在规模稍微大一点的局域网环境中,相信多数人都在不知不觉地享受着DHCP服务器为他们提供的地址分配“服务”,不过在尽情享受服务的同时,我们有时也会遭遇到无法获取IP地址或者IP地址发生冲突的尴尬。
作者:zdnet安全频道 来源:论坛整理 2008年10月21日
关键字: 服务器 DHCP
在规模稍微大一点的局域网环境中,相信多数人都在不知不觉地享受着DHCP服务器为他们提供的地址分配“服务”,不过在尽情享受服务的同时,我们有时也会遭遇到无法获取IP地址或者IP地址发生冲突的尴尬。事实上,这些尴尬往往是由于DHCP服务器工作不稳定或者设置不当引起的;要想让DHCP服务器高效、优质地为我们提供“服务”,我们还需要从DHCP服务器自身进行深入挖掘,及时总结一些新鲜的管理维护技巧!
巧妙绑定,保护预留地址
一般来说,网络管理员常常会在DHCP服务器中预留部分IP地址,用于局域网中的一些重要主机;不过,要是我们不对这些预留的IP地址采取措施进行保护的话,那么重要主机很有可能会在日后的运行中突然发生IP地址冲突故障。那么我们该如何来保护DHCP服务器中的预留IP地址,避免这些地址被局域网中的其他用户抢用过去呢?相信许多人都会下意识地想到地址绑定操作!
不错,要避免某台工作站的IP地址被他人抢用,我们可以通过执行字符串命令“arp -s IP MAC”,将目标IP地址与特定网卡设备绑定在一起,然而这种方法却无法绑定DHCP服务器中的预留IP地址。为了将DHCP服务器中的预留地址绑定在目标网卡设备上,我们可以按照如下步骤来完成地址绑定操作:
首先以超级管理员权限进入到DHCP服务器所在的主机系统,并在该系统桌面中依次单击“开始”/“运行”命令,从弹出的系统运行对话框中输入字符串命令“cmd”,单击“确定”按钮后,系统屏幕将会自动被切换到MS-DOS工作窗口。
其次在该窗口的命令提示符下,输入Netsh Dhcp Server aa.aa.aa.aa Scope bb.bb.bb.bb Add reservedip cc.cc.cc.cc dd.dd.dd.dd “user” “Client” “Both”字符串命令,其中aa.aa.aa.aa表示DHCP服务器所在的主机IP地址,bb.bb.bb.bb表示主机的掩码地址,cc.cc.cc.cc表示被预留使用的目标IP地址,dd.dd.dd.dd表示重要主机的网卡物理地址,“user”指的是登录DHCP服务器所在主机系统的帐号名称,“Server”指的是从服务器端执行地址绑定操作,“Both”指的是从服务器那里获取预留地址,单击回车键后,上述字符串命令就能将DHCP服务器中的预留IP地址cc.cc.cc.cc绑定到网卡物理地址为dd.dd.dd.dd的重要主机上了。
比方说,DHCP服务器所在主机的IP地址要是为10.176.6.6,现在我们要将该服务器中预留出来的IP地址10.176.6.16绑定到网卡物理地址为11-22-33-44-55-66的重要主机上,同时该重要主机使用“999”用户名访问DHCP服务器。
要完成上述绑定操作,我们可以在DHCP服务器系统的DOS窗口中执行Netsh Dhcp Server 10.176.6.6 Scope 10.176.6.0 Add reservedip 10.176.6.16 112233445566 “999” “Server” “both”字符串命令,如此一来DHCP服务器中的预留IP地址就会被顺利绑定成功,那么局域网中的其他工作站就无法抢用该IP地址了。
巧妙限制,谨防非法管理
在局域网环境中,为了对DHCP服务器进行有效管理,我们往往要指定一个或多个特定用户才能对DHCP服务器执行管理和维护操作,这样可以避免非法用户随意设置DHCP服务器,从而导致局域网用户无法正常享受到DHCP的高效“服务”。
比方说,我们要想让“xxx”帐号管理DHCP服务器时,可以在DHCP服务器所在的主机系统中,依次单击“开始”/“设置”/“控制面板”命令,从弹出的控制面板窗口中双击“管理工具”图标,打开管理工具列表窗口,之后运行该窗口中的“Active Directory 用户和计算机”功能,在其后打开对话框中,单击“Users”标签,然后在对应标签页面中用鼠标右键单击“DHCP Administrators”项目,从弹出的快捷菜单中单击“属性”命令,打开“DHCP Administrators”属性设置窗口。
单击该设置窗口中的“成员”标签,再单击对应标签页面中的“添加”按钮,从其后出现的帐号选择对话框中将“xxx”帐号导入进来,最后单击“确定”按钮,如此一来“xxx”帐号就有权利对DHCP服务器进行管理和维护了。
不过,要是我们不小心将非法用户添加到DHCP管理组时,那么该非法用户就可能对DHCP服务器进行非法破坏,这么一来也会影响普通用户享受DHCP服务器的地址分配服务。那么我们能否对DHCP管理组的用户帐号进行进一步限制呢?
答案是肯定的,按照如下步骤我们可以让DHCP管理组中的特定帐号才有权利管理DHCP服务器,其他帐号即使被加入到DHCP管理组中,也没有权利对DHCP服务器进行管理和维护:
首先在DHCP服务器所在的主机系统中,依次单击“开始”/“设置”/“控制面板”命令,从弹出的控制面板窗口中双击“管理工具”图标,打开管理工具列表窗口,之后运行该窗口中的“域安全策略”功能,打开安全策略管理界面。
其次在该管理界面的左侧显示区域,用鼠标依次选中“Windows设置”/“安全设置”/“受限制的组”分支选项,在对应“受限制的组”分支选项的右侧显示区域中,用鼠标右键单击空白位置,从弹出的快捷菜单中单击“添加组”命令,打开如下图所示的添加组设置窗口,在该设置窗口中输入“DHCP Administrators”字符串内容后,单击“确定”按钮返回。
下面再选中刚刚加入的“DHCP Administrators”选项,并用鼠标右键单击该选项,从弹出的右键菜单中执行“安全性”命令,打开配置成员身份设置窗口,单击该窗口中的“添加”按钮,将“xxx”帐户加入到成员列表中,再单击“确定”按钮,如此一来DHCP administrators管理组中只有“xxx”帐户能够对DHCP服务器进行管理和维护,这样的话DHCP服务器运行安全性以及稳定性就会得到大大提升了。
巧妙搭建,跨网分配地址
我们知道,DHCP服务器下面的每一个作用域只能对某一个工作子网有效,而一个工作子网最多只包含253个有效IP地址,这么说来,难道DHCP服务器只能同时为253台工作站提供地址分配服务?我们能否让DHCP服务器将多个工作子网中的所有有效IP地址集中在一起,以便让DHCP服务器能够为局域网所有工作子网中的工作站智能提供IP地址分配服务呢?
答案是肯定的!我们可以按照如下步骤巧妙搭建DHCP服务器,确保该服务器能够将各个工作子网中的有效地址集中组合在一起,同时使用同一个作用域名称对外提供地址分配服务:
为了让各个工作子网中的有效地址集中到同一台DHCP服务器中,我们首先需要在DHCP服务器下面创建一个超级作用域,当然在创建该超级域前我们一定要确保每一个工作子网在DHCP服务器中都有一个对应的作用域,这么一来所有工作子网的地址使用范围都被集中到DHCP服务器中了。
为了让所有工作子网的地址组合成一个整体,我们可以打开DHCP服务器控制台窗口,右击该窗口左侧区域的目标服务器名称,并执行右键菜单中的“新建超级作用域”命令,进入到超级作用域创建向导界面,按照向导提示单击“下一步”按钮,之后为超级作用域取一名称,比方说“跨网分配地址”。
设置好超级作用域名称信息后,再单击向导界面中的“下一步”按钮,进入到设置对话框。
在这里,依次选中每一个工作子域选项,最后单击“完成”按钮,如此一来分散在各个工作子域中的IP地址就被组合到超级工作域中了。日后,DHCP服务器为局域网工作站提供地址分配服务时,将会把超级作用域中包含的IP地址当成是一个作用域中的地址,来为不同子网中的工作站进行跨网分配合适地址了。
巧妙设置,让服务更稳定
在长时间享受DHCP服务器提供的地址分配“服务”后,我们偶尔会碰到IP地址分配出错的故障,并且在故障发生的那一刻,DHCP控制台中的“服务器主机”前面存在感叹号标志,那么为什么会出现这种故障现象呢,我们该采取什么措施来让DHCP服务器更加稳定地为我们提供地址分配“服务”呢?
DHCP服务器如果发生地址分配出错的故障,那多数情况是由于我们没有对DHCP服务器进行正确设置引起的。遇到这种现象时,我们不妨按照前面的操作步骤进入到DHCP控制台窗口,找到DHCP服务器的目标作用域选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,在其后出现的属性界面中单击“常规”选项卡,再在对应的选项设置页面中看看目标作用域的地址使用范围是否设置得当。
或者检查IP地址的租约期限是否设置得太长,倘若地址可用数量少或者租约期限设置得比较长的话,那么DHCP服务器在长时间工作后就很容易发生IP地址分配错误的故障,这个时候我们不妨尝试扩大IP地址的使用范围,或者尝试将IP地址的租用时间缩短,相信这么一来就能缓解IP地址不够分配的现象了。
倘若上面的操作仍然无法让DHCP服务器稳定工作的话,我们可以在目标作用域的属性界面中单击“DNS”选项卡,打开如图2所示的选项设置页面,将该页面中的“根据下面的设置启用DNS动态更新”项目选中,同时选中“只有在DHCP客户端请求时才动态更新DNS A和PTR记录”和“在租约被删除时丢弃A和PTR记录”。
接着单击“高级”选项卡,并看看对应选项设置页面中的“动态为以下客户端分配IP地址”设置项是否将“仅DHCP”项目选中了,要是没有选中的话,那就很容易发生IP地址分配出去后无法回收的故障,或者发生IP地址被快速消耗的故障等,所以正确设置DHCP服务器的工作参数,是确保DHCP服务器高效稳定工作的前提。