DHCP最佳實踐(一)

Bigyoungs發表於2021-01-17

這是Windows DHCP最佳實踐和技巧的最終指南。

如果您有任何最佳做法或技巧,請在下面的評論中釋出它們。

在本指南(一)中,我將分享以下DHCP最佳實踐和技巧

  1. 不要將DHCP放在您的域控制器上
  2. 使用DHCP故障轉移
  3. 中央與分散式DHCP伺服器
  4. 避免靜態IP分配並使用DHCP保留

不要在域控制器上放置DHCP

一般建議不要在域控制器上執行除DNS以外的任何其他角色。您的域控制器應該是域控制器/ DNS,就是這樣。小型組織通常會在其域控制器上安裝其他角色和第三方軟體。建議您儘可能避免這種情況。

有什麼問題

在DC上安裝其他服務會增加攻擊面,使其難以管理,並可能導致效能問題。

問題1:管理具有多個角色的DC

安裝了多個角色的域控制器很難管理。這通常會導致不穩定和服務中斷。

例如,假設您在使用DHCP時遇到問題,或者安裝了需要重新啟動的安全補丁。重新引導具有Active Directory域服務角色的伺服器可能會對組織造成重大破壞。這可能會影響身份驗證,複製,組策略和DNS。如果DNS關閉,您的使用者將無法訪問任何內容。

如果您有多個域控制器並且配置正確,則可以避免這些問題,但是為什麼要冒險呢?

如果在自己的伺服器上安裝了DHCP,則可以重新啟動DCHP伺服器,而不必擔心會影響域控制器上的服務。

問題2:安全

  1. 您安裝的軟體/服務越多,攻擊生存期就越大。如果在DC上安裝了DHCP,並且在DHCP服務中發現了一個新漏洞,則DC伺服器現在處於危險中。
  2. 您有訪客無線網路嗎?您如何看待這些不受管裝置連線到DHCP / DC伺服器?我不喜歡使用內部DHCP伺服器為公眾提供IP地址。然後新增這些公共裝置也正在連線到域控制器,這會導致我關閉安全告警。
  3. 在域控制器上安裝DHCP後,DHCP服務將繼承DC計算機帳戶的安全許可權。這違反了最小特權原則。現在,您的DHCP伺服器正在以特權執行,並且執行的並不是為其設計的任務。所以這可以糾正,不要增加這種風險。

在自己的成員伺服器上安裝DHCP將減少DC的攻擊面。

問題3:效能

通常,我已經看到DHCP伺服器執行非常高效,並且不需要大量系統資源(例如CPU或記憶體)。

但是,假設您剛剛瞭解了新的DHCP選項(例如衝突檢測),然後將其開啟了所有作用域。現在,CPU使用率激增,域服務變慢,使用者無法登入,DNS請求也變慢。

也許您安裝了IPAM來跟蹤可用的IP地址,並且佔用了CPU和記憶體,從而再次佔用了域服務的資源。

我可以繼續假設很多情況,但是要指出的是,您在域控制器上安裝的軟體/服務越多,對效能的影響就越大,並導致服務中斷。

總結
域控制器是Windows域環境中最關鍵的服務之一,在一臺單獨伺服器上執行。域控制伺服器器只能是是域控制器,只能是域控制器,只能是域控制器。沒有其他的,重要的事情說三遍。

使用DHCP故障轉移

DHCP故障轉移是用於確保DHCP伺服器的高可用性的功能。通過DHCP故障轉移,兩臺DHCP伺服器共享DHCP資訊,因此,如果一臺伺服器發生故障,另一臺伺服器仍可以為客戶端提供DHCP租約。

DHCP故障轉移選項內建在Windows伺服器作業系統中。下圖顯示了兩個配置有負載平衡故障模式的DHCP伺服器的設定。如果一臺伺服器發生故障,另一臺伺服器仍處於活動狀態並接管所有DCHP請求。

有兩種故障轉移設計選項:

熱備設計

使用熱備用模式時,一臺伺服器是活動伺服器,另一臺是備用伺服器。活動伺服器是主伺服器,並處理所有DHCP請求。如果活動伺服器關閉,則備用伺服器將接管DHCP請求。

該選項通常與備用單元位於與主用單元不同的位置時使用。

負載均衡設計

在負載平衡模式下,兩臺伺服器均以雙活模式工作以處理DHCP請求。請求是負載平衡的,並在兩個DHCP伺服器之間共享。如果其中一臺伺服器與其故障轉移夥伴失去聯絡,它將開始向所有DHCP客戶端授予租約。

總結
您將需要確定哪種故障轉移設計最適合您的環境。它是一個免費的內建選項,因此請充分利用它,並使您的DHCP伺服器具有容錯能力。

資料來源

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws.11)

中央與分散式DHCP伺服器

您的大型網路在多個位置都有分支機構嗎?

問題是您是在這些分支機構中安裝DHCP伺服器,還是將它們隧道傳輸回集中式DHCP伺服器?

集中式DHCP伺服器

集中式DHCP伺服器放置在遠端辦公室連線到DHCP的集中位置。它通常位於主要資料中心之一。在此設計中,沒有本地DHCP伺服器,所有請求都返回到集中式伺服器。

分散式DHCP伺服器

在分散式DHCP模型中,本地分支機構中有DHCP伺服器。此模型的客戶端從本地DHCP伺服器獲取IP地址。

那麼哪個選項最好呢?

可以用一個簡單的問題來回答嗎?

分支機構可以完全獨立地工作,而無需回到資料中心嗎?如果是,則應該有一個本地DHCP和DNS伺服器。

如果分支機構通過隧道返回到Internet,Active Directory,DNS等資料中心,則將DHCP放在本地毫無意義。

我為一家在全國設有分部的公司工作,並使用集中式DHCP模式。我們擁有可靠的快速連線,因此使用集中式DHCP伺服器非常有意義。

要考慮的一件事是分部有多少員工。如果您有一個擁有數千名員工的大型分部,那麼擁有Active Directory,DNS和DHCP等本地資源可能會有所幫助。這將通過WAN連結傳輸大量流量,如果該連結斷開,將使所有這些員工離線。

總結
集中式DHCP或分散式DHCP之間的選擇通常可以通過以下問題回答:“分支機構可以在沒有連線回資料中心的情況下工作。遠端辦公室的大小和回到資料中心的連線速度也可能是一個因素。

資料來源

https://docs.microsoft.com/zh-cn/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failover

https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/

避免靜態IP分配並使用DHCP保留

為計算機,印表機,電話或任何其他終端使用者裝置分配靜態IP地址是一件很麻煩的事情。

以下是統計分配靜態IP地址時,發生以下情況:

  1. Helpdesk替換了不知道設定了靜態IP的裝置
  2. 現在這臺裝置完全或部分失去網路連線
  3. Helpdesk將故障單傳送給網路團隊以求解決問題
  4. 網路團隊把故障單發回Helpdesk,因為使用了靜態IP
  5. 現在,Helpdesk必須找到裝置並重新分配IP

我已經多次處於上述情況,就像我說的那樣。為了避免這種情況,只需使用DHCP保留而不是靜態IP分配即可。

對於需要固定IP地址的任何內容,我都使用DHCP保留。一個例外是路由器和交換機等基礎設施裝置,它們會獲得靜態IP。

印表機的DHCP保留的螢幕截圖。

通過DHCP保留,您所需要做的就是在更換裝置並自動將IP分配回裝置時更新MAC地址。它還可以快速檢視為其分配IP的所有內容,而無需手動跟蹤電子表格中的所有內容。

本系列文件目錄:

DHCP最佳實踐(一)

DHCP最佳實踐(二)

DHCP最佳實踐(三)

DHCP最佳實踐(四)

本文首發於BigYoung小站