如果是域控制器,在安装时也会随着Active Directory的安装而自动安装,与DNS服务器一样。同样,与DNS服务器一样,DHCP服务器也不一定非要在域控制器上安装,也可在其他成员服务器上安装。当然首先得安装DHCP服务组件,不过这在介绍DNS服务组件时已作了相应的说明,在此不再赘述。本节具体介绍DHCP服务器的安装方法。
一 安装DHCP服务器的非常好的操作
以下是在安装DHCP服务器时的建议操作。
(1)将80/20设计规则用于平衡地址的作用域分布,通过配置多个DHCP服务器来为相同作用域提供服务
在相同子网上使用多个DHCP服务器为DHCP客户端服务将提供更强的容错能力。在有两个DHCP服务器的情况下,如果一个服务器不可用,那么另一个服务器可以取代它并继续租用新的地址或续订现有客户端。在两个DHCP服务器之间平衡单个网络和地址作用域范围的通常做法是让一个DHCP服务器分配80%的地址,而剩余的20%则由第二个服务器提供。
(2)在LAN环境中的每个子网上对多个DHCP服务器使用超级作用域
启动时,每个DHCP客户端都将DHCP发现消息(DHCPDISCOVER)广播给本地子网以尝试查找DHCP服务器。由于DHCP客户端在初始启动期间使用了广播,所以如果在同一子网中有多个活动的DHCP服务器,那么您将无法预见哪个服务器会响应客户端的DHCP发现请求。例如,如果有两个DHCP服务器服务于同一子网及其客户端,那么任一服务器都可以为客户端提供租用服务。分配给客户端的实际租约取决于哪个服务器首先响应特定的客户端。之后,当该客户端试图续订时,起先由客户端在获取租约时选定的服务器可能无法使用。
如果续订失败,客户端将延迟续订租约的尝试直至它进入重新绑定状态。在这种状态下,客户端在子网上进行广播,以便定位有效的IP配置并在网络上不中断地继续进行下去。此时,其他DHCP服务器可能对客户端请求作出响应。如果出现这种情况,响应的服务器可能在应答中发送DHCP否定确认消息(DHCPNAK)。即使起先为客户端提供租用服务的原始服务器在网络上可用,也可能发生这种情况。
若要在相同子网上使用多个DHCP服务器时避免产生这些问题,请使用一个在所有服务器上配置相似的新的超级作用域。超级作用域应包含子网中的所有有效作用域作为其成员作用域。在各台服务器上配置成员作用域时,地址只能在子网上的某一个可用DHCP服务器上可用。对于子网上的所有其他服务器,在配置相应作用域时,应对相同的地址作用域范围使用排除范围。
(3)仅在需要从服务中永久删除作用域时,停用作用域
一旦激活了作用域,除非您准备在网络上撤消该作用域及其所包含的地址范围,否则不要停用作用域;一旦停用了作用域,DHCP服务器就不再将那些作用域地址作为有效地址接受。这仅在需要将使用中的作用域永久撤消时才有用。否则,停用作用域将导致服务器向客户端发送不需要的DHCP否定确认消息(DHCPNAK)。
如果目的只是要暂时停用作用域地址,那么可以在活动作用域中编辑或修改排除范围,这样能够获得预期结果,同时不会造成负面影响。
(4)仅在需要时使用DHCP服务器上的服务器端冲突检测
在租用或使用地址之前,DHCP服务器或客户端可使用冲突检测功能确定IP地址是否已在网络上使用。如果运行Windows 2000或Windows XP的DHCP客户端计算机获得了IP地址,那么在完成配置并使用由服务器提供的IP地址之前,客户端会使用免费ARP请求执行基于客户端的冲突检测。如果DHCP客户端检测到冲突,它将向服务器发送DHCP拒绝消息(DHCPDECLINE)。
如果网络中存在旧版的DHCP客户端(运行Windows 2000之前的Windows版本的客户端),您可以在特定情形下使用由DHCP服务器服务提供的服务器端冲突检测。例如,该功能在删除和重建作用域时的故障恢复期间也许很有用。
在默认情况下,DHCP服务不执行任何冲突检测。要启用冲突检测,请增加在客户端租用地址之前DHCP服务对每个地址执行ping操作的次数。请注意,DHCP服务每多执行一次额外的冲突检测尝试,都会使DHCP客户端协商租约时所需的秒数增加。通常,如果使用DHCP服务器端冲突检测,您应该设置由服务器进行的冲突检测尝试次数,最多使用一次或两次ping尝试。这将在不降低DHCP服务器性能的条件下达到预期效果。
(5)应该在所有可能为保留的客户端提供服务的DHCP服务器上创建保留
可以使用客户端保留来确保DHCP客户端计算机在启动时总是收到相同的IP地址租约。如果有多个DHCP服务器供保留客户端访问,那么请在其他每个DHCP服务器上添加保留。
这将允许其他DHCP服务器服从为保留客户端创建的客户端IP地址保留。如果DHCP服务器要对客户端保留进行操作,那么相应的保留地址必须是该服务器可用地址池中的一部分,而您可以在其他DHCP服务器上创建相同的保留来把该地址排除在外。
(6)对于服务器的性能,请注意DHCP需要频繁使用磁盘,因此需要购买具有非常好的磁盘性能的硬件
DHCP需要对服务器硬盘进行频繁操作。为提供非常好的性能,在为服务器计算机购买硬件时可以考虑采用能够改善磁盘访问性能的RAID解决方案。评估DHCP服务器的性能时,应把DHCP作为整个服务器完整性能评估的一部分。通过在利用率最高的区域(CPU、内存、磁盘输入/输出)监视系统硬件性能,您可以准确地评估DHCP服务器何时过载或需要升级。
(7)坚持使用审核日志以便用于故障排除
在默认情况下,DHCP服务启用服务相关事件的审核记录。审核日志提供了一种长期的服务监视工具,从而保证对服务器磁盘资源的限制性使用和安全使用。
(8)对使用路由和远程访问服务进行远程访问的DHCP客户端减少租用时间
如果在网络上使用路由和远程访问服务来支持拨号客户端,那么您可以在为这些客户端提供服务的作用域上将租用时间调整为小于默认值(8天)。在作用域中支持远程访问客户端的一种推荐方式是,添加并配置为标识客户端而提供的内置Microsoft供应商类别。
(9)如果可用地址空间足够,那么可以为大型、稳定且固定的网络延长作用域租约期限
对于小型网络(例如,未使用路由器的物理LAN),默认的租约期限通常是8天。对于较大的路由网络,可以考虑将作用域租用时间延长,如16~24天。这样可以减少与DHCP相关的网络广播通信,特别是当客户端一般保持在固定位置而且作用域地址充足(至少有20%或更多的地址仍可使用)时更为有效。
(10)将DHCP与其他服务集成,如WINS和DNS
WINS和DNS都可用于在网络上注册动态的名称到地址的映射。要提供名称解析服务,必须对DHCP与这些服务的交互操作进行规划。大多数实施DHCP的网络管理员也要规划DNS和WINS服务器的实施策略。
(11)对于路由网络,请使用中继代理或设置相应的定时器来避免对BOOTP和DHCP消息通信进行不必要的转发和中继
如果有多个物理网络通过路由器连接在一起,而且并非所有网络段中都存在DHCP服务器,那么路由器必须能够中继BOOTP和DHCP通信。如果没有这样的路由器,您可以在每个路由子网中的某一台运行Windows Server 2003的服务器上安装DHCP中继代理组件。中继代理将中转本地物理网络上启用DHCP的客户端和位于另一物理网络上的远程DHCP服务器之间的DHCP和BOOTP消息通信。
使用中继代理时,必须设置在把消息转发到远程服务器之前中继代理等待的初始延时时间(以秒计算)。中继代理的详细配置参见本章后面的相关介绍。
(12)根据网络上启用DHCP的客户端数量使用适当数量的DHCP服务器
在小型LAN中(例如,一个不使用路由器的物理子网中),单个DHCP服务器就可以向所有启用了DHCP的客户端提供服务。对于路由网络,需要增加的服务器数量由下面几个因素决定:启用DHCP的客户端数量、网段之间的传输速度、网络链路速度、DHCP服务用于整个企业网络还是仅用于选定的物理网络、网络的IP地址类。有关决定安装多少DHCP服务器的详细信息,请参见上节"规划DHCP网络"。
(13)对于由DHCP服务执行的DNS动态更新,请使用默认的客户端首选设置
可以将Windows Server 2003 DHCP服务配置成按照客户端所请求的更新执行方式为DHCP客户端执行DNS动态更新。该设置提供了代表客户端执行动态更新的DHCP服务非常好的使用方法,如下所示。
运行Windows 2000、Windows XP或Windows Server 2003操作系统的DHCP客户端计算机会显式请求DHCP服务器仅更新在DNS中用来反向查找和将客户端的IP地址解析成其名称的指针(PTR)资源记录。这些客户端为其本身更新地址(A)资源记录。
运行Windows早期版本的客户端不能显式请求DNS动态更新协议首选项。对于这些客户端,DHCP服务将同时更新其PTR和A资源记录(如果该服务已被配置成这样做)。
(14)在DHCP服务器控制台中使用手动的备份和恢复方法
使用DHCP控制台【操作】菜单中的【备份】命令,可以按照一定的时间间隔执行DHCP服务的完全备份,这样可防止丢失重要数据。使用手动备份方法时,所有的DHCP服务器数据都将包含在备份中,其中包括所有的作用域信息、日志文件、注册表项,以及DHCP服务器配置信息(DNS动态更新凭据除外)。请不要将这些备份保存在安装了DHCP服务的硬盘上,而且需要确保该备份文件夹的访问控制列表(ACL)中仅含有Administrators组和DHCPAdministrator组两个成员。除执行手动备份之外,还应备份到其他位置(如磁带驱动器),并确保未经授权的用户无法访问备份副本。为此,您可以使用Windows备份。
还原DHCP服务时,请使用通过手动【备份】命令创建的备份,或使用由DHCP服务借助同步备份功能创建的数据库副本。此外,还有以在DHCP控制台中使用其【操作】菜单上的【还原】命令来还原DHCP服务器。
(15)按照推荐过程将DHCP服务器数据库从旧的服务器计算机硬件移动到新硬件
移动DHCP服务器数据库可能会产生问题。为了更轻松地管理服务器数据库的移动,请选择并遵循经过Microsoft产品支持服务使用和尝试的过程,如下所示。
要在同一台服务器计算机上还原服务器数据,请用系统工具中的"备份"工具进行;要将DHCP服务器数据转移到另一台服务器计算机上(如在硬件出现故障或进行数据恢复时),请执行DHCP服务器控制台右键快捷菜单中的【备份】命令,将DHCP数据库移动到另一台服务器。
具体的DHCP服务器备份和还原参见本系列丛书中的《网管员必读--网络管理》(第2版)一书中的详细介绍。
(16)在安装DHCP服务器之前,请明确如下各项
DHCP服务器的硬件和存储要求。
哪些计算机可以立即配置为具有动态TCP/IP配置的DHCP客户端,哪些计算机需要使用静态TCP/IP配置参数和静态IP地址手动配置。
为DHCP客户端预定义的DHCP选项类型和值。
二 DHCP服务器安装的基本思路
如果是域控制器,在安装时DHCP服务器会随着Active Directory的安装而自动安装,但也只是基本的安装。与DNS服务器一样,DHCP服务器也可以在其他成员服务器上安装。具体的DHCP服务组件的安装与上一章的DNS服务组件一样,只是所选的组件不再是"域名系统(DNS)",而是"动态主机配置协议(DHCP)"选项,如图9所示。
具体的配置过程在此不再赘述。本节也仅介绍成员服务器上全新安装DHCP服务器的方法。为了更好地理解DHCP服务器安装过程,现假设本示例所安装的DHCP服务器采用以下基本配置。
安装DHCP服务器要能为整个网络中,除各服务器以外的计算机提供IP地址自动分配服务,IP地址网段为192.168.0.5~192.168.0.254。
采用域控制器上安装的DNS服务器为客户端提供名称解析。
采用域控制器上安装的WINS服务器提供NetBIOS名称解析。
DHCP服务器的安装也是通过"配置您的服务器向导"对话框进行的,整个过程非常简单。在安装前也需要先把成员服务器加入到相应域中间,成员服务器加入域的方法请参见本书的第13章。因为本示例中采用的是上一章安装DNS服务器的同一台成员服务器,已加入到域中,所以不必重新配置。然后在"配置您的服务器向导"中指定DHCP服务器的作用域IP地址段,设置为客户端进行名称解析的DNS服务器、父域、WINS服务器等选项即可。
三 DHCP服务器的全新安装
DHCP服务器的安装也是通过简易的向导方式进行的,非常容易掌握。具体的安装方法如下。
(1)执行【开始】→【管理工具】→【配置您的服务器向导】菜单命令,打开的"配置您的服务器向导"对话框的首界面如图10所示。
(2)直接单击【下一步】按钮,进入如图11所示的界面。
(3)单击【下一步】按钮,进入如图12所示的界面。在这个界面中要选择安装的服务器角色,在此选择"DHCP服务器"选项。同样此时在此选项的"已配置"列中必须显示的是"否"状态,否则此时执行后续的步骤就是删除DHCP服务器,而非安装DHCP服务器。
(4)单击【下一步】按钮,进入如图8-13所示的界面。在此显示了上一步的选择总结,并显示"运行新建作用域向导来配置一个新的DHCP作用域"的提示。
(5)单击【下一步】按钮,系统开始配置相应的组件,然后打开如图14所示的"新建作用域向导"对话框首界面。
(6)单击【下一步】按钮,进入如图15所示的界面。在此要求输入一个用于标识新作用域的作用域名称,也可以在"描述"文本框中加上适当的描述说明。
(7)单击【下一步】按钮,进入如图16所示的界面。在此要求指定作用域的IP地址范围。如果是子网,还可调整下面的"长度"(网络ID部分长度)和"子网掩码"的值的精确范围。这两个值是相互对应、互相支持的。
(8)单击【下一步】按钮,进入如图17所示的界面。在这里可以排除上一步指定的作用域IP地址范围中的一些要固定给某些主机使用的IP地址,如某应用服务器的IP地址。
(9)单击【下一步】按钮,进入如图18所示的界面。在这里要设置分配给客户端的IP地址租约期限。系统默认为8天,通常还应调整到更短期限(如10小时),以减少IP地址的无效占用。到了租约期后IP地址会释放,其他客户端就可重新获得释放的IP地址。但是如果到期时相应客户端仍在线,则该客户端有优先获得其原来租用的IP地址的权限,继续重新租用。
(10)单击【下一步】按钮,进入如图19所示的界面。这里要求确认是否需要立即配置DHCP选项,在此选择"是,我想现在配置这些选项"单选项。对于小型网络可以不用配置。
(11)单击【下一步】按钮,进入如图20所示的界面。在此可以添加不同子网中使用的路由IP地址,也即默认网关地址。这样DHCP服务器就可为多个不同子网客户端分配IP地址。
(12)单击【下一步】按钮,进入如图21所示的界面。在此可以指定作用域客户机使用DNS服务器进行名称解析时的父域,也只是在存在子网的网络中需要配置。然后在下面配置作用域客户机所用的DNS服务器名称和地址。
(13)单击【下一步】按钮,进入如图22所示的界面。在这里可以配置要使用WINS服务进行名称解析的早期Windows客户机指定WINS服务器名称和IP地址。当然可以与DNS服务器、DHCP服务器等在同一主机上安装。如果网络中没有运行Windows 9x/NT系统的客户机,则可不用配置。
(14)单击【下一步】按钮,进入如图23所示的界面。在此要选择是否立即激活所创建的作用域。这里选择"是,我想现在激活此作用域"单选项。
(15)单击【下一步】按钮即可进入如图24所示的向导完成界面。单击【完成】按钮结束DHCP服务器的安装与配置。此时系统要求重新启动系统。重新启动后弹出如图25所示的对话框界面。单击【完成】按钮完成整个DHCP服务器安装、配置过程。可单击"'配置您的服务器向导'日志"链接查看配置日志记录。单击"查看此角色下面的步骤"链接查看可针对此服务器角色进行的后续步骤。
安装好了DHCP服务器,执行【开始】→【管理工具】→【DHCP】菜单命令,即可打开DHCP控制台窗口,如图26所示。从图中可以看到此服务器图标上有一个红色的向下箭头,表明此服务器的当前状态并未激活,也就是在安装后并没有马上开始工作,而是要通过服务器授权才可进行。
服务器授权的方法很简单,只需在如图26所示的DHCP控制台窗口的DHCP服务器上单击鼠标右键,在弹出的快捷菜单中选择【授权】命令,即可完成。完成后的DHCP服务器才开始正常工作,为客户端提供自动IP地址分配。激活后的DHCP服务器图标为绿色的向上箭头,如图27所示。
