这是Windows DHCP最佳实际和技巧的最终指南。

如果您有任何最佳做法或技巧,请在上面的评论中公布它们。

在本指南(二)中,我将分享以下DHCP最佳实际和技巧

  1. 从DHCP作用域中排除IP
  2. 理解PowerShell DHCP命令
  3. 子网划分和网络分段的益处
  4. DHCP租约期限提醒

从DHCP作用域中排除IP

创立DHCP作用域时,倡议不要为动态IP调配排除一小部分范畴。是的,我在上一个技巧中晓得我说过不应用动态调配,然而基础设施设施将须要它。

您的网络将具备一个默认路由,该默认路由将是路由器,因而您相对心愿将其排除在DHCP池之外。您可能还会遇到其余须要动态IP的设施,因而最好将这些设施的排除的IP在DHCP池中设置一个较小范畴较。例如,我看到了各种须要动态IP的警报和安全设备,因而我只提供排除范畴内的IP。

这是用于工作站和笔记本电脑的数据VLAN的屏幕截图,其中排除了10.2.10.1至10.2.10.10。

理解PowerShell DHCP命令

应用DHCP控制台(dhcpmgmt.ms)并没有错,然而PowerShell很棒,并且简化了许多工作。如果您的大型网络具备数百个DHCP作用域,那么应用PowerShell将节俭大量工夫。

这里有一些命令能够帮忙您入门。

装置DHCP角色

Install-WindowsFeature -IncludeManagementTools DHCP

备用DHCP服务器

 Backup-DhcpServer -ComputerName "dhcp1.ad.activedirectorypro.com" -Path "C:\Windows\system32\dhcp\backup"

查看DHCP租约

Get-DhcpServerv4Scope | Get-DhcpServerv4Lease

从MAC地址查找DHCP租约

Get-DhcpServerv4Scope |Get-DhcpServerv4Lease |where {$_.ClientId -like “b4-b6-86-b4-**-**” }

增加DHCP作用域

Add-DHCPServerv4Scope -EndRange 10.2.1.254 -Name Vlan110 -StartRange 10.2.1.1 -SubnetMask 255.255.255.0 -State Active

获取所有流动的ipv4范畴

Get-DHCPServerv4Scope

获取范畴的所有DHCP保留

Get-DHCPServerv4Lease -ScopeId 10.2.1.0

创立DHCP预留

Get-DhcpServerv4Lease -ComputerName dhcpserver1 -IPAddress 10.2.1.8 | Add-DhcpServerv4Reservation -ComputerName server1

这只是用PowerShell治理DHCP服务器。上面的一些链接,是应用Powershell治理其余的一些服务。

材料起源

https://docs.microsoft.com/zh-cn/powershell/module/dhcpserver/?view=win10-ps

https://4sysops.com/archives/configure-dhcp-with-powershell-in-windows-server-2012-r2-and-above/

Active Directory的PowerShell命令的大量列表

子网划分和网络分段的益处

我不会深入探讨子网划分,因为有很多服务能够做到这一点。

然而,在配置DHCP作用域时,它有助于对网络有一些根本的理解。

您不想为所有设施只有一个大的DHCP池,而是应将设施分段到独自的网络中。这也取决于网络的大小,如果网络较小,则网络分段不是那么重要。

网络分段的益处

平安

通过将设施放弃在独自的网络上,您能够更好地管制网络。您的打印机须要拜访互联网吗?可能不会。财务部门的计算机是否须要间接与HR中的计算机对话,相对不是。通过将设施分成本人的网络,您能够更好地管制它们的拜访。

限度网络中的横向挪动的确能够减慢攻击者和病毒的速度。在网络级别启用防火墙或访问控制列表以限度网络中的横向挪动十分重要。

网络性能

将所有内容都放在一个大型网络上将创立一个微小的播送域。这可能会导致各种问题,例如生成树循环,播送和多播风暴。对网络进行分段将分隔播送域并缩小可能的性能问题。

管制访客/访客拜访

您不心愿您的访客网络拜访您的平安网络。将此流量拆散到其本人的网络,能够过滤流量并阻止对外部网络的拜访。我还将访客网络用于仅须要Internet连贯的IOT类型的设施。

以下是如何细分网络流量的示例。

  • 计算机= 10.2.10.0/24 VLAN 110
  • 打印机= 10.2.8.0/24 VLAN 108
  • 语音= 10.2.6.0/24 VLAN 106
  • 视频监控= 10.2.4.0/24 VLAN 104
  • 服务器= 10.2.2.0/24 VLAN 102
  • 访客= 10.16.0.0/23 VLAN 116

除了进行网络分段之外,请尝试使IP计划放弃简略,这的确简化了DHCP作用域的治理。

DHCP租约期限提醒

DHCP租约是DHCP服务器为客户端调配IP地址的时间段。DHCP作用域的默认DHCP租用工夫为8天。

提醒#1减少固定设备的租赁工夫

对于小型网络,您能够将租约工夫保留为默认设置8小时。

对于大型网络,请思考将固定设备(工作站)的DHCP作用域更改为16天。这样能够缩小与DHCP相干的网络流量。工作站不常常挪动,因而无需为了取得IP地址而常常跟DHCP进行交互。

提醒#2缩小访客/挪动设施的租赁工夫

如果提供来宾wifi,则这些DHCP作用域会很快耗尽可用IP。这些设施很可能只须要长期拜访(例如几个小时)。对于这些范畴,请思考将DHCP租用工夫调整为1小时。如果设施依然处于活动状态,它将续订,然而如果设施断开连接,它将开释IP地址,这将有助于您的来宾有足够的可用IP。

挪动设施也可能是这种状况,只管越来越多的用户应用笔记本电脑,但这种设施可能会很辣手。默认的8天可能就足够了,然而如果您晓得挪动设施常常到处挪动,则能够思考缩小租赁工夫。

总结:
如果您领有仅用于特定设施(例如工作站)的DHCP作用域,请思考调整DHCP租用工夫。

本系列文档目录:

DHCP最佳实际(一)
DHCP最佳实际(二)
DHCP最佳实际(三)
DHCP最佳实际(四)

本文首发于BigYoung小站