《网管员必读第八章.ppt》由会员分享,可在线阅读,更多相关《网管员必读第八章.ppt(46页珍藏版)》请在三一办公上搜索。
1、第八章 DHCP服务器配置,本章首先着重向大家介绍在应用最广的Windows Server 2003系统中与DHCP服务器有关的知识,然后在此基础上主要以大中型网络为例,介绍各种DHCP服务器属性的具体配置和故障排除方法。本章重点DHCP网络规划DHCP服务器的全新安装与配置作用域、超级作用域、多播作用域的概念及创建DHCP中继代理的配置及配置方法DHCP与DNS的集成原理和配置方法DHCP服务器选项及配置方法DHCP的安全考虑及配置方法常见DHCP服务故障排除方法,8.1 DHCP服务器基础,动态主机配置协议(DHCP)是一种用于简化主机IP配置管理的IP标准。通过采用DHCP标准,可以使用
2、DHCP服务器为网络上启用了DHCP的客户端管理动态IP地址分配和其他相关配置细节,而不用管理员对各客户端主机一一配置,减轻了许多管理任务。8.1.1 DHCP简介 对于基于TCP/IP的网络,DHCP降低了重新配置计算机的难度,减少了涉及的管理工作量。DHCP使用客户/服务器模型。网络管理员建立一个或多个维护TCP/IP配置信息并将其提供给客户端的DHCP服务器。服务器数据库包含以下信息:网络上所有客户端的有效配置参数。在指派到客户端的地址池中维护的有效IP地址,以及用于手动指派的保留地址。服务器提供的租约持续时间。租约定义了指派的IP地址可以使用的时间长度。,通过在网络上安装和配置DHCP
3、服务器,启用DHCP的客户端可在每次启动并加入网络时动态地获得其IP地址和相关配置参数。DHCP服务器以地址租约形式将该配置提供给发出请求的客户端。DHCP工作原理图如下图所示。,DHCP为管理基于TCP/IP的网络提供了以下好处。提供了安全而可靠的配置。减少了配置管理DHCP租约续订过程还有助于确保客户端计算机配置需要经常更新的情况,通过客户端计算机直接与DHCP服务器通信可以高效、自动地进行这些更改。,8.1.2 使用DHCP服务的必要性,使用DHCP服务来为客户端自动分配IP地址的必要性主要体现在以下两个方面:简化网络配置 采用DHCP自动分配IP地址后,管理员就无需为每一个客户手动配置
4、IP地址,减轻了网络管理员的负担。这在网络规模稍大的网络中感受特别明显。提高IP地址的利用率 DHCP客户端在断开网络连接后,可以释放原来使用的IP地址,继续分配给其他用户使用。这对于网络IP地址资源紧缺的网络环境中特别有用。,8.1.3 IP地址自动分配技术,经常发现,网络中并没有配置DHCP服务,也没有为客户端手动配置静态IP地址,而用ipconfig命令一查,仍可见到客户端有一个IP地址。这是为什么呢?这就是微软Windows系统的一个IP地址自动分配技术在起作用了。Windows 98或者Windows XP这样的客户机,如果并没有设置IP地址,操作系统将自动给计算机分配一个B类的IP
5、地址。默认分配的IP地址网段是“自动专用IP寻址(APIPA)”。APIPA将分配从到的IP地址和子网掩码。APIPA不指派默认网关、域名系统(DNS)服务器或Windows Internet名称服务(WINS)服务器。在客户机与网络连接时,在既没有分配静态IP地址,又无DHCP服务器的情况下,自动配置IP地址技术就会使客,客户机不停地向网络上发出“ping”信号以确定该IP地址是否正在使用。如果有别的计算机正在使用该地址,将重新选择一个新的地址,然后重新测试,直到配置一个可用的IP地址为止。DHCP客户机会在配置IP地址后,每隔5分钟检查一次DHCP服务器,看是否能够获得IP地址。所以网络中
6、即使没有DHCP服务器,客户机也永远不会报告“没有设置IP地址”的错误。那有了自动分配技术,为什么还要DHCP服务呢?其原因主要有两个:首先,这种IP地址自动分配技术所分配的IP地址范围是开始的B类地址,而且是不可更改的,因此不一定满足需要。另外,在这种IP地址自动分配技术,管理员无法对网络中的客户机IP地址进行监控,完全是Windows系统自发的行为。而DHCP服务则可以灵活地根据实际的网络环境配置不同的IP地址池。,8.1.4 DHCP与BOOTP协议的区别与联系,bootstrap(BOOTP)协议是先于DHCP开发的主机配置协议,主要用于无盘工作站网络中。DHCP协议在BOOTP基础上
7、进行了改进,并消除了BOOTP作为主机配置服务所具有的特殊限制。1.BOOTP与DHCP相似性 由于BOOTP和DHCP之间的关系,两个协议共享以下一些特性:每种格式结构都用于在服务器和端之间交换消息使用众所周知的UDP端口进行客户端/服务器通信作为配置服务的完整组成部分的IP地址分配 2.BOOTP/DHCP的差别 BOOTP和DHCP的主机配置方式有明显的差别,在功能上的区别体现在书中表8-1所示,参见即可。以上具体内容参见书中介绍。8.1.5 DHCP术语 与DHCP服务有关的主要术语说明参见书中表8-2。,8.1.6 Windows Server 2003的DHCP功能,1Window
8、s Server 2003系统中的DHCP服务新功能 Windows Server 2003的两个DHCP服务新功能如下:DHCP客户端备用配置DHCP数据库备份和恢复 2从Windows 2000 Server中继承的DHCP服务功能 以下是从Windows 2000 Server中继承的新增功能:向DHCP管理员和用户提供有限的服务器和控制台访问权限的本地组IP地址的自动指派增强的性能监视和服务器报告能力多播作用域和超级作用域的扩展作用域支持,支持用户指定和供应商指定的选项类DHCP与DNS的集成使用Active Directory集成来检测未授权的DHCP服务器BOOTP客户端的动态支持
9、 以上各项新功能的具体说明和配置方法参见书中介绍。,8.2 DHCP服务组件,DHCP服务组件包括:DHCP服务器、DHCP客户端和DHCP数据库。8.2.1 DHCP服务器 DHCP服务器就是提供DHCP服务的服务器,它必须是网络操作系统(如Windows NT/2000 Server/Server 2003等),而不能是个人操作系统(如Windows 95/98/XP等)。但有些网络设备现在也可以提供DHCP服务了,如路由器、宽带防火墙等。1.网络中配置DHCP服务器的优点 为网络配置DHCP服务器有下列优点:管理员可集中指派和指定全局的,或子网特有的TCP/IP参数供整个网络使用。客户端
10、不需要手动配置TCP/IP。客户端在子网之间移动时,旧的IP地址将被释放以便重用。当计算机在其新位置重新启动时,客户端自动重新配置其TCP/IP设置。,大多数路由器都可转发DHCP和BOOTP配置请求,所以在网络中无需为每个子网配置单独的DHCP服务器。2.客户端如何使用服务器 DHCP客户端接受租约并可从服务器接收如下内容:IP地址的临时使用对于它正加入的网络是有效的。供客户端以选项数据形式使用的其他TCP/IP配置参数。如果配置了冲突检测,DHCP服务器会在将租约中的地址提供给客户端之前对每个可用地址执行ping操作。确保提供给客户的每个IP地址都没有被使用。在Windows XP以后版本
11、系统中,还提供了一种预防无法从DHCP服务器获取IP地址的解决方案,那就是配置备用IP地址。除IP地址以外,可以配置DHCP服务器,提供可选数据以完全配置客户端的TCP/IP。由DHCP服务器在租约期间配置和分配的某些最通用DHCP选项类型包括:默认网关和指派给DHCP客户端的其他可选配置参数 以上的具体说明和配置方法参见书中介绍。,8.2.2 DHCP数据库,DHCP数据库是用来存储DHCP服务所需的各种原始配置信息,如用来分配的IP地址池、保留IP地址、租约期等。数据库的大小取决于网络上的DHCP客户端数量。但随着客户端在网络上的启动和停机,DHCP数据库将随着时间推移而不断增大。DHCP
12、数据库的大小不与活动客户端租约的个数直接成比例。随着时间的推移,由于某些DHCP客户端项目过时而且被删除。为恢复可用的空间,DHCP数据库会被压缩。从Windows NT Server 4.0系统开始,动态数据库压缩会作为空闲时间内或数据库更新后的自动后台进程在DHCP服务器上执行。Windows Server 2003家族中的DHCP服务器数据库使用了Exchange Server JET存储引擎。在安装DHCP服务时,将自动在SystemrootSystem32Dhcp目录中创建书中表8-3中所示的文件。,8.3 DHCP服务工作原理,8.3.1 DHCP服务的自动IP地址分配原理 DHC
13、P使用客户端/服务器(client/Server)模型。网络管理员建立一个或多个维护TCP/IP配置信息,并将其提供给客户端的DHCP服务器。服务器数据库包含以下信息:网络上所有客户端的有效配置参数。在指派到客户端的地址池中维护的有效IP地址,以及用于手动指派的保留地址。服务器提供的租约持续时间。通过在网络上安装和配置DHCP服务器,启用DHCP的客户端可在每次启动并加入网络时动态地获得其IP地址和相关配置参数。DHCP服务器以地址租约的形式将该配置提供给发出请求的客户端。具体DHCP服务工作原理参见书中介绍。,8.3.2 DHCP中继代理原理,中继代理是在不同子网上的客户端和服务器之间中转D
14、HCP/BOOTP消息的小程序,是DHCP和BOOTP标准和功能的一部分。1.路由器的DHCP/BOOTP中继代理支持 在TCP/IP网络中,路由器用于连接称作“子网”的不同物理网段上使用的硬件和软件,并在每个子网之间转发IP数据包。要在多个子网上支持和使用DHCP服务,连接每个子网的路由器应符合在RFC 1542中描述的DHCP/BOOTP中继代理功能。要符合RFC 1542并提供中继代理支持,每个路由器必须能识别BOOTP和DHCP协议消息并相应处理(中转)这些消息。如果路由器不能作为DHCP/BOOTP中继代理运行,则每个子网都必须有在该子网上作为中继代理运行的DHCP服务器或另一台计算
15、机。,大多数情况下,路由器支持DHCP/BOOTP中继。如果您的路由器不支持,则应与路由器制造商或供应商联系以查明是否有软件或固件升级提供对该功能的支持。2.中继代理的工作原理 中继代理将它连接的其中一个物理接口上广播的DHCP/BOOTP消息中转到其他物理接口连至的其他远程子网。下图显示了子网2上的客户端C是如何从子网1上的DHCP服务器1获得DHCP地址租约的。具体过程参见书中介绍。,8.4 规划DHCP网络,8.4.1 如何确定要使用的DHCP服务器的数目 在确定要使用的DHCP服务器的数目时,需要考虑以下事项:路由器在网络中的位置及是否希望每个子网都有DHCP服务器。为其提供DHCP服
16、务的网段之间的传输速度。DHCP服务器计算机上安装的磁盘驱动器的速度和随机存取内存(RAM)的数量。在选择使用的IP地址类和其他服务器配置细节方面的实际限制。具体规划方案参见书中介绍。,8.4.2 路由DHCP网络的规划,在使用子网划分网段的路由网络中,对DHCP服务的选项进行规划必须遵循以下两个特定的要求,以便完全实现DHCP服务:在路由网络中,一个DHCP服务器必须至少位于一个子网中。为了使DHCP服务器能支持其他被路由器分开的远程子网上的客户端,必须使用路由器或远程计算机作为DHCP和BOOTP中继代理程序以支持子网之间DHCP通信的转发。8.4.3 企业规划考虑 对于企业DHCP网络,
17、有以下规划考虑:规划网络的物理子网和相关的DHCP服务器位置。为DHCP客户端指定按照每个作用域预定义的DHCP选项类型和它们的值。识别WAN环境中慢速链路所造成的影响。,8.5 DHCP服务器的安装,如果是域控制器,在安装时也会随着Active Directory的安装而自动安装,与DNS服务器一样。但它也不一定非要在域控制器上安装,也可在其他成员服务器上安装。当然首先得安装DHCP服务组件。8.5.1 安装DHCP服务器的最佳操作 以下是在安装DHCP服务器时的建议操作:将80/20设计规则用于平衡地址的作用域分布。在每个子网上对多个DHCP服务器使用超级作用域。仅在需要从服务中永久删除作
18、用域时,停用作用域。仅在需要时使用DHCP服务器的服务器端冲突检测。在所有可能为保留的客户端提供服务的DHCP服务器上创建保留。注意DHCP需要频繁使用磁盘。坚持使用审核日志以便用于故障排除。对使用远程访问的DHCP客户端减少租用时间。,如果可用地址空间足够,那么可以延长作用域租约期限。将DHCP与其他服务集成,如WINS和DNS。对于路由网络,请使用中继代理或设置相应的定时器来避免对BOOTP和DHCP消息通信进行不必要的转发和中继。根据网络DHCP客户端数量使用适当数量DHCP服务器。DHCP服务的DNS动态更新使用默认的客户端首选设置。在DHCP服务器控制台中使用手动的备份和恢复方法。将
19、DHCP服务器数据库从旧的服务器硬件移动到新硬件。在安装DHCP服务器之前,请明确如下各项:DHCP服务器的硬件和存储要求。哪些计算机可以立即配置为具有动态TCP/IP配置的DHCP客户端,哪些计算机需要使用静态TCP/IP配置参数和静态IP地址手动配置。为DHCP客户端预定义的DHCP选项类型和值。以上最佳操作的具体内容说明参见书中介绍。,8.5.2 DHCP服务器安装的基本思路,如果是域控制器,在安装时DHCP服务器也会随着Active Directory的安装而自动安装,但也只是基本的安装。与DNS服务器一样,DHCP服务器也可以在其他成员服务器上安装。具体的DHCP服务组件的安装与上一
20、章的DNS服务组件一样,只是所选的组件不再是“域名系统(DNS)”,而是“动态主机配置协议(DHCP)”选项。DHCP服务器的安装也是通过“配置您的服务器向导”进行的,整个过程非常简单。在安装前也需要先把成员服务器加入到相应域中间,然后在“配置您的服务器向导”中指定DHCP服务器的作用域IP地址段、设置为客户端进行名称解析的DNS服务器、父域、WINS服务器等选项即可。,8.5.3 DHCP服务器的全新安装,DHCP服务器的全新安装也是通过“配置您的服务器向导”进行的。只需在下图所示向导对话框中选择“DHCP服务器”选项,然后按向导提示一步步进行即可。具体步骤参见书中介绍。,8.6 作用域的创
21、建与配置,作用域是对子网中使用DHCP服务的计算机进行的IP地址管理性分组。管理员首先为每个物理子网创建作用域,然后使用该作用域定义客户端使用的参数。8.6.1 作用域概述 作用域有下列属性:IP地址的范围,可在其中加入或排除DHCP服务用于租用的地址。子网掩码,用于确定给定IP地址的子网。作用域创建时指派的名称。租约期限值,指派给动态接收分配的IP地址的DHCP客户端。任何为指派给DHCP客户端而配置的DHCP作用域选项,如DNS服务器、路由器IP地址和WINS服务器地址。保留(可选),用于确保DHCP客户端总是能收到同样的IP地址。,8.6.2 作用域的创建步骤,作用域的新建方法是在DHC
22、P控制台DHCP服务器上单击鼠标右键,在弹出的快捷菜单中选择【新建作用域】选项,然后按向导提示一步步进行即可。具体步骤参见书中介绍。但新的作用域创建好后,必须先激活才能使用,激活作用域的方法是在DHCP控制台的相应作用域上单击鼠标右键,在弹出的快捷菜单中选择【激活】选项即可。8.6.3 作用域的属性配置,作用域在创建后也可进行一些其他选项配置。具体方法是在DHCP控制台相应作用域上单击右键,在弹出菜单中选择“属性”选项,在打开如右图所示对话框各选项卡中即可配置诸如作用域的名称、IP地址范围和租约期、DHCP与DNS集成等选项。具体配置方法参见书中介绍。,8.7 超级作用域,超级作用域是一种管理
23、分组特性,它使DHCP服务器能为每个物理接口和子网使用多个作用域。超级作用域在下列条件下有用:如果必须添加到网络的DHCP客户端比原先计划的要多;如果要重新给IP网络编号,或者如果要配置两个或多个DHCP服务器,以便为单个子网提供作用域冗余和容错设计DHCP服务。8.7.1 超级作用域概述 超级作用域是运行Windows Server 2003的DHCP服务器的一种管理功能,您可以通过DHCP控制台创建和管理超级作用域。使用超级作用域,可以将多个作用域组合为单个管理实体。使用此功能,DHCP服务器可以:在多个逻辑IP网络的单个物理网段上支持DHCP客户端。支持位于DHCP和BOOTP中继代理的
24、远程DHCP客户端,8.7.2 创建前的考虑,在创建超级作用域时的考虑如下几个方面:超级作用域只能管理本DHCP服务器上所创建的作用域,一台DHCP服务器可以创建多个超级作用域;在DHCP服务器上已有或者将来有必要创建多个作用域。超级作用域不能集中配置其中成员作用域的属性选项,只能分别对其中的成员作用域进行属性配置。超级作用域可以随时向其中添加新的成员作用域。8.7.3 创建超级作用域 超级作用域的新建方法是在DHCP控制台DHCP服务器上单击鼠标右键,在弹出的快捷菜单中选择【新建超级作用域】选项,然后按向导提示一步步进行即可。具体步骤参见书中介绍。同样新的超级作用域创建后还可能需要重新激活才
25、能正常工作,此时只需在所创建的超级作用域上面单击鼠标右键,在弹出的快捷菜单中选择【激活】选项即可激活超级作用域。,8.7.4 超级作用域的应用,本节以下部分显示了一个最初由一个物理网段和一个DHCP服务器组成的简单DHCP网络如何扩展为使用超级作用域支持多网配置的网络。示例1:非路由的DHCP服务器(超级作用域之前)示例2:支持本地多网配置的非路由DHCP服务器的超级作用域 具体内容参见书中介绍。,8.8 创建多播作用域,要支持多播作用域,则应该使用多播地址动态客户端分配协议(MADCAP),该标准协议的提出是用来执行多播地址分配。MADCAP协议描述了多播地址分配(或MADCAP)服务器如何
26、动态地将IP地址提供给网络上的其他计算机(MADCAP客户端)。8.8.1 多播地址产生的背景 通常,用户通过分配来自标准地址类(A类、B类或C类)的IP地址范围,使用DHCP作用域来提供客户端配置。通过使用DHCP作用域,您可以从这些类别所提供的范围中指派IP地址,从而将DHCP客户端配置成在其他TCP/IP网络计算机之间使用单播(或点对点)控制的通信。多播地址范围使用其他地址类,即D类地址,它包含范围从到可以在IP多播中使用的,IP地址。该类别中的地址仅用于多播,而不用于常规的DHCP作用域。单播和多播地址之间的另一个差别是一组TCP/IP主机是否可以共用多播IP地址。多播组的成员数量和使
27、用是不受限制的,可以将其视作电子邮件地址组的成员数量和使用:组的成员数量可以是任意的,主机也可以是多个多播组的成员。根据您在网络上的需要,可永久保留多播组地址,或暂时指派和使用这些地址。8.8.2 确定要用于多播作用域的范围 在MADCAP服务器上确定要用于多播作用域的IP地址范围时,多播分配(MALLOC)工作组提供了两种在整体上最佳的方案。这些方案包括:1.管理性作用域 该方案在您的网络上单独使用多播IP地址时最为有用。使用管理性作用域的多播IP,建议从开始,而且使用的子网掩码。2.全局作用域 该方案当您正在公用网络地址空间中使用多播组IP地址时,这种做法非常有用。对于MADCAP,推荐将
28、D类地址空间的范围用于全局作用域范围。以上具体内容参见书中介绍。,8.8.3 MADCAP和DHCP,Windows Server 2003 DHCP服务可同时支持DHCP和MADCAP协议。这些协议单独运行,而且不相互依存。例如,DHCP客户端可能是,也可能不是MADCAP客户端,MADCAP客户端可能是也可能不是DHCP客户端。另外,DHCP服务器服务可用于部署MADCAP服务器,而不论DHCP服务器如何在网络上使用。要仅为MADCAP服务安装Windows Server 2003 DHCP,就必须满足以下两个条件:(1)创建多播作用域;(2)不要创建其他作用域或超级作用域。多播地址分配功
29、能包括两个部分:MADCAP服务器,分配多播地址。MADCAP客户端可通过客户端应用程序编程接口请求、续订或释放多播地址。以上具体内容参见书中介绍。,8.8.4 新建多播作用域,多播作用域的新建方法是在DHCP控制台DHCP服务器上单击鼠标右键,在弹出的快捷菜单中选择【新建多播作用域】选项,然后按向导提示一步步进行即可。具体步骤参见书中介绍。8.8.5 多播作用域的属性配置,多播作用域创建好后,也可以进行一些其他属性选项配置。方法是在DHCP控制台的多播作用域上单击右键,在弹出菜单中选择“属性”选项,在打开的如右图所示对话框的两个选项卡进行配置即可。具体要求配置方法参见书中介绍。,8.9 DH
30、CP中继代理的应用与配置,除了在一般的路由器中支持DHCP中继代理外,还可以用Window网络操作系统配置。非Microsoft路由器的中继代理 如果计划将中继代理合并到启用DHCP/BOOTP的网络中,则有几种中继代理配置选项。包括使用非Microsoft路由器、Windows Server 2003路由和远程访问服务以及Windows NT Server 4.0提供的DHCP中继代理组件。下图显示了非Microsoft路由器配置。该路由器在子网A和子网B之间运行转发DHCP请求的中继代理。通常,该路由器上的中继代理必须使用DHCP服务器的IP地址进行配置。,8.9.2 路由和远程访问服务的
31、中继代理,下图显示了Windows Server 2003(Windows 2000 Server系统中也有)路由和远程访问配置。Windows Server 2003家族中的DHCP中继代理必须使用DHCP服务器的IP地址进行配置以便在子网A和子网B之间中继DHCP请求。在这种网络中配置中继代理的方法是在Windows Server 2003的“路由和远程访问”服务控制台中进行的。具体配置方法参见书中介绍。,8.9.3 标准IP路由器与Windows Server 2003配合的DHCP中继,下图显示了如何才能配合Windows Server 2003操作系统使用标准的IP路由器来在子网A和
32、子网B之间中继DHCP请求。如果采用的硬件路由器支持DHCP中继,则可以直接采用节的方案;如果有些硬件路由器不支持DHCP中继,此时可以把硬件路由器与Microsoft的“路由和远程访问”服务中的DHCP中继功能结合起来考虑,单独把DHCP中继功能交给Windows系统的“路由和远程访问”服务,这样就不会对整体网络性能影响太大。,8.10 使用集成了DHCP的DNS服务器,安装Windows Server 2003 DHCP服务时,可以配置该服务器,使之能代表其DHCP客户端对任何支持动态更新的域名系统(DNS)服务器进行更新。8.10.1 DHCP/DNS更新如何交互工作 DHCP服务器可用
33、来代表其启用了DHCP的客户端注册及更新指针(PTR)和主机(A)资源记录。该进程要求使用一个附加的DHCP选项,即“客户端FQDN”选项(选项81)。该选项允许客户端提供其完全合格的域名(FQDN),并向DHCP服务器提供关于该服务器如何代表自己处理DNS动态更新(如果存在)的指令。当限定的DHCP客户端发布选项81后,运行Windows Server 2003的DHCP服务器就会处理并解释该选项以确定服务器如何代表客户端来初始化更新。如果服务器被配置,成执行DNS动态更新,它将执行以下操作之一:如果客户端使用选项81提出请求,DHCP服务器将同时更新DNSA和PTR记录。DHCP服务器同时
34、更新DNSA和PTR记录,不论客户端是否请求了该操作。此外,DHCP服务器还可以代表那些无法向服务器发送选项81的旧版客户端动态更新DNSA和PTR记录。也可以配置DHCP服务器,使之在客户端租约被删除时禁用客户端的A和PTR记录。可以使用以下方式之一配置DHCP服务器:DHCP服务器根据DHCP客户端请求使用它所在区域中的授权DNS服务器对客户端信息进行注册和更新。DHCP服务器始终注册和更新DNS中的客户端信息。DHCP服务器从不注册和更新DNS中的客户端信息。具体配置方式说明参见书中介绍。,8.10.2 高级DHCP/DNS服务器配置选项,除上节介绍的标准DHCP/DNS交互操作之外,还
35、可配置DHCP服务器执行以下这些可选的更新任务:可以有选择地将服务器配置为当客户端租约期满时不发送任何更新内容,以放弃客户端主机(A)资源记录。可以有选择地将服务器配置为不向无法使用“客户端FQDN”选项(选项81)的客户端发送更新内容,以请求处理更新的方式。8.10.3 Windows DHCP客户端和DNS动态更新协议 在执行上述的DHCP/DNS交互操作时,运行Windows 2000、Windows XP或Windows Server 2003操作系统的DHCP客户端与运行Windows早期版本的客户端有着不同的交互方式。具体参见书中的示例。,8.10.4 DNS记录所有权和DnsUp
36、dateProxy组,配置DHCP服务器,使之代表DHCP客户端动态注册主机(A)和指针(PTR)资源记录。但在这种配置下,DNS服务器使用安全的动态更新可能会导致资源记录过时。为此,系统提供了被称为DnsUpdateProxy的内置安全组。如果将所有的DHCP服务器添加成DnsUpdateProxy组的成员,则当某台服务器发生故障时,其记录可由其他服务器更新。而且,因为所有由DnsUpdateProxy组的成员创建的对象并不都是安全的,所以第一个修改与某个DNS名称关联的记录集的用户(不是DnsUpdateProxy组的成员)将变成该记录集的所有者。因此,当旧版的客户端被升级后,它们就可以获
37、取在DNS服务器中的名称记录的所有权。如果每个为旧版客户端注册资源记录的DHCP服务器都是DnsUpdateProxy组的成员,那么前面讨论的问题都将得以避免。可以通过“Active Directory用户和计算机”管理工具配置DnsUpdateProxy安全组,把所有DHCP服务器加入到这个组中即可。具体配置方法参见书中介绍。,8.11 DHCP的设置选项和选项类别,在DHCP服务中,除了前面介绍的DHCP服务器、作用域、多播作用域等属性配置外,还有一些专门的设置选项,它们是不能通过属性对话框进行配置的。8.11.1 DHCP可指派的选项 可以从几个不同的级别可管理以下的DHCP选项预定义选
38、项:控制为DHCP服务器预定义哪些类型选项。服务器选项:此选项默认应用于DHCP服务器中的所有作用域和客户端或由它们默认继承。作用域选项:此选项仅应用于DHCP控制台树中选定的适当作用域中的客户端。保留选项:为应用于特定DHCP保留客户端的选项赋值。类别选项:为指定用户或供应商类别的成员客户端的指派选项。以上各选项的具体功能说明和配置方法参见书中介绍。,8.11.2 指派选项的指导原则和常用选项,1.指派选项的指导原则 对网络上客户端使用指派选项的原则如下:只有在您拥有需要非标准DHCP选项的新软件或应用程序时,才要添加或定义新的自定义选项类型。如果DHCP服务器管理着大型网络中的多个作用域,
39、那么在指派“服务器选项”时应细心选择。使用“作用域选项”指派客户端使用的大多数选项。在多数网络中,通常首选这一级别用于指派和启用DHCP选项。对网络中有特殊配置要求的个别DHCP客户端,可使用“保留选项”。如果存在需求各不相同的DHCP客户端,并且它们能在取得租约时指明DHCP服务器上的某个特定类别,那么请使用“类别选项”。,2.常用选项 在为客户端设置了基本的TCP/IP配置设置之后,大多数客户端还需要DHCP服务器通过DHCP选项提供其他信息。其中最常见的包括:路由器:DHCP客户端所在子网上路由器的IP地址首选列表。客户端可根据需要与这些路由器联系以转发目标为远程主机的IP数据包。DNS
40、服务器:可由DHCP客户端用于解析域主机名称查询的DNS名称服务器的IP地址。DNS域:指定DHCP客户端在DNS域名称解析期间解析不合格名称时应使用的域名。WINS节点类型:供DHCP客户端使用的首选NetBIOS名称解析方法(如仅用于广播的B节点或用于点对点和广播混合模式的H节点)。WINS服务器:供DHCP客户端使用的主要和辅助WINS服务器的IP地址。,用户类别的工作原理,选项类别为作用域内的客户端提供了另一种方法来组合DHCP提供的详细配置信息。对于运行Windows Server 2003操作系统的计算机,有两种类型的选项类别可用于次级管理选项:用户类别:用于向标识为共享相似DHC
41、P选项配置的共同需求的客户端指派选项。供应商类别:用于向标识为共享公共定义的供应商类别型的客户端指派供应商特有选项。用户类别使DHCP客户端可以通过指定用户类别选项区分自己。用于客户端时,此选项包括用户确定的类别ID,此ID有助于组合作用域中有相似配置需求的客户端。在需要保留涵盖了标识客户端计算机的特殊需求的单独选项时,用户类别很有用。用户类别功能在配置网络上的DHCP客户端方面赋予您更大的灵活性,但是标准DHCP不需要使用这一类别。如果用户定义的选项类别没有配置,则选项是通过相应服务器、作用域或客户端选项设置提供的。,8.11.4 供应商类别的工作原理,供应商定义的选项类别可以由DHCP客户
42、端使用,这些客户端被配置为可以通过其供应商类别型在申请租约时有选择地向DHCP服务器标识自己。为了在供应商类别中标识自己的成员身份,客户端在向服务器申请或选择租约时会在“供应商类别标识符”选项中提供一个值。供应商类别标识符信息是由DHCP服务器解释的字符串数据。Microsoft支持其运行Windows 98或Windows XP的DHCP客户端的供应商类别标识。运行Windows Server 2003的DHCP服务器向标识自己的客户端提供租约的步骤参见书中介绍。,8.12 DHCP审核日志,在DNS服务器控制台中可查到事件记录,但在DHCP服务中却没有。但不并不是说DHCP服务就没有事件记
43、录,但相对DNS服务来说更加简单,也更加隐蔽,事件的查看需要在资源管理器中打开相应的日志文件,相对来说比较麻烦。而且日志记录也没有DNS服务那么详细。8.12.1 DHCP审核日志概述 运行Windows Server 2003的DHCP服务器包含几个提供了增强审核能力的日志功能和服务器参数。您可以指定以下功能:DHCP服务器存储审核日志文件的目录路径。DHCP服务创建和存储的所有审核日志文件可采用的磁盘空间总容量的最大限制。磁盘检查间隔是用于确定在检查服务器上可用磁盘空间之前DHCP服务器向日志文件写多少次审核日志事件。服务器磁盘空间的最小容量(以兆字节MB计算)要求它在磁盘检查期间用来确定
44、服务器是否有足够的空间继续审核日志。,8.12.2 审核日志的工作原理,1.命名审核日志文件 DHCP服务器的服务基于本周当天的审核文件名称,它是通过检查服务器上的当前日期和时间确定的。2.启动日审核日志 当DHCP服务器启动或新的一天开始。然后,根据审核日志文件是否为新的或现有的文件,决定执行下列操作:(1)如果文件已经存在而且超过一天没有修改了,则覆盖此文件;(2)如果文件已经存在但是在以前的24小时内被修改过,则不覆盖此文件。另外,新的日志活动附加在现有文件的尾部。3.磁盘检查 审核日志开始后,DHCP服务器定期执行磁盘检查,以确保服务器磁盘空间的可用性以及当前审核日志文件不会变得太长或
45、日志文件增长不会太快。4.结束每日审核日志 在服务器计算机上的当地时间中午12:00,DHCP服务器关闭现有日志并移动到用于本周后一天的日志文件。以上各项工作的具体原理参见书中介绍。,8.13 DHCP的安全信息,1DHCP是不进行身份验证的协议 针对DHCP服务所带来的身份验证安全威胁,建议采取如下措施:请确保未经授权的人员没有对网络进行物理访问或无线访问的权限。对网络上的每一台DHCP服务器都启用审核日志。审核日志文件的默认位置是%windir%System32Dhcp。2对DNS服务器的拒绝服务攻击可以通过DHCP服务器进行 针对DHCP服务可能带来的拒绝服务攻击的威胁,建议采取如下措施
46、:请确保未经授权的人员没有对您的网络进行物理访问或无线访问的权限。使用DHCP审核记录(默认情况下位于%windir%System32Dhcp中)监视由DHCP服务器执行的DNS动态更新。,3未经授权的非Microsoft DHCP服务器可以向DHCP客户端租用IP地址 只有运行Windows 2000或Windows Server 2003的DHCP服务器才可以在Active Directory中获得授权。如果运行Windows 2000或Windows Server 2003的DHCP服务器发现它尚未在Active Directory中获得授权,则该DHCP服务器会停止对DHCP客户端的服务。归结于这种授权功能,如果恶意或无资格的用户在组织网络上安装了未授权的运行Windows 2000或Windows Server 2003的DHCP服务器,则该服务器将不能指派错误或有冲突的租约,以及用不准确的选项配置DHCP客户端或中断网络服务。以上各项的具体内容参见书中介绍。8.14 常见DHCP故障排除(略),