管理好DHCP服務器 為企業(yè)網(wǎng)管員減負
在組網(wǎng)規(guī)模較大的工作環(huán)境中,網(wǎng)絡管理員如果不能找到一種有效的辦法來管理、維護網(wǎng)絡,那么他日后的工作效率將會變得很低,在不降低工作質量的情況下網(wǎng)絡管理員的工作強度將會變得更大。那么網(wǎng)絡管理員該如何為自己減負,讓自己從頻繁的簡單勞動中解放出來呢?其實,善于管理DHCP服務器就是一種為網(wǎng)管減負的好方法;整個管理DHCP服務器的過程,設置最為關鍵,合理設置真正可以讓網(wǎng)絡管理一勞永逸!
1、設置租用期限,避免地址頻繁變動
在默認狀態(tài)下,局域網(wǎng)中的客戶端系統(tǒng)從DHCP服務器那里申請獲得IP地址后,只能使用8天的時間,超過這個期限后,就必須重新向DHCP服務器申請IP地址;很顯然,客戶端系統(tǒng)的IP地址如果頻繁發(fā)生變化時,將會帶來很多的潛在問題,例如發(fā)生地址沖突問題,網(wǎng)絡訪問不正常問題,這些問題將會嚴重影響網(wǎng)絡管理效率,增加網(wǎng)絡管理員的工作負荷。
為了提高網(wǎng)絡管理效率,為網(wǎng)絡管理工作減負,我們可以巧妙設置IP地址的租用期限,保證客戶端系統(tǒng)申請得到的IP地址可以一直使用下去。在設置租用期限時,我們可以先以超級權限登錄進入DHCP服務器系統(tǒng),打開對應系統(tǒng)的“開始”菜單,從中依次單擊“設置”、“控制面板”選項,在彈出的系統(tǒng)控制面板窗口中逐一點選“管理工具”、“DHCP”功能圖標,進入DHCP服務器控制臺界面;
其次展開DHCP服務器控制臺界面左側的目標主機選項,同時從該選項下面選中目標作用域,并用鼠標右鍵單擊該作用域,再點選快捷菜單中的“屬性”命令,彈出目標作用域屬性設置界面;
點擊其中的“常規(guī)”選項卡,打開如圖1所示的選項設置頁面,我們可以在這里看到DHCP服務器分配給客戶端系統(tǒng)的IP地址使用時間默認為8天,此時為了讓DHCP服務器能夠固定地將IP地址分配給客戶端計算機,我們必須選中“無限制”選項,最后點擊“確定”按鈕執(zhí)行設置保存操作,這么一來DHCP客戶端的IP地址就能一直使用下去了,那么局域網(wǎng)中就不會輕易發(fā)生地址沖突、網(wǎng)絡訪問不正常等故障現(xiàn)象了。
2、設置保留地址,避免網(wǎng)絡訪問出錯
很多時候,局域網(wǎng)中的一些重要主機需要向普通客戶端系統(tǒng)提供網(wǎng)絡服務,如果這些重要主機的IP地址頻繁變化時,那么客戶端系統(tǒng)在嘗試訪問它們時,就很容易出現(xiàn)網(wǎng)絡訪問出錯的故障現(xiàn)象。為了保證網(wǎng)絡訪問穩(wěn)定,我們可以在DHCP服務器上設置保留地址,讓這些保留地址專門用于那些重要的主機,確保它們一直使用固定的IP地址對外提供服務;在設置保留地址時,我們可以按照下面的操作來進行:
首先按照前面操作打開DHCP服務器控制臺窗口,從該窗口左側列表區(qū)域逐一展開目標主機、作用域分支選項,在目標分支選項下面選中“保留”子項,同時用鼠標右鍵單擊該子項,從彈出的快捷菜單中點選“新建保留”命令,進入如圖2所示的設置對話框;
其次在保留名稱文本框中輸入合適的保留地址用途信息,在保留地址文本框中輸入需要固定分配給重要主機的IP地址,在MAC地址文本框中輸入重要主機的網(wǎng)卡物理地址,再單擊“添加”按鈕,完成保留地址的設置任務。
在DHCP服務器系統(tǒng)中設置好保留地址后,我們還需要登錄進入重要主機系統(tǒng),依次單擊該系統(tǒng)桌面上的“開始”/“設置”/“網(wǎng)絡連接”命令,在彈出的網(wǎng)絡連接列表窗口中右擊本地連接圖標,執(zhí)行快捷菜單中的“屬性”命令,打開目標本地連接屬性設置窗口,選中該窗口中的TCP/IP協(xié)議選項,單擊“屬性”按鈕,在其后的TCP/IP協(xié)議選項設置窗口中將保留IP地址正確填寫好,最后單擊“確定”按鈕,那樣一來重要主機日后就會自動使用保留地址來對外提供服務了,而其他客戶端系統(tǒng)是無法搶用該地址的,此時重要主機的網(wǎng)絡訪問穩(wěn)定性就能有保障了。
3、設置用戶類別,避免網(wǎng)絡病毒傳播
大家知道,當感染了網(wǎng)絡病毒的計算機連接到網(wǎng)絡后,病毒可能會通過網(wǎng)絡傳播給其他計算機,最終會導致整個網(wǎng)絡發(fā)生癱瘓現(xiàn)象,從而會給網(wǎng)絡管理工作帶來麻煩。其實,在DHCP服務器系統(tǒng)中,我們可以為客戶端系統(tǒng)設置用戶類別,保證只有指定的安全用戶才能連接到網(wǎng)絡中,那些陌生的或不安全的客戶端系統(tǒng)是無法從DHCP服務器那里獲得IP地址以及其他上網(wǎng)參數(shù)的,這樣就能禁止不安全的計算機將網(wǎng)絡病毒傳播給其他計算機了。在設置DHCP服務器的用戶類別時,可以按照下面的步驟來操作:
首先展開DHCP服務器控制臺窗口中的目標主機選項,用鼠標右擊該主機名稱,點選右鍵菜單中的“定義用戶類別”選項,從彈出的設置窗口中設置好新用戶類別的名稱為“anquan”,同時按照實際需要設置好該用戶類別的描述說明信息;之后,在ASCII區(qū)域輸入“anquan”,此時在ID區(qū)域就會自動生成對應“anquan”用戶類別的ID標識符信息,日后DHCP服務器會利用該信息來驗證客戶端系統(tǒng)是否符合安全規(guī)定;
其次從DHCP服務器控制臺窗口中的目標主機下面右擊“作用域選項”,并點選快捷菜單中的“配置選項”命令,之后點擊“高級”標簽,打開高級標簽設置頁面,在這里我們可以正確設置好普通客戶端系統(tǒng)正常上網(wǎng)時需要使用的默認網(wǎng)關地址、DNS服務器地址等參數(shù),當然也包括IP地址以及地址的租約期限等參數(shù);
下面在需要連接到網(wǎng)絡的客戶端系統(tǒng)中,創(chuàng)建好符合DHCP服務器安全驗證要求的DHCP類ID串。例如,在這里DHCP服務器規(guī)定只有DHCP用戶類別名稱為“anquan”的客戶端系統(tǒng),才能從DHCP服務器那里獲得正確的上網(wǎng)參數(shù)進行網(wǎng)絡連接;為此,我們需要人工為那些安全的客戶端系統(tǒng)創(chuàng)建一個名為“anquan”的DHCP類ID串;在進行這種操作時,我們可以先打開客戶端系統(tǒng)的DOS命令行工作窗口,在其中執(zhí)行“ipconfig /setclassid Local Connection anquan”字符串命令,那樣一來目標客戶端系統(tǒng)就能順利通過DHCP服務器的安全驗證了,驗證通過之后,DHCP服務器就會將正確的上網(wǎng)參數(shù)分配給目標客戶端系統(tǒng),此時客戶端系統(tǒng)就能安全連接到局域網(wǎng)中了。
除配置好上述參數(shù)外,我們還需要將目標客戶端系統(tǒng)的IP地址設置成“自動獲得IP地址”;在默認狀態(tài)下,普通客戶端系統(tǒng)使用的都是自動獲得IP地址方式進行網(wǎng)絡連接的,因此我們一般不需要單獨進行這種設置操作。日后,局域網(wǎng)中只有經(jīng)過用戶類別設置操作的客戶端系統(tǒng)才能連接網(wǎng)絡,而那些包含病毒或其他不安全因素的客戶端系統(tǒng)則無法從DHCP服務器系統(tǒng)那里獲得上網(wǎng)參數(shù),那么網(wǎng)絡病毒自然也就不能通過網(wǎng)絡通道進行非法傳播了。
4、集中授權管理,保證網(wǎng)絡運行穩(wěn)定
在規(guī)模比較大的網(wǎng)絡環(huán)境中,可能同時存在多臺DHCP服務器,并且這些DHCP服務器可能同時由多位網(wǎng)絡管理員來管理;很顯然,如果多位網(wǎng)絡管理員不停地改變DHCP服務器,就可能會影響網(wǎng)絡的運行穩(wěn)定性。為了保證網(wǎng)絡運行穩(wěn)定,我們必須對多臺DHCP服務器進行集中管理,同時要對網(wǎng)絡管理員進行授權管理,以避免DHCP服務器的設置被隨意改動,下面就是具體的設置步驟:
首先將局域網(wǎng)中的DHCP服務器全部加入到活動目錄中,并在主域控制器中依次單擊“開始”、“設置”、“控制面板”命令,在彈出的控制面板窗口中雙擊“管理工具”圖標,打開對應系統(tǒng)的管理工具列表窗口;
其次用鼠標雙擊該列表窗口中的“Active Directory用戶和計算機”功能選項,之后逐一點選“Users”、“DHCP Administrators”組,打開成員選項設置頁面,在這里將那些的確可以信任的網(wǎng)絡管理員賬號添加進來;
下面逐一展開主域控制器中的“域安全策略”、“Windows設置”、“安全設置”節(jié)點選項,再從目標節(jié)點下面選中受限制的組,同時將默認的DHCP Administrators組也加入進來,之后展開DHCP Administrators組屬性設置界面,在該界面的“安全性”設置頁面中,將可以管理DHCP服務器的用戶賬號添加到該組中,最后單擊“確定”按鈕保存好設置操作,這么一來只有被授權的網(wǎng)絡管理員才能管理DHCP服務器,其他網(wǎng)絡管理員是沒有資格隨意管理DHCP服務器的。
5、保護有效DHCP,避免地址沖突現(xiàn)象
很多網(wǎng)絡設備往往都自帶有DHCP服務器,并且在默認狀態(tài)下它們都處于啟用運行狀態(tài),當將這些網(wǎng)絡設備接入到局域網(wǎng)中時,它們自帶的DHCP服務器可能會危害到局域網(wǎng)中有效DHCP服務器的工作穩(wěn)定性,同時特別容易引發(fā)類似地址沖突故障現(xiàn)象。為了避免地址沖突現(xiàn)象,我們需要將局域網(wǎng)中有效的DHCP服務器保護起來,避免其他的DHCP服務器對它產生沖擊,下面就是具體的保護步驟:
首先以超級權限登錄進入局域網(wǎng)主域控制器系統(tǒng),打開該系統(tǒng)桌面上的“開始”菜單,從中依次點選“程序”、“管理工具”、“DHCP”選項,彈出DHCP控制臺窗口;從該窗口的左側列表區(qū)域展開目標主機選項,同時右擊該主機選項,從彈出的右鍵菜單中點選“添加服務器”命令,打開如圖4所示的設置對話框;
其次單擊該對話框中的“瀏覽”按鈕,從其后出現(xiàn)的計算機瀏覽窗口中,找到局域網(wǎng)中有效DHCP服務器所在的主機系統(tǒng)名稱,并將該主機名稱添加進來,當然我們也可以直接將有效DHCP服務器所在的主機系統(tǒng)名稱填寫在“此服務器”文本框中,再單擊“確定”按鈕執(zhí)行設置保存操作。如此一來,局域網(wǎng)指定域中的任何一臺客戶端系統(tǒng)日后連接到本地網(wǎng)絡時,就會自動向指定域中的DHCP服務器申請IP地址了,而不會向其他DHCP服務器申請地址了,那么地址沖突現(xiàn)象就不會輕易發(fā)生了。
【編輯推薦】
