注重點滴 讓DHCP服務器工作效能更高
為了減輕網絡管理、維護工作量,很多網絡管理員都喜歡在局域網中安裝、配置DHCP服務器,來自動為普通計算機系統提供上網設置服務;可是,如果DHCP服務器自身設置不當,或者局域網中同時存在多個DHCP服務器時,那么局域網中合法的DHCP服務器工作效能就會受到嚴重影響,甚至會造成整個局域網不能穩定工作。有鑒于此,本文就為各位朋友貢獻下面幾則管理DHCP服務器的私房秘籍,希望大家能從中獲得啟發!
1、合理設置地址池
不少規模較小的單位接入Internet網絡時,都會利用一個帳戶通過寬帶路由器與交換機設備,進行共享局域網連接,這樣不但能夠降低上網費用,而且也能夠通過局域網輕松實現文件和打印機的共享訪問等等。時下,我們經常使用的寬帶接入方式主要包括LAN方式與ADSL方式,只要將ADSL撥號設備或者寬帶路由器連接到交換機上,就能輕松實現多用戶共享局域網方式上網了。為了提高共享局域網上網的管理效率,網絡管理員通常都會啟用ADSL設備中的DHCP服務功能,如此一來局域網中的每一臺工作站就能自動獲取上網地址、網關地址以及DNS服務器地址等參數了。
不過,很多時候網絡管理員都會忽視對DHCP服務器地址池的設置,這樣一來就容易導致IP地址頻繁發生沖突。在缺省狀態下,大多數ADSL設備和寬帶路由器設備,只要啟用了DHCP服務功能,它就自動把本地子網中的所有IP地址全部設置到地址池中。比方說,ADSL設備默認使用的IP為192.168.1.1,一旦將該設備的DHCP服務成功啟用之后,那么該設備就會自動將192.168.1.X子網的IP地址全部加入地址池,這么一來可能會發生什么問題呢?
大家知道,如果我們為Windows系統分配一個固定的IP地址,那么Windows系統的啟動速度會更快一些。比方說,假設局域網中有5臺工作站采用固定IP地址,它們分別使用192.168.1.2~192.168.1.6這五個IP地址。倘若使用了192.168.1.3這個靜態IP地址的工作站有一段時間沒有開機運行,而局域網中有另外一臺工作站使用自動獲取地址方式訪問網絡時,那么DHCP服務器會自動識別到192.168.1.3地址處于空閑狀態,這時它就會自動把該IP地址分配給那臺使用了自動獲取地址方式的工作站,如果此時先前使用該地址的工作站再上線時,那么局域網就會出現IP地址沖突故障。在實際管理網絡的過程中,這種沖突現象發生的概率還是非常大的。
事實上,避免上述地址沖突現象的方法很簡單,我們只要在為DHCP服務器設置地址池參數的時候,事先保留一段IP地址不作為日后動態分配用。比方說,我們可以將DHCP服務器的地址池參數設置為192.168.1.80~192.168.1.254(如圖1所示),將前面79個IP地址保留給固定上網參數的工作站使用,如此一來就井水不犯河水了,用自動獲取地址方式訪問網絡的工作站,就不會隨意搶占固定上網參數工作站的IP地址了,這樣也就能夠有效避免IP地址頻繁發生沖突的故障了。 #p#
2、為多個子網服務
大家知道,DHCP服務器中的每一個作用域只能“服務”于一個特定的虛擬子網,而一個虛擬子網中包含的計算機數量最多有253臺,如此說來,DHCP服務器難道只能為253臺計算機提供IP地址動態分配服務嗎?事實上,很多規模比較大的單位,常常包含若干個虛擬子網,那么我們是否要在每一個虛擬子網中安裝、架設DHCP服務器呢?我們能否采取措施,讓相同的一臺DHCP服務器同時為多個不同的虛擬子網提供IP地址動態分配服務呢?其實很簡單,我們只要在DHCP服務器中巧妙創建超級作用域,將多個虛擬工作子網中的有效地址相對集中在一起,并且對外使用一個作用域名稱提供IP地址動態分配服務,下面就是具體的設置步驟:
為了讓不同的虛擬子網同時使用一個域名稱對外提供服務,我們首先需要以系統管理員權限登錄進入DHCP服務器所在主機系統,之后進入該系統的DHCP控制臺窗口,為每一個虛擬工作子網創建一個合適的作用域,并確保每一個作用域能正確為對應的虛擬工作子網提動地址分配服務;
下面我們需要創建一個超級作用域,以便將各個不同的子作用域相對集中在一起,日后DHCP服務器只要通告超級作用域名稱就能同時為多個不同的虛擬工作子網提供地址分配服務了;在創建超級作用域時,我們可以在DHCP服務器控制臺界面的左側顯示區域,找到該服務器的主機名稱,用鼠標右鍵單擊該主機名稱,從彈出的快捷菜單中點選“新建超級作用域”命令,打開創建超級作用域的向導對話框,依照向導對話框的提示單擊“下一步”按鈕,隨后創建向導會建議我們為超級作用域設置一個合適名稱,假設我們將該名稱設置為“多網服務”;
繼續單擊“下一步”按鈕,此時系統屏幕上將會出現一個如圖2所示的設置界面,此時我們會在這里看到所有的虛擬子網作用域,將每一個作用域名稱依次選中,再單擊“完成”按鈕,這樣的話所有子作用域全部被集中到超級工作域中了。日后,DHCP服務器就會自動以超級作用域名稱對外集中提供地址服務了,而不是每一個子作用域單獨為某一個虛擬子網服務,如此一來DHCP服務器就實現同時為多個不同虛擬子網提供地址分配服務的目的了。
3、對DHCP進行保護
一般來說,安裝在局域網中普通計算機的操作系統幾乎都為Windows操作系統,在這種局域網系統環境下,我們可以巧妙借助域管理模式來保護有效DHCP服務器的工作穩定性,謹防一些不合法的DHCP服務器對其造成沖擊,從而避免影響有效DHCP服務器正確為普通計算機分配動態IP地址。我們可以在域控制器所在的主機系統中,先將有效的DHCP服務器添加到局域網指定域的活動目錄中,確保指定域中的所有普通計算機都可以從局域網有效的DHCP服務器那里自動申請獲得IP地址,而指定域之外的DHCP服務器則被自動過濾掉了;這是由于指定域中的普通計算機向局域網網絡發送廣播信息,申請動態IP地址時,位于相同工作域中的有效DHCP服務器,會優先對這些普通計算機的上網請求進行自動應對,要是指定工作域中的有效DHCP服務器遇到意外不能正常工作時,那些位于指定域之外的其他DHCP服務器才會對普通計算機的上網請求進行應對。在將有效DHCP服務器添加到特定工作域中時,我們不妨依照下面的操作來進行設置:
首先以系統特權身份登錄進入指定域控制器系統,從該系統桌面中點擊“開始”按鈕,再從彈出的“開始”菜單中逐一單擊“程序”/“管理工具”/“DHCP”命令,打開控制器系統的DHCP控制臺界面;
其次在該DHCP控制臺界面的左側子窗格中,找到目標DHCP服務器所對應的主機名稱,并用鼠標右鍵單擊該名稱,并執行右鍵菜單中的“添加服務器”命令,此時系統屏幕上會出現一個如圖3所示的設置窗口,單擊該窗口中的“瀏覽”按鈕,當系統屏幕上彈出選擇計算機設置窗口時,我們可以從中將有效的DHCP服務器對應主機名稱選中,當然也可以將該主機名稱直接輸入到“此服務器”文本框中,***單擊“確定”按鈕 退出設置對話框。那樣的話,局域網特定工作域中的普通計算機日后連接到局域網網絡上時,就會優先從該作用域中的有效DHCP服務器那里自動申請得到IP地址以及其他上網參數了。此時,局域網中不管有多少其他的DHCP服務器存在,也不會影響和干擾指定作用域里面的DHCP服務器穩定進行工作了。
當然,這種保護DHCP服務器的方法雖然效果很好,可是在實際情況下,多數小單位架設的局域網幾乎都采用了工作組模式,而不是域工作模式,這樣一來有效DHCP服務器的工作穩定性自然就很難得到安全保護了。 #p#
4、定義DHCP用戶ID
考慮到局域網中有的計算機自身帶有病毒,要是隨意讓其從DHCP服務器那里得到上網地址的話,那么整個局域網很可能都被感染網絡病毒,那么我們能否只讓合法、安全的計算機從DHCP服務器那里得到上網地址,而不合法的計算機禁止從DHCP服務器那里得到上網地址呢?答案是肯定的,我們只要為合法的計算機定義用戶ID,以后DHCP服務器會依照ID來判斷局域網中的計算機究竟是否合法了,下面就是具體的設置步驟:
首先在DHCP服務器中,依次單擊“開始”菜單中的“程序”、“管理工具”、“DHCP”命令,在彈出的DHCP控制臺界面中,用鼠標右鍵單擊目標DHCP服務器主機名稱,并執行右鍵菜單中的“定義用戶類別”,此時系統屏幕上會出現一個新建類別向導對話框;依照向導屏幕的提示,我們先定義一個DHCP用戶的ID為“aaaa”,再在ASCII列表下設置好由普通計算機系統提供的ID,目標DHCP服務器日后會通過該ID信息來匹配類ID,這里我們假設輸入的ASCII字符也為“aaaa”,再單擊“確定”按鈕完成DHCP用戶ID的定義操作;
其次我們需要為ID為“aaaa”的用戶設置合適的上網參數,在進行這種設置操作時,我們可以先在目標DHCP服務器所在主機下面選中“作用域選項”,并右擊該選項,點選右鍵菜單中的“配置選項”選項,單擊其后選項設置界面中的“高級”選項卡,打開如圖4所示的選項設置頁面,我們可以在這里為ID為“aaaa”的普通計算機用戶集中設置路由地址、DNS參數、IP地址租約期限以及其他上網參數等,確保合法、安全的計算機日后直接從DHCP服務器那里獲得一切需要的上網參數;
下面我們就要將合法、安全的DHCP客戶端系統的DHCP類ID串設置為“aaaa”了,日后DHCP服務器會自動對客戶端系統的這類信息進行驗證的,如果驗證通過DHCP服務器就會認為該普通計算機系統是合法的、安全的,于是該計算機就能從它那里申請得到正確的上網參數,那樣的話這類普通計算機系統就可以順利地連接到局域網網絡中了;相反要是驗證不通過的話,那么DHCP服務器就會拒絕為之提供動態分配服務,這樣一來非法的、不安全的普通計算機自然就無法隨意連接到局域網網絡中了。在設置DHCP客戶端系統的DHCP類ID信息時,我們只要進行以下設置就可以了:
首先在普通計算機系統中依次單擊“開始”/“運行”命令,在其后的系統運行框中輸入“cmd”命令,單擊回車鍵后,進入DOS命令行工作窗口;在該窗口下,執行“ipconfig /setclassid Local Connection aaaa”字符串命令,就能將對應計算機系統本地連接的DHCP類ID名稱設置為“aaaa”了;要是目標客戶端系統中只存在一個網絡連接,那么我們還可以執行“ipconfig /setclassid * aaaa”字符串命令,將對應計算機系統本地連接的DHCP類ID名稱設置為“aaaa”。
其次將目標計算機系統的上網參數修改成從局域網DHCP服務器那里申請IP地址,我們只要從系統的“開始”菜單中依次點選“設置”/“網絡連接”選項,用鼠標右擊網絡連接列表界面中的“本地連接”圖標,執行快捷菜單中的“屬性”命令,進入目標本地連接的屬性設置對話框,選中其中的“常規”選項卡,并在對應選項設置頁面中點選“Internet協議(TCP/IP)”選項,再單擊“屬性”按鈕,打開TCP/IP協議屬性窗口,從中選擇“自動獲得IP地址”、“自動獲得DNS服務器地址”等選項,***點擊“確定”完成上述設置任務。
這樣的話,ID為“aaaa”的普通計算機日后要上網訪問時,會先向局域網網絡發送廣播信息申請上網地址,DHCP服務器收到請求信息后,對其ID信息進行自動驗證,驗證通過之后會自動將合適的上網參數,包括路由地址、DNS參數、IP地址租約期限以及其他上網參數等,自動分配給目標普通計算機,如此一來普通計算機就能安全訪問局域網了。 #p#
5、讓專人進行管理
在規模較大的單位中,可能有多個網絡管理員,如果每一位網絡管理員都可以隨意管理DHCP服務器,那么該服務器的工作穩定性可能就會受到破壞,從而會影響整個局域網的運行穩定性。為了提高局域網的工作穩定性,我們需要讓專人管理DHCP服務器;例如,如果我們只希望讓“aaa”用戶管理DHCP服務器時,可以先以系統管理員權限登錄進入DHCP服務器所在主機系統,打開該系統的“開始”菜單,從中依次點選“設置”/“控制面板”選項,在其后出現的控制面板界面中雙擊“管理工具”,進入對應系統的管理工具列表界面,之后用鼠標雙擊其中的“Active Directory 用戶和計算機”圖標,在其后出現的設置窗口中單擊“Users”選項卡,再在對應選項設置頁面中右擊“DHCP Administrators”選項,并點選右鍵菜單中的“屬性”命令,進入“DHCP Administrators”屬性設置對話框;在該設置對話框中單擊“成員”選項卡,再單擊“添加”按鈕,當系統屏幕上出現帳號選擇框時,我們需要選中并導入“aaa”帳號,再單擊“確定”按鈕保存好上述設置操作,這樣的話“aaa”用戶日后就可以管理、維護DHCP服務器了。
當然,如果我們不小心將惡意用戶帳號加入到DHCP管理組時,那么DHCP服務器的運行安全性就容易受到非法破壞,如此一來局域網網絡的工作穩定性自然也就會受到一定程度的影響。其實,我們可以對DHCP管理組帳號進行更嚴格的限制,以防止網絡管理員出現誤操作,影響局域網的運行穩定性;現在我們可以依照下面的設置,來指定DHCP管理組下面的某一個特定用戶才有權限對DHCP服務器進行管理維護,其他任何人都能隨意對之進行管理維護:
首先以系統管理員權限登錄進入DHCP服務器所在主機系統,打開該系統桌面中的“開始”菜單,從中逐一點選“設置”、“控制面板”選項,在其后的控制面板界面中雙擊“管理工具”,進入對應系統的管理工具列表界面,之后用鼠標雙擊其中的“域安全策略”圖標,進入安全策略控制臺窗口;
其次在該控制臺窗口的左側子窗格中,用鼠標選中“Windows設置”節點選項,從該節點下面依次展開“安全設置”/“受限制的組”子項,在“受限制的組”子項對應的右側子窗格中,用鼠標右鍵單擊其中的空白區域,并點選右鍵菜單中的“添加組”命令,然后將新創建的組名稱設置為“DHCP Administrators”;
選中之前新添加的“DHCP Administrators”組帳號,同時用鼠標右擊該帳號,再單擊右鍵菜單中的“安全性”命令,進入配置成員身份設置對話框,單擊其中的“添加”按鈕,將我們希望授權的指定帳戶名稱加入到成員列表中,***單擊“確定”按鈕保存好上述設置操作,這樣的話DHCP administrators組中只有我們授權的特定帳戶才可以管理維護DHCP服務器了,其他人是不能隨意對它進行管理的。
【編輯推薦】
