在企业网络中,如何有效的管理局域网内部的IP地址,计算机可以通过静态手工分配IP地址和DHCP服务器动态分配IP地址两种方式管理局域网IP地址,在局域网内机器不多和IP 地址不会频繁改动的情况下,使用静态分配IP地址,这样做的好处是可以对用户的IP地址有统一的分配,便于记录用户的IP地址信息。本篇主要介绍,以Windows 2003操作系统为例介绍DHCP服务器的高级配置技术,为合理有效的管理网络IP地址提供帮助。
安装DHCP服务器非常简单,在添加/删除Windows组件对话框中勾选网络服务中的动态主机配置协议(DHCP)即可。
创建一个DHCP作用域
安装好DHCP服务器后,点击管理工具下的DHCP,在弹出的DHCP管理控制台中,右击DHCP服务器名,选择新建作用域,
在欢迎使用新建作用域向导页,点击下一步;在作用域名页,输入作用域的名称和描述,然后点击下一步;
在新建作用域向导页,输入此作用域包含的IP地址范围和子网掩码,你输入的起止IP地址必须为有效的IP地址,然后点击下一步;此作用域的IP地址范围不等于可以分配给DHCP客户端的IP地址范围,可以分配给DHCP客户端的地址范围等于作用域IP地址范围减去排除的IP地址范围。在创建作用域后,还可以修改起止IP地址范围,但是不能再修改子网掩码长度。
在添加排除页,输入你想要从作用域IP地址范围中排除的IP地址范围,这些被排除的IP地址范围将不会分配给DHCP客户,输入后点击下一步;
在租约期限页,输入你想要设定的作用域租约期限。更短的租约期限有利于IP地址租约的回收,以便为其他客户服务,但是会导致网络中产生更多的DHCP流量。如果你的网络客户流动性较小,你可以设置相对较长的租约期限;如果网络客户流动性较强,则可以设置较短的租约期限。在此我接受默认的设置8天,点击下一步;
在配置DHCP选项页,选择是否需要现在配置DHCP作用域的几个基本选项(网关地址、DNS服务器、WINS服务器等)。如果不配置作用域,则向导不会自动激活此DHCP作用域,你必须在创建作用域后手动配置作用域选项和激活此作用域。在此我接受默认的选择是,点击下一步;
在路由器(默认网关)页,输入网关地址后点击添加,然后点击下一步;
在域名称和DNS服务器页,输入父域名称和DNS服务器的IP地址后,点击下一步;
在WINS服务器页,输入WINS服务器地址后点击添加,然后点击下一步;
在激活作用域页,如果你想现在就启用此作用域则选择是,我想现在激活此作用域,否则可以以后手动激活此作用域。在此我接受默认的激活此作用域,点击下一步;
在正在完成新建作用域向导页,点击完成,此时,新的作用域就创建好了,并且已经激活,可以为DHCP客户端提供服务了。
超级作用域
我们提到过DHCP服务器决定分配IP地址租约的DHCP作用域的选择条件,DHCP服务器不会使用不匹配网络接口主IP逻辑子网的DHCP作用域来为DHCP客户端的分配IP地址租约。而单个DHCP作用域只能包含一个固定的子网,如果网络中具有多个子网并且我想在DHCP服务器的某个网络接口上分配属于这些不同子网的IP地址租约,该怎么办呢?
答案就是超级作用域。超级作用域是由多个DHCP作用域组成的作用域,单个DHCP作用域只能包含一个固定的子网,而超级作用域可以包含多个DHCP作用域,从而包含多个子网。超级作用域主要用于解决以下问题:
当前单个DHCP作用域中的可用地址几乎耗尽,而且网络中将添加更多的计算机,需要添加额外的IP网络地址范围来扩展同一物理网段的地址空间;
DHCP客户端必须迁移到新作用域,例如重新规划IP网络编号,从现有的活动作用域中使用的地址范围迁移到使用另一IP网络地址范围的新作用域;
希望使用两个DHCP服务器在同一物理网段上管理分离的逻辑IP网络。
创建超级作用域非常简单,步骤如下:
首选,在DHCP服务器中创建一个或多个DHCP作用域,然后右击DHCP服务器名,选择新建超级作用域,
在欢迎使用新建超级作用域向导页,点击下一步;在超级作用域名页,输入超级作用域的名称,然后点击下一步;
在选择作用域页,选择添加到超级作用域的作用域,在可用作用域中列出了不属于其他超级作用域的DHCP作用域,你可以按照Ctrl键进行多选或者使用Shift键进行连续选择,然后点击下一步;
在正在完成新建超级作用域向导页,点击完成,此时,超级作用域就创建好了。
当创建好超级作用域后,你可以将其他不属于超级作用域的DHCP作用域添加到超级作用域中,如下图所示:
或者将作用域从超级作用域中删除,此删除操作仅将DHCP作用域从超级作用域中独立出来,而不是真正的删除。而删除超级作用域是将此超级作用域删除,它所包含的所有DHCP作用域都将独立出来。
DHCP服务器按照和使用标准DHCP作用域相同的方式来使用超级作用域为DHCP客户端分配IP地址租约,但是,当DHCP服务器接收到DHCP客户端发送的租约请求时,只要超级作用域中的一个DHCP作用域匹配接收到租约请求的网络接口的网络ID,那么DHCP服务器将使用这个超级作用域中的所有可用IP地址为DHCP客户端分配IP地址租约。DHCP服务器会优先使用超级作用域中匹配接收到租约请求的网络接口的网络ID的DHCP作用域来为DHCP客户端分配IP地址租约,如果此DHCP作用域中没有可用的IP地址,则使用超级作用域中其他具有可用IP地址的DHCP作用域,而不管此作用域的网络ID是否匹配接收到租约请求的网络接口的网络ID。
保留
通过使用保留,你可以为某个特定MAC地址的DHCP客户端保留一个特定的IP地址,此时保留的IP地址将不会用于为其他DHCP客户端进行分配。每次当此特定的DHCP客户端向此DHCP服务器获取IP地址时,此DHCP服务器总是会将保留的IP地址分配给它。
保留是一种DHCP服务器的行为,如果包含保留IP地址范围的作用域分布在多个DHCP服务器上,则必须在每个DHCP服务器上为此DHCP客户端创建保留。你可以为作用域地址范围中的任何IP地址创建保留,即使该IP地址属于排除范围,这种设计的目的在于保证执行“80/20”规则时保留仍能生效。
创建保留后,被保留的IP地址无法修改,但是可以修改特定客户端的其他信息,例如MAC地址和名称;你只能为一个特定的DHCP客户端创建一个保留的IP地址。如果要更改当前客户端的保留IP地址,则必须删除客户端现有的保留地址,然后添加新的保留地址。
保留只是为DHCP客户端计算机服务,在可能的情况下,应尽可能的考虑使用静态IP地址而不是使用保留。
要在某个DHCP作用域中创建保留,执行以下步骤:
在DHCP管理控制台中,展开对应的DHCP作用域,右击保留,选择新建保留,
在新建保留对话框,输入保留的名称、要进行保留的IP地址和特定DHCP客户端的MAC地址,然后点击添加即可。注意:保留的IP地址创建后无法修改。
你可以在地址租约中看到保留IP地址的活动情况,如下图所示:分配选项
DHCP选项定义了除了IP地址和子网掩码外,DHCP服务器分配DHCP客户端的其他TCP/IP选项。网关地址、DNS服务器、WINS服务器等等只是常见的几种DHCP选项,在Windows的DHCP服务器中自带了70多种DHCP选项,除此之外,你还可以自定义分配给DHCP客户的DHCP选项。在DHCP服务器中,你可以在以下五个不同的级别管理DHCP选项:
预定义选项,配置方法为在DHCP服务器管理控制台中右击DHCP服务器名,然后选择设置预定义的选项。在这一级,你只能定义DHCP服务器中的DHCP选项,从而让它们可以作为可用选项显示在任何一个通过DHCP控制台提供的选项配置对话框(如“服务器选项”、“作用域选项”或“保留选项”)中。你可以根据需要将选项添加到标准选项预定义列表或从该列表中删除选项,但是预定义选项只是让DHCP选项可以进行配置,而是否配置则必须根据选项配置来决定。
类别选项,在使用任何选项配置对话框(“服务器选项”、“作用域选项”或“保留选项”)时,均可单击高级标签来配置和启用标识为指定用户或供应商类别的成员客户端的指派选项,只有那些标识自己属于此类别的DHCP客户端才能分配到你为此类别明确配置的选项,否则为其使用常规标签中的定义。类别选项比常规选项具有更高的优先权,可以覆盖相同级别选项(“服务器选项”、“作用域选项”或“保留选项”)中常规选项中指派和设置的值。
服务器选项,配置方法为在DHCP服务器管理控制台中展开DHCP服务器,右击服务器选项,选择配置选项。服务器选项中的配置将应用到DHCP服务器中的所有作用域和客户端,不过服务器选项可以被作用域选项或保留选项所覆盖。
作用域选项,配置方法为在DHCP服务器管理控制台中展开对应的DHCP作用域,右击作用域选项,选择配置选项。作用域选项中的配置应用到对应DHCP作用域中的所有DHCP客户端,不过作用域选项可以被保留选项所覆盖。
保留选项,配置方法为在DHCP服务器管理控制台中展开对应DHCP作用域中的保留,右击对应的保留项,选择配置选项。保留选项仅为作用域中使用保留地址配置的单个DHCP客户端而设置。
如果不同级别的DHCP选项出现冲突时,DHCP客户端应用DHCP选项的完整优先级顺序如下:
DHCP客户端的手动配置具有最高的优先级,覆盖从DHCP服务器获得的值;
保留选项,如果具有类别选项,则类别选项覆盖常规选项;
作用域选项,如果具有类别选项,则类别选项覆盖常规选项;
服务器选项,如果具有类别选项,则类别选项覆盖常规选项。
由于不同级别DHCP选项配置适用的范围和对象不同,在考虑部署DHCP选项时,请根据不同级别DHCP选项配置的特性来进行选择。
动态更新
当DHCP客户端从DHCP服务器获得IP地址租约时,DHCP服务器可以根据DHCP客户端的请求使用它所在区域中的授权DNS服务器对DHCP客户端信息进行动态更新。你可以在DHCP服务器属性和DHCP作用域属性中的DNS标签对DHCP服务器的动态更新行为进行配置,如果两者存在不同,DHCP作用域中的设置覆盖DHCP服务器中的设置。在创建DHCP作用域时,DHCP作用域的动态更新设置将继承DHCP服务器中的设置。
默认情况下DHCP服务器设置为只有在DHCP客户端请求时才为DHCP客户端动态更新DNS A记录和PTR记录,并且在租约到期时删除为DHCP客户端注册的A记录和PTR记录。如果你选择总是动态更新DNS A 和 PTR 记录,则不论DHCP客户端请求与否,DHCP服务器总是会为DHCP客户端动态更新DNS A记录和PTR记录。
在默认情况下,根据DHCP客户端操作系统的不同,DHCP服务器执行动态更新的行为也不同:运行Windows 2000、Windows XP或Windows Server 2003操作系统的DHCP客户端在默认情况下会注册它自己的DNS A记录时,而只是请求DHCP服务器注册DNS PTR记录;
Windows 2000之前版本的DHCP客户端不支持DNS动态更新,因此默认情况下不会提出动态更新请求,DHCP服务器也不会进行动态更新操作。如果你勾选为不请求更新的DHCP客户端(例如,运行 Windows NT 4.0 的客户端)动态更新 DNS A 和 PTR 记录,则DHCP服务器会为低版本DHCP客户端代为更新DNS A记录和PTR记录。
在DNS服务器全攻略之一:规划和部署一文中我们谈到了DHCP服务器计算机账户需要加入DnsUpdateProxy安全组才能避免在进行安全更新时对资源记录留下所有者信息,从而允许其他用户修改此资源记录。默认情况下DHCP服务器使用计算机账户来进行安全更新,在Windows Server 2003的DHCP服务器中,提供了一个设置DHCP动态更新注册凭据的选项,通过此选项,你可以配置DHCP服务器使用专用的用户账户执行DNS动态更新。一个专用用户帐户可以被多个DHCP服务器使用,此账户应属于管理被更新的区域的主DNS服务器所存在的森林中。另外需要注意的是,备份DHCP数据库时,不会对专用用户账户凭据进行备份,因此你还原DHCP数据库后,必须为专用账户重新进行配置。
执行以下步骤配置动态更新的专用账户:
1、在DHCP服务器管理控制台中,右击DHCP服务器名,选择属性,然后点击高级标签,点击凭据按钮;
2、在弹出的DNS 动态更新凭据对话框,输入用户名、域名和对应的密码,然后点击确定;最后在DHCP服务器属性对话框上点击确定即可。
冲突检测我们在前面的DHCP工作方式的DHCP ACK部分中曾经提到,Windows 2000及其后版本的DHCP客户端接收到DHCP服务器发送的DHCP ACK广播消息后,会向网络发出三个针对DHCP服务器提供的IP地址的ARP解析请求以执行冲突检测,以确认网络上没有其他主机使用DHCP服务器提供的IP地址,从而避免IP地址冲突,但是Windows 2000之前的操作系统不支持DHCP会话中的冲突检测。
此时,可能你需要配置DHCP服务器执行冲突检测,以确认分配给DHCP客户端的IP地址没有已被其他主机使用。配置方式为在DHCP服务器管理控制台中,右击DHCP服务器名,选择属性,然后点击高级标签,在冲突检测次数栏输入你需要DHCP服务器进行冲突检测的次数,默认为0,即为不进行冲突检测。DHCP服务器的冲突检测是在发出DHCP OFFER广播数据包之前,因此过多的检测次数会增加DHCP服务器应答DHCP客户端租约请求的时延。强烈建议你设置不超过三次的冲突检测次数。
下图是一个DHCP服务器和DHCP客户端同时启用冲突检测时的数据包捕获,其中上面2个ARP解析请求是DHCP服务器执行冲突检测,而下面3个ARP解析请求是DHCP客户端执行冲突检测。
备份、还原DHCP服务器配置信息
在网络管理工作中,备份一些必要的配置信息是一项重要的工作,以便当网络出现故障时,能够及时的恢复正确的配置信息,保障网络正常的运转。在配置DHCP 服务器时也不例外,Windows 2003服务器操作系统中,也为我们提供了备份和还原DHCP服务器配置的功能。
第一步:打开DHCP控制台,在控制台窗口中,展开“DHCP”选项,选择已经建立好的DHCP服务器,右键单击服务器名,选择“备份”。 第二步:这时便会弹出一个要求用户选择备份路径的选项。默认情况下,DHCP服务器的配置信息是放在系统安装盘的“windows\system32\ dhcp\backup”目录下。如有必要,我们可以手动更改备份的位置。点击确定后就完成了对DHCP服务器配置文件的备份工作。 第三步:当出现配置故障时,我们需要还原DHCP服务器的配置信息,右键单击DHCP服务器名,选择“还原”选项即可,同样会有一个确定还原位置的选项,选择我们备份时使用的文件夹单击“确定”按钮,这时会有一个“关闭和重新启动服务”的对话框,选择“确定”后,DHCP服务器就会自动恢复到最初的备份配置。
移植DHCP服务器数据库
在有些使用相同DHCP服务器配置又不在同一台服务器的时候,这时网管员朋友会考虑使用重新配置,但手工重新配置会比较麻烦,这里我们为大家介绍一种最简单有效的方式:移植DHCP服务器数据库。以Windows 2003对windows 2003的DHCP服务器数据库移植为例。
第一步:首先在已经配置好DHCP服务器的机器上,点击“开始”菜单,打开运行对话框,输入“CMD”命令;
第二步:在弹出的“命令提示符”对话框中,我们需要使用“NETSH”命令实现DHCP服务器的配置备份和移植。输入“netsh dhcp server export e:\dhcp.txt all”命令,将DHCP服务器数据库信息备份到E盘,直到屏幕显示“命令成功完成”的提示返回提示符下,就表示已经将DHCP服务器数据库信息成功的备份到E盘当中,再次打开E盘,就会看到一个名为DHCP服务器的文本文件;
第三步:将备份的“DHCP.TXT”文件通过网络或者可移动介质拷贝到另一台服务器c盘当中,这台机器之前已经安装了DHCP服务,但未进行任何配置,进入“命令提示符”状态下,输入“netsh dhcp server import c:\dhcp.tex all”命令,点击回车后,直到出现“命令成功完成”的提示行;
我们再次打开DHCP控制台,这时就会看到刚才备份的信息已经能够正常在这台服务器上使用了。
DHCP管理用户
基于安全性的考虑,Windows服务器操作系统都采用多用户管理方式,比较安全的作法是使用一个Administrator帐户,别建一个权限较低的帐户。在一般的操作状态下用用权限较低的用户,避免因Administrator帐户权限过高引起的误操作,如何使这个权限较低的用户能够管理DHCP服务器呢?
第一步:在控制面板的管理工具中选择“计算机管理”,在打开的对话框中单击“本地用户和组”;
第二步:我们需要先建立一个权限较低的用户,这里我们建立一个“adan”的用户,隶属于“user”用户组;
第三步:接下来我们就需要为这个adan的用户增加对DHCP服务器的控制权限,打开组管理选项,在右侧的用户组中双击“DHCP Administrators”键值,在弹出的DHCP Administrators对话框中,单击添加,最后将刚才建立的adan用户添加到DHCP管理员用户组,通过这样的设置,adan这个User组用户,就有了管理DHCP服务器的权限。
跨子网间的DHCP服务器中继代理
随着网络规模的不同扩大,我们会使用Windows 服务器操作系统的“路由和远程访问”功能将网络划分为不同的子网。如何通过一台DHCP服务器,在两台子网间同时提供服务呢?在这时,就需要使用到 DHCP服务器的中继代理功能来实现在两个子网之间同时提供DHCP服务。
第一步:安装DHCP中继代理
在已经安装好“路由和远程访问”服务的计算机当中,打开“路由和远程访问”控制台,然后选择“IP路由协议”中的“常规”选项,右键单击,在弹出的菜单中选择新增路由协议。
在弹出的对话框当中,选择“DHCP中继代理程序”然后单击“确定”按键,安装DHCP中继代理。
第二步:指向的DHCP服务器的IP地址
这时,在“IP路由选择”选项当中就会多了一项“DHCP中继代理程序”,右键单击这个选项,打开“属性“对话框。在DHCP中继代理的属性对话框中,我们需要指定DHCP中继代理程序指向的DHCP服务器的IP地址,这里我们输入DHCP服务器的地址192.168.0.2;