|
安裝DHCP服務器非常簡單,在添加/刪除Windows組件對話框中勾選網絡服務中的動態主機配置協議(DHCP)即可。要創建一個DHCP作用域,執行以下步驟:
安裝好DHCP服務器後,點擊管理工具下的DHCP,在彈出的DHCP管理控制檯中,右擊DHCP服務器名,選擇新建作用域,
 在歡迎使用新建作用域嚮導頁,點擊下一步;
在作用域名頁,輸入作用域的名稱和描述,然後點擊下一步;
 在新建作用域嚮導頁,輸入此作用域包含的IP地址範圍和子網掩碼,你輸入的起止IP地址必須爲有效的IP地址,然後點擊下一步;此作用域的IP地址範圍不等於可以分配給DHCP客戶端的IP地址範圍,可以分配給DHCP客戶端的地址範圍等於作用域IP地址範圍減去排除的IP地址範圍。在創建作用域後,還可以修改起止IP地址範圍,但是不能再修改子網掩碼長度。
 在添加排除頁,輸入你想要從作用域IP地址範圍中排除的IP地址範圍,這些被排除的IP地址範圍將不會分配給DHCP客戶,輸入後點擊下一步;
 在租約期限頁,輸入你想要設定的作用域租約期限。更短的租約期限有利於IP地址租約的回收,以便爲其他客戶服務,但是會導致網絡中產生更多的DHCP流量。如果你的網絡客戶流動性較小,你可以設置相對較長的租約期限;如果網絡客戶流動性較強,則可以設置較短的租約期限。在此我接受默認的設置8天,點擊下一步;
 在配置DHCP選項頁,選擇是否需要現在配置DHCP作用域的幾個基本選項(網關地址、DNS服務器、WINS服務器等)。如果不配置作用域,則嚮導不會自動激活此DHCP作用域,你必須在創建作用域後手動配置作用域選項和激活此作用域。在此我接受默認的選擇是,點擊下一步;
 在路由器(默認網關)頁,輸入網關地址後點擊添加,然後點擊下一步;
 在域名稱和DNS服務器頁,輸入父域名稱和DNS服務器的IP地址後,點擊下一步;
 在WINS服務器頁,輸入WINS服務器地址後點擊添加,然後點擊下一步;
 在激活作用域頁,如果你想現在就啓用此作用域則選擇是,我想現在激活此作用域,否則可以以後手動激活此作用域。在此我接受默認的激活此作用域,點擊下一步;
 在正在完成新建作用域嚮導頁,點擊完成,此時,新的作用域就創建好了,並且已經激活,可以爲DHCP客戶端提供服務了。 |
超級作用域
我們提到過DHCP服務器決定分配IP地址租約的DHCP作用域的選擇條件,DHCP服務器不會使用不匹配網絡接口主IP邏輯子網的DHCP作用域來爲DHCP客戶端的分配IP地址租約。而單個DHCP作用域只能包含一個固定的子網,如果網絡中具有多個子網並且我想在DHCP服務器的某個網絡接口上分配屬於這些不同子網的IP地址租約,該怎麼辦呢?
答案就是超級作用域。超級作用域是由多個DHCP作用域組成的作用域,單個DHCP作用域只能包含一個固定的子網,而超級作用域可以包含多個DHCP作用域,從而包含多個子網。超級作用域主要用於解決以下問題:
-
當前單個DHCP作用域中的可用地址幾乎耗盡,而且網絡中將添加更多的計算機,需要添加額外的IP網絡地址範圍來擴展同一物理網段的地址空間;
-
DHCP客戶端必須遷移到新作用域,例如重新規劃IP網絡編號,從現有的活動作用域中使用的地址範圍遷移到使用另一IP網絡地址範圍的新作用域;
-
希望使用兩個DHCP服務器在同一物理網段上管理分離的邏輯IP網絡。
創建超級作用域非常簡單,步驟如下:
首選,在DHCP服務器中創建一個或多個DHCP作用域,然後右擊DHCP服務器名,選擇新建超級作用域,
在歡迎使用新建超級作用域嚮導頁,點擊下一步;
在超級作用域名頁,輸入超級作用域的名稱,然後點擊下一步;
在選擇作用域頁,選擇添加到超級作用域的作用域,在可用作用域中列出了不屬於其他超級作用域的DHCP作用域,你可以按照Ctrl鍵進行多選或者使用Shift鍵進行連續選擇,然後點擊下一步;
在正在完成新建超級作用域嚮導頁,點擊完成,此時,超級作用域就創建好了。
當創建好超級作用域後,你可以將其他不屬於超級作用域的DHCP作用域添加到超級作用域中,如下圖所示:
或者將作用域從超級作用域中刪除,此刪除操作僅將DHCP作用域從超級作用域中獨立出來,而不是真正的刪除。而刪除超級作用域是將此超級作用域刪除,它所包含的所有DHCP作用域都將獨立出來。
DHCP服務器按照和使用標準DHCP作用域相同的方式來使用超級作用域爲DHCP客戶端分配IP地址租約,但是,當DHCP服務器接收到DHCP客戶端發送的租約請求時,只要超級作用域中的一個DHCP作用域匹配接收到租約請求的網絡接口的網絡ID,那麼DHCP服務器將使用這個超級作用域中的所有可用IP地址爲DHCP客戶端分配IP地址租約。DHCP服務器會優先使用超級作用域中匹配接收到租約請求的網絡接口的網絡ID的DHCP作用域來爲DHCP客戶端分配IP地址租約,如果此DHCP作用域中沒有可用的IP地址,則使用超級作用域中其他具有可用IP地址的DHCP作用域,而不管此作用域的網絡ID是否匹配接收到租約請求的網絡接口的網絡ID。
保留
通過使用保留,你可以爲某個特定MAC地址的DHCP客戶端保留一個特定的IP地址,此時保留的IP地址將不會用於爲其他DHCP客戶端進行分配。每次當此特定的DHCP客戶端向此DHCP服務器獲取IP地址時,此DHCP服務器總是會將保留的IP地址分配給它。
保留是一種DHCP服務器的行爲,如果包含保留IP地址範圍的作用域分佈在多個DHCP服務器上,則必須在每個DHCP服務器上爲此DHCP客戶端創建保留。你可以爲作用域地址範圍中的任何IP地址創建保留,即使該IP地址屬於排除範圍,這種設計的目的在於保證執行“80/20”規則時保留仍能生效。
創建保留後,被保留的IP地址無法修改,但是可以修改特定客戶端的其他信息,例如MAC地址和名稱;你只能爲一個特定的DHCP客戶端創建一個保留的IP地址。如果要更改當前客戶端的保留IP地址,則必須刪除客戶端現有的保留地址,然後添加新的保留地址。
保留只是爲DHCP客戶端計算機服務,在可能的情況下,應儘可能的考慮使用靜態IP地址而不是使用保留。
要在某個DHCP作用域中創建保留,執行以下步驟:
在DHCP管理控制檯中,展開對應的DHCP作用域,右擊保留,選擇新建保留,
在新建保留對話框,輸入保留的名稱、要進行保留的IP地址和特定DHCP客戶端的MAC地址,然後點擊添加即可。注意:保留的IP地址創建後無法修改。
你可以在地址租約中看到保留IP地址的活動情況,如下圖所示:
分配選項
DHCP選項定義了除了IP地址和子網掩碼外,DHCP服務器分配DHCP客戶端的其他TCP/IP選項。網關地址、DNS服務器、WINS服務器等等只是常見的幾種DHCP選項,在Windows的DHCP服務器中自帶了70多種DHCP選項,除此之外,你還可以自定義分配給DHCP客戶的DHCP選項。在DHCP服務器中,你可以在以下五個不同的級別管理DHCP選項:
-
預定義選項,配置方法爲在DHCP服務器管理控制檯中右擊DHCP服務器名,然後選擇設置預定義的選項。在這一級,你只能定義DHCP服務器中的DHCP選項,從而讓它們可以作爲可用選項顯示在任何一個通過DHCP控制檯提供的選項配置對話框(如“服務器選項”、“作用域選項”或“保留選項”)中。你可以根據需要將選項添加到標準選項預定義列表或從該列表中刪除選項,但是預定義選項只是讓DHCP選項可以進行配置,而是否配置則必須根據選項配置來決定。
-
類別選項,在使用任何選項配置對話框(“服務器選項”、“作用域選項”或“保留選項”)時,均可單擊高級標籤來配置和啓用標識爲指定用戶或供應商類別的成員客戶端的指派選項,只有那些標識自己屬於此類別的DHCP客戶端才能分配到你爲此類別明確配置的選項,否則爲其使用常規標籤中的定義。類別選項比常規選項具有更高的優先權,可以覆蓋相同級別選項(“服務器選項”、“作用域選項”或“保留選項”)中常規選項中指派和設置的值。
-
服務器選項,配置方法爲在DHCP服務器管理控制檯中展開DHCP服務器,右擊服務器選項,選擇配置選項。服務器選項中的配置將應用到DHCP服務器中的所有作用域和客戶端,不過服務器選項可以被作用域選項或保留選項所覆蓋。
-
作用域選項,配置方法爲在DHCP服務器管理控制檯中展開對應的DHCP作用域,右擊作用域選項,選擇配置選項。作用域選項中的配置應用到對應DHCP作用域中的所有DHCP客戶端,不過作用域選項可以被保留選項所覆蓋。
-
保留選項,配置方法爲在DHCP服務器管理控制檯中展開對應DHCP作用域中的保留,右擊對應的保留項,選擇配置選項。保留選項僅爲作用域中使用保留地址配置的單個DHCP客戶端而設置。
如果不同級別的DHCP選項出現衝突時,DHCP客戶端應用DHCP選項的完整優先級順序如下:
-
DHCP客戶端的手動配置具有最高的優先級,覆蓋從DHCP服務器獲得的值;
-
保留選項,如果具有類別選項,則類別選項覆蓋常規選項;
-
作用域選項,如果具有類別選項,則類別選項覆蓋常規選項;
-
服務器選項,如果具有類別選項,則類別選項覆蓋常規選項。
由於不同級別DHCP選項配置適用的範圍和對象不同,在考慮部署DHCP選項時,請根據不同級別DHCP選項配置的特性來進行選擇。
動態更新
當DHCP客戶端從DHCP服務器獲得IP地址租約時,DHCP服務器可以根據DHCP客戶端的請求使用它所在區域中的授權DNS服務器對DHCP客戶端信息進行動態更新。你可以在DHCP服務器屬性和DHCP作用域屬性中的DNS標籤對DHCP服務器的動態更新行爲進行配置,如果兩者存在不同,DHCP作用域中的設置覆蓋DHCP服務器中的設置。在創建DHCP作用域時,DHCP作用域的動態更新設置將繼承DHCP服務器中的設置。
默認情況下DHCP服務器設置爲只有在DHCP客戶端請求時才爲DHCP客戶端動態更新DNS A記錄和PTR記錄,並且在租約到期時刪除爲DHCP客戶端註冊的A記錄和PTR記錄。如果你選擇總是動態更新DNS A 和 PTR 記錄,則不論DHCP客戶端請求與否,DHCP服務器總是會爲DHCP客戶端動態更新DNS A記錄和PTR記錄。
在默認情況下,根據DHCP客戶端操作系統的不同,DHCP服務器執行動態更新的行爲也不同:
-
運行Windows 2000、Windows XP或Windows Server 2003操作系統的DHCP客戶端在默認情況下會註冊它自己的DNS A記錄時,而只是請求DHCP服務器註冊DNS PTR記錄;
-
Windows 2000之前版本的DHCP客戶端不支持DNS動態更新,因此默認情況下不會提出動態更新請求,DHCP服務器也不會進行動態更新操作。如果你勾選爲不請求更新的DHCP客戶端(例如,運行 Windows NT 4.0 的客戶端)動態更新 DNS A 和 PTR 記錄,則DHCP服務器會爲低版本DHCP客戶端代爲更新DNS A記錄和PTR記錄。
在DNS服務器全攻略之一:規劃和部署一文中我們談到了DHCP服務器計算機賬戶需要加入DnsUpdateProxy安全組才能避免在進行安全更新時對資源記錄留下所有者信息,從而允許其他用戶修改此資源記錄。默認情況下DHCP服務器使用計算機賬戶來進行安全更新,在Windows Server 2003的DHCP服務器中,提供了一個設置DHCP動態更新註冊憑據的選項,通過此選項,你可以配置DHCP服務器使用專用的用戶賬戶執行DNS動態更新。一個專用用戶帳戶可以被多個DHCP服務器使用,此賬戶應屬於管理被更新的區域的主DNS服務器所存在的森林中。另外需要注意的是,備份DHCP數據庫時,不會對專用用戶賬戶憑據進行備份,因此你還原DHCP數據庫後,必須爲專用賬戶重新進行配置。
執行以下步驟配置動態更新的專用賬戶:
1、在DHCP服務器管理控制檯中,右擊DHCP服務器名,選擇屬性,然後點擊高級標籤,點擊憑據按鈕;
2、在彈出的DNS 動態更新憑據對話框,輸入用戶名、域名和對應的密碼,然後點擊確定;最後在DHCP服務器屬性對話框上點擊確定即可。
衝突檢測
我們在前面的DHCP工作方式的DHCP ACK部分中曾經提到,Windows 2000及其後版本的DHCP客戶端接收到DHCP服務器發送的DHCP ACK廣播消息後,會向網絡發出三個針對DHCP服務器提供的IP地址的ARP解析請求以執行衝突檢測,以確認網絡上沒有其他主機使用DHCP服務器提供的IP地址,從而避免IP地址衝突,但是Windows 2000之前的操作系統不支持DHCP會話中的衝突檢測。
此時,可能你需要配置DHCP服務器執行衝突檢測,以確認分配給DHCP客戶端的IP地址沒有已被其他主機使用。配置方式爲在DHCP服務器管理控制檯中,右擊DHCP服務器名,選擇屬性,然後點擊高級標籤,在衝突檢測次數欄輸入你需要DHCP服務器進行衝突檢測的次數,默認爲0,即爲不進行衝突檢測。
DHCP服務器的衝突檢測是在發出DHCP OFFER廣播數據包之前,因此過多的檢測次數會增加DHCP服務器應答DHCP客戶端租約請求的時延。強烈建議你設置不超過三次的衝突檢測次數。
下圖是一個DHCP服務器和DHCP客戶端同時啓用衝突檢測時的數據包捕獲,其中上面2個ARP解析請求是DHCP服務器執行衝突檢測,而下面3個ARP解析請求是DHCP客戶端執行衝突檢測。
