DHCP服务器配置与管理(人邮第2版教材).ppt

本章要点,了解DHCP服务器在网络中的作用；理解DHCP的工作过程；掌握DHCP服务器的基本配置；掌握DHCP客户端的配置和测试；掌握常用DHCP选项的配置；理解在网络中部署DHCP服务器的解决方案；掌握DHCP服务器中继代理的配置；掌握常见DHCP服务器的维护。,第3章 DHCP服务器配置与管理,3.1 DHCP服务及其工作原理3.2 DHCP服务器项目设计及准备3.3 DHCP服务的安装和配置3.4 配置和测试DHCP客户端3.5 配置DHCP选项3.6 复杂网络的DHCP服务器的部署3.7 DHCP服务器的维护,3.1 DHCP服务及其工作原理,DHCP全称是Dynamic Host Configuration Protocol（动态主机配置协议），该协议可以自动为局域网中的每一台计算机自动分配IP地址，并完成每台计算机的TCP/IP协议配置，包括IP地址、子网掩码、网关，以及DNS服务器等。DHCP服务器能够从预先设置的IP地址池中自动给主机分配IP地址，它不仅能够解决IP地址冲突的问题，也能及时回收IP地址以提高IP地址的利用率。,主机获得IP地址的方法,何时需要使用DHCP服务器,网络中需要分配IP地址的主机很多网络中主机很多而IP地址不够DHCP服务使得移动用户可以在不同的子网中移动，并在他们连接到网络时自动获得该网络的IP地址,DHCP的运行机制,IP地址2,IP地址1,DHCP客户机通过DHCP服务器动态配置IP地址,DHCP 服务器,非DHCP客户机配置静态IP地址,DHCP客户机通过DHCP服务器动态配置IP地址,DHCP客户端可获得如下配置信息,一个IP地址。一个子网掩码。某些可选值，如默认的网关DNS服务器的IP地址WINS服务器的IP地址,DHCP工作站第一次登陆网络,10,DHCP 租约的生成过程（1）,DHCP Client,DHCP Server1,DHCP Server2,IP租用请求和提供,IP租用选择和确认,DHCP 租约的生成过程（2）,DHCP客户机发送完DHCPdiscover消息后,会等待DHCPOFFER消息,如果未能接受到DHCPOFFER,它就会重试4次(相隔2,4,8,16s,加上一个0到1000s之间的随机时间数)如果DHCP客户机经过努力仍为获得任何有效服务器的IP地址将使用这一保留地址中的一个IP地址（这也是帮助我们排错的一个根据）每隔分钟，该客户机都继续尝试发现一个DHCP服务器，如果有某个DHCP服务器成为可用，客户机将接受到合法的IP地址,DHCP 租约的更新过程（1）,DHCP Client,DHCP Server,DHCP 租约的更新过程（2）,50%of lease duration has expired,87.5%of lease duration has expired,100%of lease duration has expired,If the client fails to renew its lease,after 50%of the lease duration has expired,then the DHCP lease renewal process will begin again after 87.5%of the lease duration has expired,If the client fails to renew its lease,after 87.5%of the lease has expired,then the DHCP lease generation process starts over again with a DHCP client broadcasting a DHCPDISCOVER,DHCP 租约的更新过程（3）,自动更新租约DHCP客户机在它们的租约期限已过去50%，自动尝试更新租约。如果DHCP服务器可用，那么将更新。如果DHCP服务器不可用，客户机将继续使用它的当前配置。当期限过去87.5%发出广播再次更新租约。在这一阶段，DHCP客户机接受任何DHCP服务器发出的租约。如果租约已经到期(100%)，客户机必须立即停止使用当前的IP地址。然后DHCP客户机开始新的DHCP租约过程，尝试租用新的IP地址。,DHCP 租约的更新过程（4）,人工更新租约如果你需要立即更新DHCP配置信息，你可以使用人工方式更新IP租约。使用命令行实用工具 ipconfig/renew 和 ipconfig/release,3.2 项目设计 及准备,项目设计,项目准备,3.2 DHCP服务器项目设计及准备,1.DHCP服务器项目设计,部署DHCP之前应该先进行规划，明确哪些IP地址用于自动分配给客户端（即作用域中应包含的IP地址），哪些IP地址用于手工指定给特定的服务器。例如，在项目中，将IP地址192.168.2.10200/24用于自动分配，将1P地址预留给需要手工指定TCP/lP参数的服务器，将用作保留地址等。,1.DHCP服务器项目设计,1.安装Windows Server 2003标准版、企业版或数据中心版等服务器端操作系统的计算机一台，用作DHCP服务器。2.DHCP服务器的IP地址、子网掩码、DNS服务器等TCP/IP参数必须手工指定，否则将不能为客户端分配IP地址。3.DHCP服务器必须要拥有一组有效的IP地址，以便自动分配给客户端。,2.DHCP服务器项目需求准备,3.3.1 安装DHCP服务器1.通过“配置您的服务器向导”安装DHCP服务（1）在“服务器角色”对话框中选择“DHCP服务器”选项，将该计算机安装为DHCP服务器。,3.3 DHCP服务的安装和配置,（2）在“作用域名”对话框中指定该DHCP服务器作用域的名称。,3.3.1 安装DHCP服务器,（3）在“IP地址范围”对话框中设置由该DHCP服务器分配的IP地址范围（称作IP地址池），并设置“子网掩码”或子网掩码的“长度”。,3.3.1 安装DHCP服务器,（4）在“添加排除”对话框中设置保留的、不再动态分配的IP地址的起止范围。由于所有的服务器都需要采用静态IP地址，另外某些特殊用户（如管理员，以及其他超级用户）往往也需要采用静态IP地址，此时就应当将这些IP地址添加至“排除的IP地址范围”列表框中，而不再由DHCP动态分配,3.3.1 安装DHCP服务器,3.3.1 安装DHCP服务器,（6）在“配置DHCP选项”对话框中选中“是，我想现在配置这些选项”单选按钮，准备配置默认网关、DNS服务器IP地址等重要的IP地址信息，从而使DHCP客户端只需设置为“自动获取IP地址信息”即可，无需再指定任何IP地址信息。也可以选择“否”，以后再配置这些选项也可以。,3.3.1 安装DHCP服务器,（7）在“路由器（默认网关）”对话框中指定默认网关的IP地址。,3.3.1 安装DHCP服务器,（8）在“域名称和DNS服务器”对话框中设置域名称和DNS服务器的IP地址。,3.3.1 安装DHCP服务器,（9）在“激活作用框”对话框中选中“是，我想现在激活此作用域”单选按钮，激活该DHCP服务器，为网络提供DHCP服务。,3.3.1 安装DHCP服务器,2.通过“Windows组件向导”安装DHCP服务 DHCP服务也可以在“控制面板”窗口中，采用传统的“添加/删除程序”的方式来安装。通过“Windows组件向导”对话框打开“网络服务”对话框，选中“动态主机配置协议（DHCP）”复选框即可,3.3.1 安装DHCP服务器,3.3.1 安装DHCP服务器,授权DHCP服务器Windows Server 2003为使用活动目录的网络提供了集成的安全性支持。针对DHCP服务器，它提供了授权的功能。通过这一功能可以对网络中配置正确的合法DHCP服务器进行授权，允许它们对客户端自动分配IP地址。同时，还能够检测末授权的非法DHCP服务器以及防止这些服务器在网络中启动或运行，从而提高了网络的安全性。,3.3.2 授权DHCP服务器,（1）对域中的DHCP服务器进行授权,3.3.2 授权DHCP服务器,（2）为什么要授权DHCP服务器由于DHCP服务器为客户端自动分配IP地址时均采用广播机制，而且客户端在发送DHCP Request消息进行IP租用选择时也只是简单地选择第一个收到的DHCP Offer，这意味着在整个IP租用过程中，网络中所有的DHCP服务器都是平等的。如果网络中的DHCP服务器都是正确配置的，则网络将能够正常运行。如果在网络中出现了错误配置的DHCP服务器，则可能会引发网络故障。例如，错误配置的DHCP服务器可能会为客户端分配不正确的IP地址而导致该客户端无法进行正常的网络通信。,3.3.2 授权DHCP服务器,图3-15 网络中出现非法的DHCP服务器,3.3.2 授权DHCP服务器,为 DHCP 服务授权,DHCP Server1 checks with the domain controller to obtain a list of authorized DHCP servers,DHCP Server1,DHCP Server2,If DHCP Server1 finds its IP address on the list,the service starts and supports DHCP clients,DHCP Server2 checks with the domain controller to obtain a list ofauthorized DHCP servers,If DHCP Server2 does not find its IP address on the list,the service does not start and support DHCP clients,DHCP client receives IP address from authorized DHCP Server1,DHCP authorization is the process of registering the DHCP Server service in the Active Directory domain to support DHCP clients,（3）不同角色的DHCP服务器DHCP服务器的授权过程取决于该服务器在网络中的安装角色。在Windows Server 2003网络中，每台计算机都可以安装成3种角色（服务器类型）。,域控制器：该计算机为域成员用户和计算机保存、维护活动目录数据库并提供安全的账户管理与身份验证。成员服务器：该计算机不作为域控制器运行，但是它加入了域，在所加入域的活动目录数据库中拥有成员身份账户。,3.3.2 授权DHCP服务器,独立服务器：该计算机不作为域控制器或域中的成员服务器运行，而是作为工作组中的一台服务器，通过特定的工作组名称在网络上公开自己的身份并提供相应服务。,3.3.2 授权DHCP服务器,创建DHCP作用域DHCP服务器是为了自动分配IP地址而配置的，因此必须具有相应可分配的、有效的IP地址。将这些IP地址组织起来，形成一个lP地址范围，称为作用域(Scope)。,3.3.3 创建DHCP作用域,作用域:一个合法的IP地址范围，用于将IP地址租用给客户机。利用“配置您的服务器向导”安装DHCP的过程中可以根据提示创建作用域，并能正常提供服务。利用“添加删除应用程序”安装DHCP，必须通过“新作用域”向导创建作用域之后才能提供服务。配置作用域参数 激活作用域：激活前要配置好所用的选项。注：创建一个作用域后，不能修改作用域的子网掩码，除非删除重新创建。,3.3.3 创建DHCP作用域,保留特定的IP地址如果用户想保留特定的IP地址给指定的客户机，以便DHCP客户机在每次启动时都获得相同的IP地址，就需要将该IP地址与客户机的MAC地址绑定。,3.3.4 保留特定的IP地址,配置超级作用域 超级作用域是运行Windows Server 2003的DHCP服务器的一种管理功能，当DHCP服务器上有多个作用域时，就可组成超级作用域，作为单个实体来管理。超级作用域常用于多网配置。多网是指在同一物理网段上使用两个或多个DHCP服务器以管理分离的逻辑IP网络。,3.3.5 配置超级作用域,1.配置基于Windows平台的DHCP客户端（1）打开本地连接的“Internet协议（TCP/IP）属性”对话框。（2）在该对话框选中“自动获得IP地址”和“自动获得DNS服务器地址”两项 2.测试DHCP客户端 在DHCP客户端上打开命令提示符窗口，通过Ipconfig/all和ping命令对DHCP客户端进行测试。,3.4 配置和测试DHCP客户端,3.手动释放DHCP客户端IP地址租约 在DHCP客户端上打开命令提示符窗口，使用ipconfig/release命令手动释放DHCP客户端IP地址租约。4.手动更新DHCP客户端IP地址租约 在DHCP客户端上打开命令提示符窗口，使用ipconfig/renew命令手动更新DHCP客户端IP地址租约。,3.4 配置和测试DHCP客户端,4.在DHCP服务器上验证租约 使用具有管理员权限的用户账户登录DHCP服务器，打开DHCP管理控制台。在左侧控制台树中双击DHCP服务器，在展开的树中双击作用域，然后单击“地址租约”选项，将能够看到从当前DHCP服务器的当前作用域中租用IP地址的租约。,3.4 配置和测试DHCP客户端,1.DHCP选项 DHCP服务器除了可以为DHCP客户机提供IP地址外，还可用于设置DHCP客户机启动时的工作环境，如客户机登录的域名称、DNS服务器、WINS服务器、路由器、默认网关等参数信息，这些信息称为DHCP选项。,3.5 配置DHCP选项,2.配置DHCP服务器选项和作用域选项 配置DHCP选项任务描述：在服务器选项添加“006 DNS服务器”，DNS服务器IP地址为；在作用域选项中添加“003路由器”，路由器的IP地址为。,3.5 配置DHCP选项,DHCP 作用域选项是指DHCP客户端的工作环境，连同IP 地址和子网掩码一起由DHCP服务器提供。,3.5 配置DHCP选项,DHCP作用域选项的分类及优先级,作用域选项,保留客户端选项,服务器选项,作用域选项,作用域选项,用户类选项,自定义作用域选项的用法,DHCP option applied at theserver level,DHCP option applied at thescope level,DHCP option applied at thereserved-client level,File and Print Server,3.5 配置DHCP作用域选项,3.配置DHCP类别选项 DHCP的类别选项包括用户类别和供应商类别两种。（1）服务器端的设置（2）将客户端的用户类别识别码配置为guest,3.5 配置DHCP作用域选项,DHCP option applied at theclass level,Scope A,Scope B,DHCP Server,Windows 98,Windows XP,Windows XP,Router,Router,File and Print Server,自定义作用域选项的用法,利用选项类,销售商定义的类可以识别DHCP 客户机操作系统的销售类型和配置用户定义的类通过客户机的类型识别DHCP 客户机,选项 A,选项B,选项C,1.在单物理子网中配置多个DHCP服务器2.多宿主DHCP服务器3.跨网段的DHCP中继代理 DHCP中继代理用于在DHCP客户端和DHCP服务器之间中继DHCP消息，其工作过程如下：（1）收到本子网DHCP客户端广播发出的DHCP消息后，如果在预定的时间内没有DHCP服务器广播发出的DHCP回应消息，则会将客户端的DHCP消息以单播方式转发给预先指定的DHCP服务器。,3.6 复杂网络的DHCP服务器的配置,（2）DHCP服务器收到DHCP中继代理转发来的DHCP 消息后，会提供一个与DHCP中继代理的IP地址在同一子网的IP地址，然后以单播方式将回应的DHCP消息发送给DHCP中继代理。（3）DHCP中继代理收到DHCP服务器回应的DHCP消息后，再通过广播方式发送给DHCP客户端。,3.6 复杂网络的DHCP服务器的配置,在路由网络配置DHCP,DHCP中继代理用于在不同子网的DHCP客户端和DHCP服务器之间中继DHCP消息,DHCP Server,Client,DHCP Relay Agent,Client,Client,Client,RoutersNon-RFC 1542 Compliant,单播,Broadcast,Subnet A,Subnet B,Broadcast,DHCP中继代理是如何工作的？,RouterNon-RFC 1542 Compliant,Client1,DHCP Relay Agent,Client2,DHCP Server,Client3,如何使用DHCP中继代理跃点计数？,跃点计数阈值是中继代理通信可以跨过的最大跳数,DHCP Relay Agent 2,DHCP Server,Hop Count=2,DHCP Relay Agent 1,如何使用DHCP中继代理的启动阀值？,启动阈值是中继代理转发dhcp消息前的等待时间,3.7 DHCP服务器的维护,管理DHCP数据库概述DHCP数据库DHCP数据库的备份和还原DHCP数据库的一致性,管理DHCP数据库概述,DHCP数据库存储着整个网络中所有的客户机地址租约的信息,动态维护着客户机IP地址的申请,注销,是整个DHCP服务的关键,必须保证DHCP服务器上的数据的安全无误,及时地对它进行维护管理.一般情况下,管理维护DHCP数据库会完成以下任务,管理DHCP数据库任务,DHCP数据库,systemrootsystem32dhcp,Stored,systemrootsystem32dhcpbackupjetnew,DHCP数据库,DHCP数据库文件,DHCP数据库的备份和还原,The DHCP service automatically backs up the DHCP database to the backup directory on the local drive,If the original database is unable to load,the DHCP service automatically restores from the backup directory on the local drive,The administrator moves a copy of the backed up DHCP database to an offline storage location,In the event that the server hardware fails,the administrator can restore only from the offline storage location,DHCP数据库的备份和还原,自动备份系统自动进行的同步备份,并不需要用户的参与,默认备份间隔为60分钟手工备份使用DHCP控制台备份和使用备份程(NTBACKUP.EXE)或其他备份软件的备份,数据库的还原（1）停止DHCP服务（2）在%Systemroot%system32dhcp（数据库文件的路径）目录下，删除J50.log，j50 xxxxx.log和dhcp.tmp文件（3）拷贝备份的dhcp.mdb到%Systemroot%system32dhcp目录下（4）重新启动DHCP服,DHCP数据库的备份和还原,DHCP数据库的备份和还原,DHCP数据库的一致性,DHCP Server,DHCPDatabase,Registry,摘要地址租约信息,详细的IP地址租约信息,比较信息，发现不一致,协调DHCP数据中的不一致,DHCP数据库的一致性,详细的IP地址租用信息存储在DHCP数据库中摘要性的IP地址租用信息存储在注册表中 某些情况下可能造成这两个位置存储信息的不同，系统进行协调作用域时，会将详细的和摘要性的条目进行对比来查找不一致的地方，然后进行修复,DHCP数据库的一致性,DHCP 统计信息,DHCP 统计信息收集自上次DHCP服务器启动以来的服务器级和作用域级的信息,DHCP Server,DHCP审核日志,DHCP 审核日志是服务器相关的日志，比如，什么时间DHCP服务启动和停止；什么时间DHCP服务器被授权；或者 IP 地址释放、重新获得、重新释放，或者拒绝的情况,DHCP审核日志工作过程,3.结束每日审核日志,2.DHCP 检查磁盘空间,1.DHCP 打开每天的日志,DHCP服务器开始写入日志，用一个头信息表示日志已经开始记录,定期执行磁盘检查，以确保服务器磁盘空间的可用性以及当前审核日志文件不会变得太长或日志文件增长不会太快,服务器关闭现有日志并移动到用于本周后一天的日志文件,DHCPSrvLog-Mon.Log,DHCPSrvLog-Tue.Log,审核日志每天都收集DHCP服务器的事件，把它们写入日志文件中,12:00 am,DHCP审核日志,使用性能计数器监控DHCP服务器,配置DHCP安全性,限制非法客户机获得IP地址租约限制非授权的服务器提供IP地址租约限制DHCP管理员数目实现DHCP数据库安全性,限制非法客户机获得IP地址租约,To restrict an unauthorized user from obtaining a lease:,确保非授权的用户和网络之间没有物理连接,在网络中每一台DHCP服务器上起用审核日志,定期检查审核日志,启用 802.1X标准进行网络身份验证,限制非授权的服务器提供IP地址租约,To restrict an unauthorized,non-Microsoft DHCP server from leasing IP addresses:,Ensure that unauthorized persons do not have physical or wireless access to your network,Microsoft DHCP ServerOnly DHCP servers running Windows 2000 or Windows Server 2003 can be authorized in Active DirectoryUnauthorized,non-Microsoft DHCP ServerNon-Microsoft DHCP server software does not include the authorization feature that is included in Windows 2000 and Windows Server 2003,限制DHCP管理员数目,To restrict who can administer the DHCP service:,Restrict the membership of the DHCP Administrators group to the minimum number of users necessary to administer the service,If there are users who need read-only access to the DHCP console,then add them to the DHCP Users group instead of the DHCP Administrators group,实现DHCP数据库安全性,To further secure the DHCP database:,Consider changing the default permissions of the DHCP folder,Provide only the minimum permissions required to users to enable them to perform their task,Provide Read permissions to users responsible for analyzing DHCP server log files,Remove Authenticated Users and Power Users to minimize access to the files in the DHCP folder,小 结,动态IP地址的优点主要是可减少IP地址和IP参数管理的工作量、提高IP地址的利用率。DHCP的工作过程主要有DHCPDISCOVER、DHCPOFFER、DHCPREQUEST、DHCPACK 4个步骤。本章着重介绍了DHCP服务器软件的安装、DHCP服务器的设置等。最后介绍了DHCP客户端设置以及DHCP服务器的维护。,实训 DHCP服务器配置与管理(实训内容详见人民邮电出版社Windwos Server 2003组网技术与实训（第2版）),工程案例,某企业用户反映，他的一台计算机从人事部搬到财务部后，就不能连接到Internet网了，问是什么原因？应该怎么处理？,