16 个 DHCP 最佳实践：终极指南

这是 Windows DHCP 最佳实践和技巧的终极指南。

如果您有任何最佳实践或提示，请在下面的评论中发布。

在本指南中，我将分享以下DHCP 最佳实践和技巧。

目录：

1. 不要将 DHCP 放在域控制器上
2. 使用 DHCP 故障转移
3. 集中式 DHCP 服务器与分布式 DHCP 服务器
4. 避免静态 IP 分配并使用 DHCP 预留
5. 从 DHCP 范围中排除 IP
6. 学习 PowerShell DHCP 命令
7. 子网划分和网络分段的好处
8. DHCP 租用期限提示
9. 仅在需要时使用 IP 冲突检测
10. 运行 DHCP 最佳实践分析器
11. 记录 IP 地址或使用 IPAM
12. 设置 DHCP 服务器选项
13. 使用 DHCP 中继代理
14. 防止恶意 DHCP 服务器
15. 备份 DHCP 服务器
16. DHCP MAC 地址过滤

不要将 DHCP 放在域控制器上

一般建议是不要在域控制器上运行除 DNS 之外的任何其他角色。您的域控制器应该是域控制器/DNS，仅此而已。小型组织通常在其域控制器上安装额外的角色和第 3 方软件。如果可以的话，建议避免这种情况。

问题是什么？

在 DC 上安装额外的服务会增加攻击面，使其难以管理，并可能导致性能问题。

问题#1。管理具有多个角色的 DC

安装了多个角色的域控制器很难管理。这通常会导致服务不稳定和中断。

例如，假设您遇到 DHCP 问题或安装了需要重新启动的安全补丁。重新启动具有 Active Directory 域服务角色的服务器可能会对您的组织造成重大破坏。这可能会影响身份验证、复制、组策略和 DNS。如果 DNS 关闭，您的用户将无法访问任何内容。

如果您有多个域控制器并且配置正确，那么这些问题是可以避免的，但为什么要冒这个风险呢？

如果 DHCP 安装在自己的服务器上，您可以重新启动 DCHP 服务器，而不必担心影响域控制器上的服务。

问题#2。安全

1. 您安装的软件/服务越多，攻击面就越大。如果在 DC 上安装了 DHCP，并且在 DHCP 服务中发现了新漏洞，则您的 DC 服务器现在面临风险。
2. 有访客无线网络吗？您对这些非托管设备连接到您的 DHCP/DC 服务器有何看法？我不喜欢使用内部 DHCP 服务器为公众提供 IP 地址。然后补充一点，这些公共设备也连接到域控制器......哎呀我的安全警报响了。
3. 当 DHCP 安装在域控制器上时，DHCP 服务将继承 DC 计算机帐户的安全权限。这违反了最小特权原则。现在，您的 DHCP 服务器正在以特权运行，它不需要执行其设计的任务。是的，这可以纠正，但为什么要增加这个风险呢？

在自己的成员服务器上安装 DHCP 将减少 DC 的攻击面。

问题＃3。表现

一般来说，我发现 DHCP 服务器运行非常高效，并且不需要大量系统资源，例如 CPU 或内存。

但…

假设您刚刚了解了一个新的 DHCP 选项（例如冲突检测），并且为所有范围打开了它。

呃哦…现在CPU使用率飙升，域服务很慢，用户无法登录，DNS请求也慢得令人痛苦。

也许您安装了 IPAM 来跟踪可用的 IP 地址，但它会占用 CPU 和内存……再次占用域服务的资源。

我可以继续说下去……您在域控制器上安装的软件/服务越多，它就越能影响性能并导致服务中断。

摘要
您的域控制器是 Windows 域环境中最关键的服务之一，它是您的宝贝，值得在服务器上使用。域控制器是域控制器是域控制器是域控制器。没有其他的。

使用 DHCP 故障转移

DHCP 故障转移是一项确保 DHCP 服务器高可用性的功能。通过 DHCP 故障转移，两台 DHCP 服务器共享 DHCP 信息，这样，如果其中一台服务器出现故障，另一台服务器仍然可以向客户端提供 DHCP 租约。

DHCP 故障转移选项内置于 Windows 服务器操作系统中。下图显示了配置了负载平衡故障模式的两台 DHCP 服务器的设置。如果一台服务器发生故障，另一台服务器仍处于活动状态并接管所有 DCHP 请求。

有两种故障转移设计选项：

双机热备设计

当使用热备模式时，一台服务器是活动服务器，另一台是备用服务器。活动服务器是主服务器，负责处理所有 DHCP 请求。如果活动服务器出现故障，备用服务器将接管 DHCP 请求。

此选项通常用于备用设备与活动设备物理位置不同的情况。

负载均衡设计

在负载平衡模式下，两台服务器都以主动-主动模式工作来处理 DHCP 请求。这些请求在两个 DHCP 服务器之间进行负载平衡和共享。如果其中一台服务器与其故障转移伙伴失去联系，它将开始向所有 DHCP 客户端授予租约。

摘要
您需要确定哪种故障转移设计最适合您的环境。它是一个免费的内置选项，因此请充分利用它并使您的 DHCP 服务器具有容错能力。

来源：

• DHCP 故障转移架构

集中式 DHCP 服务器与分布式 DHCP 服务器

您是否拥有在多个地点设有分支机构的大型网络？

问题是您是在这些分支机构安装 DHCP 服务器还是让它们通过隧道返回到集中式 DHCP 服务器？

集中式 DHCP 服务器

集中式 DHCP 服务器放置在远程办公室连接以获取 DHCP 的集中位置。它通常位于主要数据中心之一。在此设计中，没有本地 DHCP 服务器，所有请求都会返回到中央服务器。

分布式 DHCP 服务器

在分布式 DHCP 模型中，本地分支机构有 DHCP 服务器。在此模型中，客户端从本地 DHCP 服务器获取 IP 地址。

那么哪个选项最好呢？

这可以用一个简单的问题来回答吗？

分支机构是否可以完全独立工作而无需连接到数据中心？如果是，那么本地 DHCP 和 DNS 服务器就有意义了。

如果分支机构通过隧道返回数据中心以获取互联网、Active Directory、DNS 等，则在本地放置 DHCP 就没有意义。

我在一家在全州设有办事处的公司工作，并且使用集中式 DHCP 模型。我们拥有可靠的快速连接，因此使用集中式 DHCP 服务器是有意义的。

需要考虑的一件事是分支机构有多少员工。如果您有一个拥有数千名员工的大型分支机构，那么拥有 Active Directory、DNS 和 DHCP 等本地资源会很有帮助。这将导致大量流量通过 WAN 链路，如果链路出现故障，所有员工都会离线。

总结
在集中式或分布式 DHCP 之间进行选择通常可以通过以下问题来回答：“分支机构是否可以在没有与数据中心的连接的情况下工作。远程办公室的规模和返回数据中心的连接速度也可能是一个因素。

来源：

• 用于 DHCP 故障转移的多站点部署拓扑
• 分布式与集中式 DHCP

避免静态 IP 分配并使用 DHCP 预留

为计算机、打印机、电话或任何其他最终用户设备分配静态 IP 地址是一件很痛苦的事情。

以下是统计分配 IP 地址时会发生的情况。

1. 帮助台更换不知道静态 IP 的设备
2. 现在设备完全或部分失去连接
3. 帮助台向网络团队发送票证以解决问题
4. 网络团队使用静态 IP 将票证发送回服务台
5. 帮助台现在必须转到设备并分配 IP

我已经多次遇到上述情况，就像我说的那样，这很痛苦。为了避免所有这些，只需使用 DHCP 保留而不是静态 IP 分配。

对于需要固定 IP 地址的任何内容，我使用 DHCP 保留。唯一的例外是路由器和交换机等基础设施设备，这些设备获得静态 IP。

打印机 DHCP 预留的屏幕截图。

通过 DHCP 保留，您所需要做的就是在更换设备时更新 MAC 地址，并且 IP 会自动分配回设备。它还提供了已分配 IP 的所有内容的快速视图，而不是手动跟踪电子表格中的所有内容。

从 DHCP 范围中排除 IP

创建 DHCP 范围时，我建议排除静态 IP 分配的小范围。是的，我知道在上一篇技巧中我说过不要使用静态分配，但基础设施设备将需要它。

您的网络将有一个默认路由，该路由将是路由器，因此您肯定希望将其从 DHCP 池中排除。您还可能会遇到需要静态 IP 的其他设备，因此最好从这些设备的 DHCP 池中排除一小部分 IP。例如，我见过各种需要静态 IP 的警报和安全设备，因此我只提供排除范围内的 IP。

以下是用于工作站和笔记本电脑的数据 VLAN 的屏幕截图，不包括 10.2.10.1 至 10.2.10.10。

学习 PowerShell DHCP 命令

使用 DHCP 控制台 (dhcpmgmt.ms) 没有任何问题，但 PowerShell 非常棒，可以简化许多任务。如果您有一个包含数百个 DHCP 范围的大型网络，那么使用 PowerShell 可以节省大量时间。

这里有一些命令可以帮助您入门。

安装 DHCP 角色

Install-WindowsFeature -IncludeManagementTools DHCP

备份 DHCP 服务器

 Backup-DhcpServer -ComputerName "dhcp1.ad.activedirectorypro.com" -Path "C:\Windows\system32\dhcp\backup"

查看 DHCP 租约

Get-DhcpServerv4Scope | Get-DhcpServerv4Lease

从 MAC 地址查找 DHCP 租约

Get-DhcpServerv4Scope |Get-DhcpServerv4Lease |where {$_.ClientId -like “b4-b6-86-b4-**-**” }

添加 DHCP 范围

Add-DHCPServerv4Scope -EndRange 10.2.1.254 -Name Vlan110 -StartRange 10.2.1.1 -SubnetMask 255.255.255.0 -State Active

获取所有活动的 ipv4 范围

Get-DHCPServerv4Scope

获取某个范围的所有 DHCP 预留

Get-DHCPServerv4Lease -ScopeId 10.2.1.0

创建 DHCP 预留

Get-DhcpServerv4Lease -ComputerName dhcpserver1 -IPAddress 10.2.1.8 | Add-DhcpServerv4Reservation -ComputerName server1

这只是使用 PowerShell 管理 DHCP 的服务器。我在下面添加了一些链接，指向使用 Powershell 的一些其他资源。

资料来源：

• DhcpServer PowerShell cmdlet
• Active Directory PowerShell 命令

子网划分和网络分段的好处

我不会深入研究子网划分，因为有足够的资源。

但是……在配置 DHCP 作用域时，对网络有一些基本的了解是有帮助的。

您不希望所有设备都只有一个大型 DHCP 池，您应该将设备分段到单独的网络中。这也取决于您的网络的大小，如果您的网络较小，那么网络分段就不那么重要。

网络分段的好处

安全

通过将设备保持在单独的网络上，您可以更好地控制网络。您的打印机需要访问互联网吗？可能不会。财务部门的计算机是否需要直接与人力资源部门的计算机对话，绝对不需要。通过将设备分离到自己的网络中，您可以更好地控制它们的访问。

限制网络中的横向移动确实可以减缓攻击者和病毒的速度。在网络级别启用防火墙或访问控制列表以限制网络中的横向移动非常重要。

网络性能

将所有内容放在一个大网络上将创建一个巨大的广播域。这可能会导致各种问题，例如生成树环路、广播和组播风暴。对网络进行分段将打破广播域并减少可能的性能问题。

控制访客/来宾访问

您不希望您的访客网络访问您的安全网络。将此流量分离到其自己的网络允许您过滤此流量并阻止对内部网络的访问。我还将访客网络用于只需要互联网连接的物联网类型设备。

下面是我如何分段网络流量的示例。

• 计算机=10.2.10.0/24 VLAN 110
• 打印机=10.2.8.0/24 VLAN 108
• 语音=10.2.6.0/24 VLAN 106
• 视频监控=10.2.4.0/24 VLAN 104
• 服务器=10.2.2.0/24=VLAN 102
• 访客=10.16.0.0/23=VLAN 116

除了网络分段尽量保持 IP 方案简单之外，它还确实简化了 DHCP 范围的管理。

DHCP 租用期限提示

DHCP 租约是 DHCP 服务器向客户端分配 IP 地址的时间段。 DHCP 范围的默认 DHCP 租用时间为 8 天。

技巧#1 增加固定设备的租用时间

对于小型网络，您可以将租用时间保留为默认设置 8 小时。

对于大型网络，请考虑将固定设备（工作站）的 DHCP 范围更改为 16 天。这可以减少 DHCP 相关的网络流量。工作站不经常移动，因此它们不需要经常完成整个 DHCP 舞蹈来获取 IP 地址。

技巧#2 减少访客/移动设备的租用时间

如果您提供访客 WiFi，这些 DHCP 范围可能很快就会耗尽可用的 IP。这些设备很可能只需要临时访问，例如几个小时。对于这些范围，请考虑将 DHCP 租用时间调整为 1 小时。如果设备仍然处于活动状态，它将更新，但如果设备断开连接，它将释放 IP 地址。这应该有助于您的来宾范围内的可用 IP。

移动设备也可能出现这种情况，尽管越来越多的用户拥有笔记本电脑，但这可能会很棘手。默认的 8 天可能就足够了，但如果您知道移动设备经常移动，您可以考虑缩短租赁时间。

摘要
如果您的 DHCP 作用域仅服务于特定设备（例如工作站），则请考虑调整 DHCP 租用时间。

仅在需要时使用 IP 冲突检测

当同一 LAN 中的两台设备具有相同的 IP 地址时，就会发生 IP 地址冲突。这会导致其中一个或两个设备在网络上通信时出现问题。

DHCP 服务器有一个选项可以帮助减少 IP 冲突。 DHCP 服务器上的冲突检测选项将首先检查 IP 是否正在使用，然后再将其分配给设备。

默认情况下，这在所有 DHCP 作用域上都是禁用的。

微软的建议是仅在需要时使用它。不要为每个范围启用此功能。如果您远离静态 IP 分配，那么您可能永远不需要打开它。

如果您确实打开此功能，请将检测尝试设置为 1 或 2。

来源：

• 微软 DHCP 最佳实践

运行 DHCP 最佳实践分析器

Microsoft 的最佳实践分析器是一款根据 Microsoft 指南检查 DHCP 配置的工具。最佳实践分析器内置于 Windows Server 中，并可在服务器管理工具上使用。

运行该工具的步骤。

步骤一：打开服务器管理器

步骤 2：单击 DHCP

第 3 步：开始 BPA 扫描

扫描完成后将显示结果

BPA 扫描仪应该有助于发现任何基本的错误配置。检查您的结果并进行您认为对您的环境有必要的任何更改。

记录 IP 地址或使用 IPAM

记录您的 IP 方案、VLAN 和静态 IP 分配。

对于小型网络，Excel 电子表格可能就足够了。

对于较大的网络，我推荐使用 IP 地址管理工具。多年来我一直使用 Excel 电子表格，随着网络的发展，电子表格变成了一场噩梦。我最终将所有电子表格移至 SolarWinds IP Address Tracker，不再担心 IP 管理。 SolarWinds IPAM 为我处理一切，最重要的是我可以快速搜索整个数据库。

IPAM 的优点

• 自动IP地址跟踪
• 可以与 DHCP/DNS 集成以跟踪 dhcp 范围使用情况
• 范围使用情况的警报和报告
• 搜索 IP 地址、评论、主机名等。能够通过关键字快速搜索以查看设备的 IP 地址，真是太好了。

下载 30 天免费试用版

设置 DHCP 服务器选项

DHCP 范围选项允许您在客户端设备上自动配置其他 TCP/IP 设置。

可以在服务器或每个 DHCP 范围的两个不同级别配置 DHCP 选项。

我更喜欢每个范围，这需要更多工作，但我可能有一些范围，例如访客 wifi，我不想使用内部 DNS。有时 VOIP 电话需要特殊选项来配置，但我不希望在服务器级别进行配置。

最常用的选项是：

003 路由器

006 DNS 服务器

015 DNS 域名

利用范围选项，您可以在所有设备上自动配置 IP 设置。

DHCP 中继代理

如果您有一个具有多个网络的集中式 DHCP 服务器，那么您将需要使用 DHCP 中继代理。

DHCP 消息是广播的，路由器不转发广播数据包。要解决此问题，您可以在路由器/交换机上启用 DHCP 中继代理功能，以允许 DHCP 广播数据包到达设备。

您需要查看路由器文档以获取启用中继代理的命令。

来源：

• 思科配置 DHCP 中继代理
• HP 配置 DHCP 中继

防止恶意 DHCP 服务器

您是否曾经让用户或您自己的 IT 部门中的某个人将交换机/路由器插入墙上的可用端口？然后，由于用户无法连接到互联网或其他资源，帮助台电话开始爆炸。

流氓 DHCP 服务器令人头疼。此外，它们可能存在安全风险并用于各种攻击。

阻止恶意 DHCP 服务器的最佳方法是在网络交换机上。这可以通过称为 DHCP 监听或基于 802.1x 端口的网络访问的选项来完成。

DHCP侦听

DHCP 侦听是一项第 2 层交换机功能，可阻止未经授权的（恶意）DHCP 服务器向设备分发 IP 地址。

DHCP 的工作原理是将交换机端口分类为可信端口或不可信端口。受信任的端口允许 DHCP 消息，不受信任的端口阻止 DHCP 消息。

您希望您的设备（计算机、打印机、电话）位于不受信任的端口上，以便恶意 DHCP 服务器无法插入。

基于802.1x端口的网络访问

802.1x 是基于端口的网络访问控制的 IEEE 标准。它是一种要求设备在提供网络访问权限之前进行身份验证的机制。

它不仅适用于恶意 DHCP 服务器，还适用于控制对任何内容的网络访问。

802.1x 通常在交换机级别配置，需要客户端和身份验证服务器。

备份 DHCP 服务器

您的 DHCP 服务器对于向客户端提供 IP 设置至关重要。如果发生系统崩溃，您需要尽快恢复该服务器。

您是否知道默认情况下，Windows 会每 60 分钟将 DHCP 配置备份到此文件夹 %SystemRoot%System32\DHCP\backup。

这很棒，但如果服务器崩溃并且您无法访问该文件夹，那么您就没有什么好处了。

如果您没有任何异地复制，那么您需要定期将备份文件夹复制到另一个位置。

这可以通过将文件夹复制到另一个位置或使用 PowerShell 指定远程位置的脚本来完成。

备份-DhcpServer -计算机名“DC01”-路径“C:\DHCPBackup”

您可以在我的文章备份和恢复 Windows DHCP 服务器中阅读更多相关内容

DHCP MAC 地址过滤

DHCP MAC 地址过滤功能允许您根据 MAC 地址阻止或允许 IP 地址分配。

如果您希望 DHCP 范围向明确的设备列表提供 IP 地址，这非常有用。如果 VLAN 上有不需要的设备获取 IP 地址，它也很有用。

例如，您的用户将 BYOD 设备放置在您的安全 VLAN 上。您可以将这些设备添加到拒绝过滤器中。 DHCP MAC 过滤是一种快速而简单的控制网络访问的方法。如果您有时间和资源，更好的选择是使用 802.1x。

结论

多年来我在管理 DHCP 服务器时一直使用这些技巧。如果配置正确，DHCP 可以成为一个一劳永逸的服务器，很少或根本没有问题。我希望这些提示对您有用，并请在下面的评论中发布您的任何 DHCP 提示或最佳实践。