保护 Active Directory 的 3 个主要步骤

自从 Windows 2000 Server 中引入 Active Directory 技术以来，IT 管理员就一直在使用和围绕 Active Directory 进行工作。 Windows 2000 Server 于 2000 年 2 月 17 日发布，但许多管理员在 1999 年末开始使用 Active Directory，当时 Active Directory 于 1999 年 12 月 15 日发布到生产环境 (RTM)。

DHCP 是 Windows Server 使用的另一种网络服务。

DHCP授权

在 AD DS 环境中，DHCP 服务器必须经过授权才能将 IP 地址租用给网络上的客户端。 DHCP 服务器通过其 IP 地址进行授权，并将根据 AD DS 进行检查以验证其是否有权租用 IP 地址。如果未经授权的 DHCP 服务器检测到授权的 DHCP 服务器，则未经授权的 DHCP 服务器将停止向客户端出租地址。

在 AD DS 环境中，DHCP 服务必须安装在属于域成员的服务器上，否则无法获得授权。

支持在独立服务器上安装和运行 DHCP 服务，但必须位于与任何授权 DHCP 服务器不同的网络或 VLAN 上。

要授权 DHCP 服务器，管理员必须是企业管理员内置安全组的成员。但是，授权 DHCP 服务器的权利可以委托给域内的其他管理员。

要使用 DHCP 的 FQDN 授权 DHCP，FQDN 不得超过 64 个字符。如果 FQDN 超过 64 个字符，则必须使用 IP 地址进行授权。

DHCP 和 DNS

DHCP 可以与 DNS 集成，为 DNS 区域中的指针 (PTR) 和 A 记录提供动态更新。此功能使 DHCP 服务器能够成为运行不会自动更新其 DNS 注册的操作系统的任何 DHCP 客户端的代理。

DHCP 配置

在 Windows Server 2012 中，可以使用DHCP 故障转移来配置 DHCP。 DHCP 故障转移允许将 DHCP 服务器配置为热备用模式（提供冗余）或负载平衡模式（在两个 DHCP 服务器之间分配客户端租约）。该模式可以随时更改，但 DHCP 作用域一次仅支持使用一种模式。

已租用或保留的 IPv4 地址（包括每个范围的选项和设置）由两个 DHCP 服务器共享。单个 DHCP 服务器最多支持31 个故障转移关系。故障转移关系可以在其他范围内重复使用，以避免超出限制。

双机热备模式

当使用DHCP热备模式时，两台服务器运行DHCP服务，但一台服务器提供并响应所有DHCP请求。

仅当主服务器无法访问时，辅助服务器才会提供租用。为了提供租用，必须保留一定比例的 IP 地址池以供辅助服务器使用。默认情况下，该值设置为5%。

如果辅助服务器租用了保留空间中的所有 IP 地址，则它不会从主服务器的范围内发放其他 IP 地址。如果 DHCP 客户端请求，现有租约将被续订。

此外，当辅助服务器租用 IP 地址时，租用时间是最大客户端前置时间 (MCLT) 持续时间，而不是完整范围的租用时间。 MCLT 时间到期后，假定主服务器已恢复，辅助服务器将使用范围内的整个地址池。

负载均衡模式

在负载平衡模式中使用 DHCP 是默认的部署方法。

在此方法中，两台服务器同时为 DHCP 范围提供 DHCP 服务。

负载平衡方法由每台服务器上的IP 地址百分比定义，默认情况下为50:50分割。该比率或百分比可以配置为两个服务器之间的任意数量。

DHCP 服务器根据请求客户端的MAC 地址的哈希值进行负载平衡。因此，MAC 地址决定哪个 DHCP 服务器将响应客户端的 DHCP 请求。

与热备模式类似，如果合作伙伴服务器不可用，则剩余服务器将在 MCLT 时间内租用和续订 IP 地址。 MCLT 时间到期后，如果伙伴服务器不在线，则其余服务器将从整个 IP 地址池中为该范围租用地址。

有关 Active Directory 基础的更多信息，您可以在我们的 AD 初学者教程中找到。