实践(三)DHCP最佳实践(四)
