這是Windows DHCP最佳實踐和技巧的最終指南，

如果您有任何最佳做法或技巧，請在下面的評論中發布它們，

在本指南（一）中，我將分享以下DHCP最佳實踐和技巧，

1. 不要將DHCP放在您的域控制器上
2. 使用DHCP故障轉移
3. 中央與分布式DHCP服務器
4. 避免靜態IP分配并使用DHCP保留

不要在域控制器上放置DHCP

一般建議不要在域控制器上運行除DNS以外的任何其他角色，您的域控制器應該是域控制器/ DNS，就是這樣，小型組織通常會在其域控制器上安裝其他角色和第三方軟體，建議您盡可能避免這種情況，

有什么問題

在DC上安裝其他服務會增加攻擊面，使其難以管理，并可能導致性能問題，

問題1：管理具有多個角色的DC

安裝了多個角色的域控制器很難管理，這通常會導致不穩定和服務中斷，

例如，假設您在使用DHCP時遇到問題，或者安裝了需要重新啟動的安全補丁，重新引導具有Active Directory域服務角色的服務器可能會對組織造成重大破壞，這可能會影響身份驗證，復制，組策略和DNS，如果DNS關閉，您的用戶將無法訪問任何內容，

如果您有多個域控制器并且配置正確，則可以避免這些問題，但是為什么要冒險呢？

如果在自己的服務器上安裝了DHCP，則可以重新啟動DCHP服務器，而不必擔心會影響域控制器上的服務，

問題2：安全

1. 您安裝的軟體/服務越多，攻擊生存期就越大，如果在DC上安裝了DHCP，并且在DHCP服務中發現了一個新漏洞，則DC服務器現在處于危險中，
2. 您有訪客無線網路嗎？您如何看待這些不受管設備連接到DHCP / DC服務器？我不喜歡使用內部DHCP服務器為公眾提供IP地址，然后添加這些公共設備也正在連接到域控制器，這會導致我關閉安全告警，
3. 在域控制器上安裝DHCP后，DHCP服務將繼承DC計算機帳戶的安全權限，這違反了最小特權原則，現在，您的DHCP服務器正在以特權運行，并且執行的并不是為其設計的任務，所以這可以糾正，不要增加這種風險，

在自己的成員服務器上安裝DHCP將減少DC的攻擊面，

問題3：性能

通常，我已經看到DHCP服務器運行非常高效，并且不需要大量系統資源（例如CPU或記憶體），

但是，假設您剛剛了解了新的DHCP選項（例如沖突檢測），然后將其打開了所有作用域，現在，CPU使用率激增，域服務變慢，用戶無法登錄，DNS請求也變慢，

也許您安裝了IPAM來跟蹤可用的IP地址，并且占用了CPU和記憶體，從而再次占用了域服務的資源，

我可以繼續假設很多情況，但是要指出的是，您在域控制器上安裝的軟體/服務越多，對性能的影響就越大，并導致服務中斷，

總結
域控制器是Windows域環境中最關鍵的服務之一，在一臺單獨服務器上運行，域控制服務器器只能是是域控制器，只能是域控制器，只能是域控制器，沒有其他的，重要的事情說三遍，

使用DHCP故障轉移

DHCP故障轉移是用于確保DHCP服務器的高可用性的功能，通過DHCP故障轉移，兩臺DHCP服務器共享DHCP資訊，因此，如果一臺服務器發生故障，另一臺服務器仍可以為客戶端提供DHCP租約，

DHCP故障轉移選項內置在Windows服務器作業系統中，下圖顯示了兩個配置有負載平衡故障模式的DHCP服務器的設定，如果一臺服務器發生故障，另一臺服務器仍處于活動狀態并接管所有DCHP請求，

有兩種故障轉移設計選項：

熱備設計

使用熱備用模式時，一臺服務器是活動服務器，另一臺是備用服務器，活動服務器是主服務器，并處理所有DHCP請求，如果活動服務器關閉，則備用服務器將接管DHCP請求，

該選項通常與備用單元位于與主用單元不同的位置時使用，

負載均衡設計

在負載平衡模式下，兩臺服務器均以雙活模式作業以處理DHCP請求，請求是負載平衡的，并在兩個DHCP服務器之間共享，如果其中一臺服務器與其故障轉移伙伴失去聯系，它將開始向所有DHCP客戶端授予租約，

總結
您將需要確定哪種故障轉移設計最適合您的環境，它是一個免費的內置選項，因此請充分利用它，并使您的DHCP服務器具有容錯能力，

資料來源

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338979(v%3Dws.11）

中央與分布式DHCP服務器

您的大型網路在多個位置都有分支機構嗎？

問題是您是在這些分支機構中安裝DHCP服務器，還是將它們隧道傳輸回集中式DHCP服務器？

集中式DHCP服務器

集中式DHCP服務器放置在遠程辦公室連接到DHCP的集中位置，它通常位于主要資料中心之一，在此設計中，沒有本地DHCP服務器，所有請求都回傳到集中式服務器，

分布式DHCP服務器

在分布式DHCP模型中，本地分支機構中有DHCP服務器，此模型的客戶端從本地DHCP服務器獲取IP地址，

那么哪個選項最好呢？

可以用一個簡單的問題來回答嗎？

分支機構可以完全獨立地作業，而無需回到資料中心嗎？如果是，則應該有一個本地DHCP和DNS服務器，

如果分支機構通過隧道回傳到Internet，Active Directory，DNS等資料中心，則將DHCP放在本地毫無意義，

我為一家在全國設有分部的公司作業，并使用集中式DHCP模式，我們擁有可靠的快速連接，因此使用集中式DHCP服務器非常有意義，

要考慮的一件事是分部有多少員工，如果您有一個擁有數千名員工的大型分部，那么擁有Active Directory，DNS和DHCP等本地資源可能會有所幫助，這將通過WAN鏈接傳輸大量流量，如果該鏈接斷開，將使所有這些員工脫機，

總結
集中式DHCP或分布式DHCP之間的選擇通常可以通過以下問題回答：“分支機構可以在沒有連接回資料中心的情況下作業，遠程辦公室的大小和回到資料中心的連接速度也可能是一個因素，

資料來源

https://docs.microsoft.com/zh-cn/archive/blogs/teamdhcp/multi-site-deployment-topologies-for-dhcp-failover

https://www.reddit.com/r/networking/comments/8wb0qg/distributed_vs_centralized_dhcp/

避免靜態IP分配并使用DHCP保留

為計算機，列印機，電話或任何其他最終用戶設備分配靜態IP地址是一件很麻煩的事情，

以下是統計分配靜態IP地址時，發生以下情況：

1. Helpdesk替換了不知道設定了靜態IP的設備
2. 現在這臺設備完全或部分失去網路連接
3. Helpdesk將故障單發送給網路團隊以求解決問題
4. 網路團隊把故障單發回Helpdesk，因為使用了靜態IP
5. 現在，Helpdesk必須找到設備并重新分配IP

我已經多次處于上述情況，就像我說的那樣，為了避免這種情況，只需使用DHCP保留而不是靜態IP分配即可，

對于需要固定IP地址的任何內容，我都使用DHCP保留，一個例外是路由器和交換機等基礎設施設備，它們會獲得靜態IP，

列印機的DHCP保留的螢屏截圖，

通過DHCP保留，您所需要做的就是在更換設備并自動將IP分配回設備時更新MAC地址，它還可以快速查看為其分配IP的所有內容，而無需手動跟蹤電子表格中的所有內容，

本系列檔案目錄：

DHCP最佳實踐（一）

DHCP最佳實踐（二）

DHCP最佳實踐（三）

DHCP最佳實踐（四）

本文首發于BigYoung小站

標籤：Python

上一篇：python注釋、變數、常量的學習

下一篇：Python 日志列印之logging.getLogger原始碼分析