|
安装DHCP服务器非常简单,在添加/删除Windows组件对话框中勾选网络服务中的动态主机配置协议(DHCP)即可。要创建一个DHCP作用域,执行以下步骤:
安装好DHCP服务器后,点击管理工具下的DHCP,在弹出的DHCP管理控制台中,右击DHCP服务器名,选择新建作用域,
 在欢迎使用新建作用域向导页,点击下一步;
在作用域名页,输入作用域的名称和描述,然后点击下一步;
 在新建作用域向导页,输入此作用域包含的IP地址范围和子网掩码,你输入的起止IP地址必须为有效的IP地址,然后点击下一步;此作用域的IP地址范围不等于可以分配给DHCP客户端的IP地址范围,可以分配给DHCP客户端的地址范围等于作用域IP地址范围减去排除的IP地址范围。在创建作用域后,还可以修改起止IP地址范围,但是不能再修改子网掩码长度。
 在添加排除页,输入你想要从作用域IP地址范围中排除的IP地址范围,这些被排除的IP地址范围将不会分配给DHCP客户,输入后点击下一步;
 在租约期限页,输入你想要设定的作用域租约期限。更短的租约期限有利于IP地址租约的回收,以便为其他客户服务,但是会导致网络中产生更多的DHCP流量。如果你的网络客户流动性较小,你可以设置相对较长的租约期限;如果网络客户流动性较强,则可以设置较短的租约期限。在此我接受默认的设置8天,点击下一步;
 在配置DHCP选项页,选择是否需要现在配置DHCP作用域的几个基本选项(网关地址、DNS服务器、WINS服务器等)。如果不配置作用域,则向导不会自动激活此DHCP作用域,你必须在创建作用域后手动配置作用域选项和激活此作用域。在此我接受默认的选择是,点击下一步;
 在路由器(默认网关)页,输入网关地址后点击添加,然后点击下一步;
 在域名称和DNS服务器页,输入父域名称和DNS服务器的IP地址后,点击下一步;
 在WINS服务器页,输入WINS服务器地址后点击添加,然后点击下一步;
 在激活作用域页,如果你想现在就启用此作用域则选择是,我想现在激活此作用域,否则可以以后手动激活此作用域。在此我接受默认的激活此作用域,点击下一步;
 在正在完成新建作用域向导页,点击完成,此时,新的作用域就创建好了,并且已经激活,可以为DHCP客户端提供服务了。 |
超级作用域
我们提到过DHCP服务器决定分配IP地址租约的DHCP作用域的选择条件,DHCP服务器不会使用不匹配网络接口主IP逻辑子网的DHCP作用域来为DHCP客户端的分配IP地址租约。而单个DHCP作用域只能包含一个固定的子网,如果网络中具有多个子网并且我想在DHCP服务器的某个网络接口上分配属于这些不同子网的IP地址租约,该怎么办呢?
答案就是超级作用域。超级作用域是由多个DHCP作用域组成的作用域,单个DHCP作用域只能包含一个固定的子网,而超级作用域可以包含多个DHCP作用域,从而包含多个子网。超级作用域主要用于解决以下问题:
-
当前单个DHCP作用域中的可用地址几乎耗尽,而且网络中将添加更多的计算机,需要添加额外的IP网络地址范围来扩展同一物理网段的地址空间;
-
DHCP客户端必须迁移到新作用域,例如重新规划IP网络编号,从现有的活动作用域中使用的地址范围迁移到使用另一IP网络地址范围的新作用域;
-
希望使用两个DHCP服务器在同一物理网段上管理分离的逻辑IP网络。
创建超级作用域非常简单,步骤如下:
首选,在DHCP服务器中创建一个或多个DHCP作用域,然后右击DHCP服务器名,选择新建超级作用域,
在欢迎使用新建超级作用域向导页,点击下一步;
在超级作用域名页,输入超级作用域的名称,然后点击下一步;
在选择作用域页,选择添加到超级作用域的作用域,在可用作用域中列出了不属于其他超级作用域的DHCP作用域,你可以按照Ctrl键进行多选或者使用Shift键进行连续选择,然后点击下一步;
在正在完成新建超级作用域向导页,点击完成,此时,超级作用域就创建好了。
当创建好超级作用域后,你可以将其他不属于超级作用域的DHCP作用域添加到超级作用域中,如下图所示:
或者将作用域从超级作用域中删除,此删除操作仅将DHCP作用域从超级作用域中独立出来,而不是真正的删除。而删除超级作用域是将此超级作用域删除,它所包含的所有DHCP作用域都将独立出来。
DHCP服务器按照和使用标准DHCP作用域相同的方式来使用超级作用域为DHCP客户端分配IP地址租约,但是,当DHCP服务器接收到DHCP客户端发送的租约请求时,只要超级作用域中的一个DHCP作用域匹配接收到租约请求的网络接口的网络ID,那么DHCP服务器将使用这个超级作用域中的所有可用IP地址为DHCP客户端分配IP地址租约。DHCP服务器会优先使用超级作用域中匹配接收到租约请求的网络接口的网络ID的DHCP作用域来为DHCP客户端分配IP地址租约,如果此DHCP作用域中没有可用的IP地址,则使用超级作用域中其他具有可用IP地址的DHCP作用域,而不管此作用域的网络ID是否匹配接收到租约请求的网络接口的网络ID。
保留
通过使用保留,你可以为某个特定MAC地址的DHCP客户端保留一个特定的IP地址,此时保留的IP地址将不会用于为其他DHCP客户端进行分配。每次当此特定的DHCP客户端向此DHCP服务器获取IP地址时,此DHCP服务器总是会将保留的IP地址分配给它。
保留是一种DHCP服务器的行为,如果包含保留IP地址范围的作用域分布在多个DHCP服务器上,则必须在每个DHCP服务器上为此DHCP客户端创建保留。你可以为作用域地址范围中的任何IP地址创建保留,即使该IP地址属于排除范围,这种设计的目的在于保证执行“80/20”规则时保留仍能生效。
创建保留后,被保留的IP地址无法修改,但是可以修改特定客户端的其他信息,例如MAC地址和名称;你只能为一个特定的DHCP客户端创建一个保留的IP地址。如果要更改当前客户端的保留IP地址,则必须删除客户端现有的保留地址,然后添加新的保留地址。
保留只是为DHCP客户端计算机服务,在可能的情况下,应尽可能的考虑使用静态IP地址而不是使用保留。
要在某个DHCP作用域中创建保留,执行以下步骤:
在DHCP管理控制台中,展开对应的DHCP作用域,右击保留,选择新建保留,
在新建保留对话框,输入保留的名称、要进行保留的IP地址和特定DHCP客户端的MAC地址,然后点击添加即可。注意:保留的IP地址创建后无法修改。
你可以在地址租约中看到保留IP地址的活动情况,如下图所示:
分配选项
DHCP选项定义了除了IP地址和子网掩码外,DHCP服务器分配DHCP客户端的其他TCP/IP选项。网关地址、DNS服务器、WINS服务器等等只是常见的几种DHCP选项,在Windows的DHCP服务器中自带了70多种DHCP选项,除此之外,你还可以自定义分配给DHCP客户的DHCP选项。在DHCP服务器中,你可以在以下五个不同的级别管理DHCP选项:
-
预定义选项,配置方法为在DHCP服务器管理控制台中右击DHCP服务器名,然后选择设置预定义的选项。在这一级,你只能定义DHCP服务器中的DHCP选项,从而让它们可以作为可用选项显示在任何一个通过DHCP控制台提供的选项配置对话框(如“服务器选项”、“作用域选项”或“保留选项”)中。你可以根据需要将选项添加到标准选项预定义列表或从该列表中删除选项,但是预定义选项只是让DHCP选项可以进行配置,而是否配置则必须根据选项配置来决定。
-
类别选项,在使用任何选项配置对话框(“服务器选项”、“作用域选项”或“保留选项”)时,均可单击高级标签来配置和启用标识为指定用户或供应商类别的成员客户端的指派选项,只有那些标识自己属于此类别的DHCP客户端才能分配到你为此类别明确配置的选项,否则为其使用常规标签中的定义。类别选项比常规选项具有更高的优先权,可以覆盖相同级别选项(“服务器选项”、“作用域选项”或“保留选项”)中常规选项中指派和设置的值。
-
服务器选项,配置方法为在DHCP服务器管理控制台中展开DHCP服务器,右击服务器选项,选择配置选项。服务器选项中的配置将应用到DHCP服务器中的所有作用域和客户端,不过服务器选项可以被作用域选项或保留选项所覆盖。
-
作用域选项,配置方法为在DHCP服务器管理控制台中展开对应的DHCP作用域,右击作用域选项,选择配置选项。作用域选项中的配置应用到对应DHCP作用域中的所有DHCP客户端,不过作用域选项可以被保留选项所覆盖。
-
保留选项,配置方法为在DHCP服务器管理控制台中展开对应DHCP作用域中的保留,右击对应的保留项,选择配置选项。保留选项仅为作用域中使用保留地址配置的单个DHCP客户端而设置。
如果不同级别的DHCP选项出现冲突时,DHCP客户端应用DHCP选项的完整优先级顺序如下:
-
DHCP客户端的手动配置具有最高的优先级,覆盖从DHCP服务器获得的值;
-
保留选项,如果具有类别选项,则类别选项覆盖常规选项;
-
作用域选项,如果具有类别选项,则类别选项覆盖常规选项;
-
服务器选项,如果具有类别选项,则类别选项覆盖常规选项。
由于不同级别DHCP选项配置适用的范围和对象不同,在考虑部署DHCP选项时,请根据不同级别DHCP选项配置的特性来进行选择。
动态更新
当DHCP客户端从DHCP服务器获得IP地址租约时,DHCP服务器可以根据DHCP客户端的请求使用它所在区域中的授权DNS服务器对DHCP客户端信息进行动态更新。你可以在DHCP服务器属性和DHCP作用域属性中的DNS标签对DHCP服务器的动态更新行为进行配置,如果两者存在不同,DHCP作用域中的设置覆盖DHCP服务器中的设置。在创建DHCP作用域时,DHCP作用域的动态更新设置将继承DHCP服务器中的设置。
默认情况下DHCP服务器设置为只有在DHCP客户端请求时才为DHCP客户端动态更新DNS A记录和PTR记录,并且在租约到期时删除为DHCP客户端注册的A记录和PTR记录。如果你选择总是动态更新DNS A 和 PTR 记录,则不论DHCP客户端请求与否,DHCP服务器总是会为DHCP客户端动态更新DNS A记录和PTR记录。
在默认情况下,根据DHCP客户端操作系统的不同,DHCP服务器执行动态更新的行为也不同:
-
运行Windows 2000、Windows XP或Windows Server 2003操作系统的DHCP客户端在默认情况下会注册它自己的DNS A记录时,而只是请求DHCP服务器注册DNS PTR记录;
-
Windows 2000之前版本的DHCP客户端不支持DNS动态更新,因此默认情况下不会提出动态更新请求,DHCP服务器也不会进行动态更新操作。如果你勾选为不请求更新的DHCP客户端(例如,运行 Windows NT 4.0 的客户端)动态更新 DNS A 和 PTR 记录,则DHCP服务器会为低版本DHCP客户端代为更新DNS A记录和PTR记录。
在DNS服务器全攻略之一:规划和部署一文中我们谈到了DHCP服务器计算机账户需要加入DnsUpdateProxy安全组才能避免在进行安全更新时对资源记录留下所有者信息,从而允许其他用户修改此资源记录。默认情况下DHCP服务器使用计算机账户来进行安全更新,在Windows Server 2003的DHCP服务器中,提供了一个设置DHCP动态更新注册凭据的选项,通过此选项,你可以配置DHCP服务器使用专用的用户账户执行DNS动态更新。一个专用用户帐户可以被多个DHCP服务器使用,此账户应属于管理被更新的区域的主DNS服务器所存在的森林中。另外需要注意的是,备份DHCP数据库时,不会对专用用户账户凭据进行备份,因此你还原DHCP数据库后,必须为专用账户重新进行配置。
执行以下步骤配置动态更新的专用账户:
1、在DHCP服务器管理控制台中,右击DHCP服务器名,选择属性,然后点击高级标签,点击凭据按钮;
2、在弹出的DNS 动态更新凭据对话框,输入用户名、域名和对应的密码,然后点击确定;最后在DHCP服务器属性对话框上点击确定即可。
冲突检测
我们在前面的DHCP工作方式的DHCP ACK部分中曾经提到,Windows 2000及其后版本的DHCP客户端接收到DHCP服务器发送的DHCP ACK广播消息后,会向网络发出三个针对DHCP服务器提供的IP地址的ARP解析请求以执行冲突检测,以确认网络上没有其他主机使用DHCP服务器提供的IP地址,从而避免IP地址冲突,但是Windows 2000之前的操作系统不支持DHCP会话中的冲突检测。
此时,可能你需要配置DHCP服务器执行冲突检测,以确认分配给DHCP客户端的IP地址没有已被其他主机使用。配置方式为在DHCP服务器管理控制台中,右击DHCP服务器名,选择属性,然后点击高级标签,在冲突检测次数栏输入你需要DHCP服务器进行冲突检测的次数,默认为0,即为不进行冲突检测。
DHCP服务器的冲突检测是在发出DHCP OFFER广播数据包之前,因此过多的检测次数会增加DHCP服务器应答DHCP客户端租约请求的时延。强烈建议你设置不超过三次的冲突检测次数。
下图是一个DHCP服务器和DHCP客户端同时启用冲突检测时的数据包捕获,其中上面2个ARP解析请求是DHCP服务器执行冲突检测,而下面3个ARP解析请求是DHCP客户端执行冲突检测。
