这是WindowsDHCP最佳实践和技巧的终极指南。如果您有任何最佳实践或提示,请将它们发布在下面的评论中。在本指南(二)中,我将分享以下DHCP最佳实践和技巧。从DHCP范围中排除IP了解PowerShellDHCP命令子网划分和网络分段的好处DHCP租用期限提示从DHCP范围中排除IP在创建DHCP范围时,不建议为静态IP分配排除一个小范围。是的,我知道在上一个提示中我说过不要使用静态分配,但基础设施设备需要它。您的网络将有一个默认路由,即路由器,因此您绝对希望将其排除在DHCP池之外。您可能还会遇到其他需要静态IP的设备,因此最好将这些设备的排除IP设置为DHCP池中的较小范围。比如我看到各种报警和安全设备需要静态IP,所以我只提供排除范围内的IP。这是工作站和笔记本电脑的数据VLAN的屏幕截图,不包括10.2.10.1到10.2.10.10。了解PowerShellDHCP命令使用DHCP控制台(dhcpmgmt.ms)没有任何问题,但PowerShell非常棒,可以简化许多任务。如果你有一个拥有数百个DHCP作用域的大型网络,使用PowerShell将为你节省大量时间。这里有一些命令可以帮助您入门。安装DHCP角色Install-WindowsFeature-IncludeManagementToolsDHCPBackupDHCPServerBackup-DhcpServer-ComputerName"dhcp1.ad.activedirectorypro.com"-Path"C:\Windows\system32\dhcp\backup"检查DHCP租约Get-DhcpServerv4Scope|Get-DhcpServerv4Lease从MAC地址查找DHCP租约Get-DhcpServerv4Scope|获取DhcpServerv4Lease|其中{$_.ClientId-like“b4-b6-86-b4-**-**”}添加DHCP作用域Add-DHCPServerv4Scope-EndRange10.2.1.254-NameVlan110-StartRange10.2.1.1-SubnetMask255.255.255.0-StateActive获取所有活动的ipv4范围Get-DHCPServerv4Scope获取范围的所有DHCP保留Get-DHCPServerv4Lease-ScopeId10.2.1.0创建DHCP保留Get-DhcpServerv4Lease-ComputerNamedhcpserver1-IPAddress10.2.1.8|Add-DhcpServerv4Reservation-ComputerNameserver1这只是使用PowerShell管理DHCP服务器。下面是一些使用Powershell管理其他服务的链接。来源https://docs.microsoft.com/zh-cn/powershell/module/dhcpserver/?view=win10-pshttps://4sysops.com/archives/configure-dhcp-with-powershell-in-windows-server-用于2012-r2-and-above/ActiveDirectory子网划分的PowerShell命令的详尽列表以及网络分段的好处我不会深入讨论子网划分,因为有许多服务可以做到这一点。但是,在配置DHCP作用域时,对网络有一些基本了解会有所帮助。您不希望所有设备都只有一个大的DHCP池,相反,您应该将设备分成单独的网络。它还取决于网络的大小,如果网络很小,那么网络分段就不那么重要了。网络分段安全的好处通过将设备保持在不同的网络上,您可以更好地控制网络。您的打印机需要互联网接入吗?可能不会。财务的电脑是不是需要和HR的电脑直接对话,绝对不需要。通过将设备分离到它们自己的网络中,您可以更好地控制它们的访问。限制网络中的横向移动确实可以减慢攻击者和病毒的速度。在网络级别启用防火墙或访问控制列表以限制网络内的横向移动非常重要。网络性能将一切都放在一个大型网络上会创建一个巨大的广播域。这会导致各种问题,例如生成树环路、广播和多播风暴。将网络分段将分隔广播域并减少可能的性能问题。控制访客/访客访问您不希望您的访客网络访问您的安全网络。将此流量分离到其自己的网络中可以过滤流量并阻止对内部网络的访问。我还为只需要互联网连接的IOT类型设备使用访客网络。下面是如何分割网络流量的示例。计算机=10.2.10.0/24VLAN110打印机=10.2.8.0/24VLAN108语音=10.2.6.0/24VLAN106视频监控=10.2.4.0/24VLAN104服务器=10.2.2.0/24VLAN102访客=10.16。0.0/23VLAN116除了做网络分段,尽量保持IP方案简单,它确实简化了DHCP作用域的管理。DHCP租约期限提示DHCP租约是DHCP服务器为客户端分配IP地址的时间段。DHCP作用域的默认DHCP租约时间为8天。提示#1增加固定设备的租用时间对于小型网络,您可以将租用时间保留为默认设置8小时。对于大型网络,请考虑将固定设备(工作站)的DHCP范围更改为16天。这减少了与DHCP相关的网络流量。工作站不经常移动,因此它们不需要经常与DHCP交互来获取IP地址。提示#2减少访客/移动设备的租用时间如果提供访客wifi,那些DHCP范围会很快耗尽可用IP。这些设备可能只需要临时访问(例如,几个小时)。对于这些范围,请考虑将DHCP租用时间调整为1小时。如果设备仍然处于活动状态,它会更新,但如果设备断开连接,它会释放IP地址,这将帮助您的客人有足够的可用IP。这也可能是移动设备的情况,这可能很棘手,尽管越来越多的用户使用笔记本电脑。默认的8天可能就足够了,但如果您知道您的移动设备经常从一个地方移动到另一个地方,您可能会考虑缩短租用时间。摘要:如果您的DHCP范围仅用于特定设备(例如工作站),请考虑调整DHCP租用时间。本系列文档内容:DHCP最佳实践(一)DHCP最佳实践(二)DHCP最佳实践(三)DHCP最佳实践(四)
