↑ 关注 + 星标 ~ 从此不迷路，后台回复【AD】送你Windows AD学习资料

这是Windows DHCP最佳实践和技巧的最终指南。

如果您有任何最佳做法或技巧，请在下面的评论中发布它们。

在本指南（一）中，我将分享以下DHCP最佳实践和技巧。

1. 不要将DHCP放在您的域控制器上

2. 使用DHCP故障转移

3. 中央与分布式DHCP服务器

4. 避免静态IP分配并使用DHCP保留

不要在域控制器上放置DHCP

一般建议不要在域控制器上运行除DNS以外的任何其他角色。您的域控制器应该是域控制器/ DNS，就是这样。小型组织通常会在其域控制器上安装其他角色和第三方软件。建议您尽可能避免这种情况。

有什么问题

在DC上安装其他服务会增加攻击面，使其难以管理，并可能导致性能问题。

问题1：管理具有多个角色的DC

安装了多个角色的域控制器很难管理。这通常会导致不稳定和服务中断。

例如，假设您在使用DHCP时遇到问题，或者安装了需要重新启动的安全补丁。重新引导具有Active Directory域服务角色的服务器可能会对组织造成重大破坏。这可能会影响身份验证，复制，组策略和DNS。如果DNS关闭，您的用户将无法访问任何内容。

如果您有多个域控制器并且配置正确，则可以避免这些问题，但是为什么要冒险呢？

如果在自己的服务器上安装了DHCP，则可以重新启动DCHP服务器，而不必担心会影响域控制器上的服务。

问题2：安全

1. 您安装的软件/服务越多，攻击生存期就越大。如果在DC上安装了DHCP，并且在DHCP服务中发现了一个新漏洞，则DC服务器现在处于危险中。

2. 您有访客无线网路吗？您如何看待这些不受管设备连接到DHCP / DC服务器？我不喜欢使用内部DHCP服务器为公众提供IP地址。然后添加这些公共设备也正在连接到域控制器，这会导致我关闭安全告警。

3. 在域控制器上安装DHCP后，DHCP服务将继承DC计算机帐户的安全权限。这违反了最小特权原则。现在，您的DHCP服务器正在以特权运行，并且执行的并不是为其设计的任务。所以这可以纠正，不要增加这种风险。

在自己的成员服务器上安装DHCP将减少DC的攻击面。

问题3：性能

通常，我已经看到DHCP服务器运行非常高效，并且不需要大量系统资源（例如CPU或内存）。

但是，假设您刚刚了解了新的DHCP选项（例如冲突检测），然后将其打开了所有作用域。现在，CPU使用率激增，域服务变慢，用户无法登录，DNS请求也变慢。

也许您安装了IPAM来跟踪可用的IP地址，并且占用了CPU和内存，从而再次占用了域服务的资源。

我可以继续假设很多情况，但是要指出的是，您在域控制器上安装的软件/服务越多，对性能的影响就越大，并导致服务中断。

总结
域控制器是Windows域环境中最关键的服务之一，在一台单独服务器上运行。域控制服务器器只能是是域控制器，只能是域控制器，只能是域控制器。没有其他的，重要的事情说三遍。

使用DHCP故障转移

DHCP故障转移是用于确保DHCP服务器的高可用性的功能。通过DHCP故障转移，两台DHCP服务器共享DHCP信息，因此，如果一台服务器发生故障，另一台服务器仍可以为客户端提供DHCP租约。

DHCP故障转移选项内置在Windows服务器操作系统中。下图显示了两个配置有负载平衡故障模式的DHCP服务器的设置。如果一台服务器发生故障，另一台服务器仍处于活动状态并接管所有DCHP请求。

有两种故障转移设计选项：

热备设计

使用热备用模式时，一台服务器是活动服务器，另一台是备用服务器。活动服务器是主服务器，并处理所有DHCP请求。如果活动服务器关闭，则备用服务器将接管DHCP请求。

该选项通常与备用单元位于与主用单元不同的位置时使用。

负载均衡设计

在负载平衡模式下，两台服务器均以双活模式工作以处理DHCP请求。请求是负载平衡的，并在两个DHCP服务器之间共享。如果其中一台服务器与其故障转移伙伴失去联系，它将开始向所有DHCP客户端授予租约。

总结
您将需要确定哪种故障转移设计最适合您的环境。它是一个免费的内置选项，因此请充分利用它，并使您的DHCP服务器具有容错能力。

资料来源

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws.11）

中央与分布式DHCP服务器

您的大型网络在多个位置都有分支机构吗？

问题是您是在这些分支机构中安装DHCP服务器，还是将它们隧道传输回集中式DHCP服务器？

集中式DHCP服务器

集中式DHCP服务器放置在远程办公室连接到DHCP的集中位置。它通常位于主要数据中心之一。在此设计中，没有本地DHCP服务器，所有请求都返回到集中式服务器。

分布式DHCP服务器

在分布式DHCP模型中，本地分支机构中有DHCP服务器。此模型的客户端从本地DHCP服务器获取IP地址。

那么哪个选项最好呢？

可以用一个简单的问题来回答吗？

分支机构可以完全独立地工作，而无需回到数据中心吗？如果是，则应该有一个本地DHCP和DNS服务器。

如果分支机构通过隧道返回到Internet，Active Directory，DNS等数据中心，则将DHCP放在本地毫无意义。

我为一家在全国设有分部的公司工作，并使用集中式DHCP模式。我们拥有可靠的快速连接，因此使用集中式DHCP服务器非常有意义。

要考虑的一件事是分部有多少员工。如果您有一个拥有数千名员工的大型分部，那么拥有Active Directory，DNS和DHCP等本地资源可能会有所帮助。这将通过WAN链接传输大量流量，如果该链接断开，将使所有这些员工脱机。

总结
集中式DHCP或分布式DHCP之间的选择通常可以通过以下问题回答：“分支机构可以在没有连接回数据中心的情况下工作。远程办公室的大小和回到数据中心的连接速度也可能是一个因素。

资料来源

https://docs.microsoft.com/zh-cn/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failover

https://www.reddit.com/r/networking/comments/8wb0qg/distributed\_vs\_centralized\_dhcp/

避免静态IP分配并使用DHCP保留

为计算机，打印机，电话或任何其他最终用户设备分配静态IP地址是一件很麻烦的事情。

以下是统计分配静态IP地址时，发生以下情况：

1. Helpdesk替换了不知道设置了静态IP的设备

2. 现在这台设备完全或部分失去网络连接

3. Helpdesk将故障单发送给网络团队以求解决问题

4. 网络团队把故障单发回Helpdesk，因为使用了静态IP

5. 现在，Helpdesk必须找到设备并重新分配IP

我已经多次处于上述情况，就像我说的那样。为了避免这种情况，只需使用DHCP保留而不是静态IP分配即可。

对于需要固定IP地址的任何内容，我都使用DHCP保留。一个例外是路由器和交换机等基础设施设备，它们会获得静态IP。

打印机的DHCP保留的屏幕截图。

通过DHCP保留，您所需要做的就是在更换设备并自动将IP分配回设备时更新MAC地址。它还可以快速查看为其分配IP的所有内容，而无需手动跟踪电子表格中的所有内容。

本系列文档目录：

DHCP最佳实践（一）

DHCP最佳实践（二）

DHCP最佳实践（三）

DHCP最佳实践（四）

往期推荐

[

WSUS补丁更新服务日常操作文档

](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fmp.weixin.qq.com%2Fs%3F__biz%3DMzI1NDYyNjUyMw%3D%3D%26mid%3D2247484808%26idx%3D1%26sn%3D2079ae2f709d8c4a490336a7f0524076%26chksm%3De9c31a3cdeb4932a099c84980776d4be75fdc9818aa7713d97a8698163f38fd87c4f051cfdd0%26scene%3D21%23wechat_redirect)

[

使用ADMT和PES实现window AD账户跨域迁移-PES的安装

](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fmp.weixin.qq.com%2Fs%3F__biz%3DMzI1NDYyNjUyMw%3D%3D%26mid%3D2247484306%26idx%3D1%26sn%3Dd5b76cbd68db0ca5916de7dfa16e8181%26chksm%3De9c31c26deb49530002f89b063b207cbd6a53a008c4c83cf39bda92837e261415e9b39e56ed4%26scene%3D21%23wechat_redirect)

[

使用ADMT和PES实现window AD账户跨域迁移-ADMT安装

](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fmp.weixin.qq.com%2Fs%3F__biz%3DMzI1NDYyNjUyMw%3D%3D%26mid%3D2247484276%26idx%3D1%26sn%3Dc79c99372ee0f4a196b21f0e09aa8398%26chksm%3De9c31cc0deb495d6ca3129e66c411904defa70484519e4b2b5fc4bb2832f958d16564d86d1cd%26scene%3D21%23wechat_redirect)

[

使用ADMT和PES实现window AD账户跨域迁移-介绍篇

](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fmp.weixin.qq.com%2Fs%3F__biz%3DMzI1NDYyNjUyMw%3D%3D%26mid%3D2247484248%26idx%3D1%26sn%3Dcb8b716dca124f0c5ed1836dac7bc949%26chksm%3De9c31cecdeb495fa787631667c1278e81f09dbe083948e6e856fd7f18dc49f35fa6db2a01048%26scene%3D21%23wechat_redirect)

[

Windows AD日志分析平台WatchAD安装教程

](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fmp.weixin.qq.com%2Fs%3F__biz%3DMzI1NDYyNjUyMw%3D%3D%26mid%3D2247483953%26idx%3D1%26sn%3D25b725dba91dc08151932c9291ee3838%26chksm%3De9c31d85deb4949365b957396b1e39952cf59c5db4c58d79f8f80bbe79d58f372f03c7d5bb7f%26scene%3D21%23wechat_redirect)

[

批量重置指定域用户密码

](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fmp.weixin.qq.com%2Fs%3F__biz%3DMzI1NDYyNjUyMw%3D%3D%26mid%3D2247483717%26idx%3D1%26sn%3Df61b88eb2532180c9fccfc0dc2fe965b%26chksm%3De9c31ef1deb497e79440398c53aba423bddebb788803dd1e3e863f9530e8a39778ecbc902fb7%26scene%3D21%23wechat_redirect)

[

Windows Server 2012 R2怎么添加Windows Server Backup 功能

](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fmp.weixin.qq.com%2Fs%3F__biz%3DMzI1NDYyNjUyMw%3D%3D%26mid%3D2247483701%26idx%3D1%26sn%3D3b61951e949012c02a00bf710bd9975c%26chksm%3De9c31e81deb497978db1f642896d01414f7031feab5cf12ffba337b3fafac2ce208547697dd2%26scene%3D21%23wechat_redirect)

回复【Python】获取Python实战教学和书籍资料

回复【软件】获取高效办公软件集合

回复【安全】获取从零成长到到一名白帽子教程

回复【AD】获取Windows AD学习与运维教程

回复【读书】获取海量书籍资源

回复【工程师】获取20+张高清技术发展图谱

喜欢就点个在看再走吧

本文分享自微信公众号 - BigYoung小站（bigyoungs）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。