论文部分内容阅读
现在规模稍大的局域网,一般都使用DHCP服务器为客户机统一分配TCP/IP配置信息。这种方式不但减轻了网管人员的维护工作量,而且局域网的安全性也有了一定的提高。合理地对DHCP服务器进行设置,可以让其更加安全高效地运行,这里就浅谈在使用DHCP服务器过程中总结的一些经验技巧。
一、备份和恢复DHCP设置参数
在网络运行过程中,DHCP服务器如果遇到系统崩溃、病毒入侵等严重故障时,往往造成系统无法正常使用的情况。如果重新安装系统,就会造成DHCP服务器中的所有配置信息全部丢失。对于大中型网络来说,手工配置DHCP服务器是很繁琐的。为了防范于未然,应该在DHCP正常运行时就将配置信息备份,这样就可以快速恢复DHCP配置了。这里以Windows2003为例,说明如何快速地备份和恢复DHCP配置信息。在CMD窗口中执行命令“netsh dhcp server exporte:\dhcpbak.txt all”,这样就将DHCP的配置信息导出到一个文本文件中(这里是dhcpbak.txt)。当日后需要重新恢复DHCP配置参数时,只需在CMD窗口中执行命令“netsh dhcp server import e:\dhcpbak.txt all”,当系统提示“命令成功完成”后,打开DHCP管理窗口,在左侧的设备列表中选中本地计算机名称,在右键菜单中选择“刷新”项,DHCP服务器就能够恢复正常状态了。也可以在DHCP管理窗口中选中对应主机,在其右键菜单上选择“备份”和“还原”项即可。
二、让DHCP运行得更稳定
在DHCP服务器运行过程中,当客户机登录到网络后,往往会出现DHCP服务器不能正常为其分配IP地址等现象。即使在DHCP管理窗口将相应的主机、作用域等项彻底删除,之后重新创建DHCP主机,仍然不能解决上述故障。其实这类故障解决方法很简单,在DHCP管理窗口中选DHCP主机名,在其下的“作用域”分支的右键菜单中点击“属性”项,在属性窗口中“常规”面板中检查起始和结束IP地址是否设置得太短,以至于当登录的机器过多时DHCP服务器无法正常分配IP,在“DHCP客户端的租约期限”中检查是否存在期限过期的问题。当调整好上述设置信息后,在“DNS”面板中应确保选择“只有DHCP客户端请求时才动态更新DNS A和PTR记录”和“在租约被删除时丢弃A和PTR记录”项。在“高级”面板中应该选中“仅DHCP”项。
三、跨子网使用DHCP服务器
对于一个大型的网络,可能存在多个子网,一个子网能够使用的IP地址最多为255个,其中还包括需要保留的IP。而DHCP服务器在通常情况下只能为其中的一个子网分配IP。如果在每个子网中都创建一个DHCP服务器的话,那么管理起来就比较麻烦。DHCP服务器提供的超级作用域功能,能够将所有子网中的IP地址全部组合在一起,这样DHCP服务器就可以容纳更多的IP地址,不管客户机属于哪个子网,只要登录网络就能自动分配到IP,这就大大提高了网络管理的效率。
在DHCP服务器中创建超级作用域分成两个步骤。首先为每个子网单独创建一个作用域,在DHCP管理窗口中选中主机名,在其右键菜单中选择“新建作用域”项,在操作向导的帮助下为每个子网创建一个作用域。当子网的作用域全部创建完成后,在DHCP管理窗口中选中主机名,在其右键菜单中选择“创建超级作用域”项,弹出操作向导界面。在“超级作用域名”窗口中输入相应的名称,在“选择作用域”窗口中列出该DHCP主机上所有的作用域,在其中选中每个子网创建的作用域,在最后一步窗体中系统提示超级作用域创建成功。这样DHCP服务器就会将超级作用域中包含的所有子网作用域看作是一个独立的作用域,当子网中的客户机登录网络时,DHCP服务器就能统一为其分配lP了。
四、绑定预留lP和MAC地址
在DHCP服务器中往往包含大量的IP地址信息,在网络运行过程中,并非其中的所有IP都可以分配出去,在DHCP服务器中常常存在一些预留的IP信息。为了避免其他用户非法占用这些IP信息,最有效的办法是将这些预留IP信息和指定的客户机的网卡绑定,这样预留的lP信息就能够分配给特定的用户了。在客户端可以使用”ipconfig/all”命令实现MAC地址的查询。在DHCP管理窗口左侧依次展开“DHCP→主机名→作用域”分支,在其下的“保留”项的右键菜单上点击“新建保留”项,弹出“新建保留”配置对话框(如图1)。在“保留名称”栏中为该项目起个名,然后在“IP地址”栏中输入客户机要使用的保留IP,在“MAC地址”栏中输入该客户机网卡的MAC地址,然后在“支持类型”框中选择“两者”选项,最后点击“添加”按钮,完成了客户机的IP地址和MAC地址绑定。
图1 lP保留设置窗口
五、修改网关和DNS服务器
在实际工作中,网络中的一些机器可能经常要修改网络连接的配置信息,例如修改网关和DNS服务器地址等信息。其实DHCP服务器中就集成了配置网关和DNS服务器功能,大家平时仅仅使用到了它的动态lP地址分配功能,而忽略DHCP服务器的其他功能。在DHCP管理窗口中左侧的设备列表中依次展开“DHCP→主机名→作用域→作用域选项”分支,在右侧框体中显示出“003路由器”和“015 DNS域名”等设置项。双击“003路由器”,在“作用域选项”窗口(如图2)底部的lP列表框中选中原来的网关IP地址,点击“删除”按钮将其删除,接着在“IP地址”栏中输入新网关lP地址,点击“添加”按钮即可,最后点击“确定”按钮完成默认网关的修改。在上述“作用域选项”的属性窗口中双击“015 DNS域名”项,在弹出窗口的“字符串值”中输入新的域名即可。这样,客户端登录网络时,从DHCP服务器中就能得到网关和DNS域名服务器的配置信息了。
图2作用域设置界面
六、打造更安全的DHCP服务器
如果想在Windows的事件查看器中查看DHCP服务器的日志信息,需要启用DHCP服务器的“审核记录”功能。在DHCP管理窗口中对应的主机的右键菜单中选择“属性”,在属性设置窗口的“常规”面板中选中“启用DHCP审核记录”选项,这样就启用了DHCP服务器的审核功能。它的日志文件默认保存在系统盘中的“WINNT\System32\dhcp”目录下。为了防止别人随意删除日志信息,可以修改DHCP日志文件的存放路径。在属性窗口中打开“高级”面板,在“审核日志路径”栏中点击“浏览”按钮,修改日志文件存放位置,接着,在“数据库路径”栏中点击“浏览”按钮,修改数据库文件的保存路径。这样DHCP日志就更加安全了。为了加强对DHCP服务器的管理,网管需要分派特定的用户对DHCP服务器进行管理。这里设定在Windows 2003服务器中启用了活动目录功能,在“控制面板”中打开“管理工具”,运行“ActiveDirectory用户和计算机”工具,在弹出的窗口中,点击“Users”选项,接着在右侧框体中找到“DHCPAdministrators”项,在其右肩菜单中选择“属性”项,在“DHCP Administrators属性”窗口中打开“成员”面板,点击“添加”按钮,将指定的用户添加到列表框中。这样指定用户就能够管理DHCP服务器了。
如果只允许DHCP组中的特定用户对DHCP服务器拥有管理权限,而其他用户只有“只读”权限的话,在“控制面板”中打开“管理工具”,运行“域安全策略”工具,弹出安全策略控制台窗口,接着依次展开“Windows设置→安全设置→受限制的组”,然后在右侧框体中的空白处单击右键,选择“添加组”,弹出添加组对话框,在栏中输入“DHCPAdministrators”后,点击“确定”按钮。在新建的“DHCP Administrators”项的右键菜单上选择“安全性”,弹出配置成员身份对话框,接着点击“添加”按钮,将指定用户添加到成员列表中即可。
一、备份和恢复DHCP设置参数
在网络运行过程中,DHCP服务器如果遇到系统崩溃、病毒入侵等严重故障时,往往造成系统无法正常使用的情况。如果重新安装系统,就会造成DHCP服务器中的所有配置信息全部丢失。对于大中型网络来说,手工配置DHCP服务器是很繁琐的。为了防范于未然,应该在DHCP正常运行时就将配置信息备份,这样就可以快速恢复DHCP配置了。这里以Windows2003为例,说明如何快速地备份和恢复DHCP配置信息。在CMD窗口中执行命令“netsh dhcp server exporte:\dhcpbak.txt all”,这样就将DHCP的配置信息导出到一个文本文件中(这里是dhcpbak.txt)。当日后需要重新恢复DHCP配置参数时,只需在CMD窗口中执行命令“netsh dhcp server import e:\dhcpbak.txt all”,当系统提示“命令成功完成”后,打开DHCP管理窗口,在左侧的设备列表中选中本地计算机名称,在右键菜单中选择“刷新”项,DHCP服务器就能够恢复正常状态了。也可以在DHCP管理窗口中选中对应主机,在其右键菜单上选择“备份”和“还原”项即可。
二、让DHCP运行得更稳定
在DHCP服务器运行过程中,当客户机登录到网络后,往往会出现DHCP服务器不能正常为其分配IP地址等现象。即使在DHCP管理窗口将相应的主机、作用域等项彻底删除,之后重新创建DHCP主机,仍然不能解决上述故障。其实这类故障解决方法很简单,在DHCP管理窗口中选DHCP主机名,在其下的“作用域”分支的右键菜单中点击“属性”项,在属性窗口中“常规”面板中检查起始和结束IP地址是否设置得太短,以至于当登录的机器过多时DHCP服务器无法正常分配IP,在“DHCP客户端的租约期限”中检查是否存在期限过期的问题。当调整好上述设置信息后,在“DNS”面板中应确保选择“只有DHCP客户端请求时才动态更新DNS A和PTR记录”和“在租约被删除时丢弃A和PTR记录”项。在“高级”面板中应该选中“仅DHCP”项。
三、跨子网使用DHCP服务器
对于一个大型的网络,可能存在多个子网,一个子网能够使用的IP地址最多为255个,其中还包括需要保留的IP。而DHCP服务器在通常情况下只能为其中的一个子网分配IP。如果在每个子网中都创建一个DHCP服务器的话,那么管理起来就比较麻烦。DHCP服务器提供的超级作用域功能,能够将所有子网中的IP地址全部组合在一起,这样DHCP服务器就可以容纳更多的IP地址,不管客户机属于哪个子网,只要登录网络就能自动分配到IP,这就大大提高了网络管理的效率。
在DHCP服务器中创建超级作用域分成两个步骤。首先为每个子网单独创建一个作用域,在DHCP管理窗口中选中主机名,在其右键菜单中选择“新建作用域”项,在操作向导的帮助下为每个子网创建一个作用域。当子网的作用域全部创建完成后,在DHCP管理窗口中选中主机名,在其右键菜单中选择“创建超级作用域”项,弹出操作向导界面。在“超级作用域名”窗口中输入相应的名称,在“选择作用域”窗口中列出该DHCP主机上所有的作用域,在其中选中每个子网创建的作用域,在最后一步窗体中系统提示超级作用域创建成功。这样DHCP服务器就会将超级作用域中包含的所有子网作用域看作是一个独立的作用域,当子网中的客户机登录网络时,DHCP服务器就能统一为其分配lP了。
四、绑定预留lP和MAC地址
在DHCP服务器中往往包含大量的IP地址信息,在网络运行过程中,并非其中的所有IP都可以分配出去,在DHCP服务器中常常存在一些预留的IP信息。为了避免其他用户非法占用这些IP信息,最有效的办法是将这些预留IP信息和指定的客户机的网卡绑定,这样预留的lP信息就能够分配给特定的用户了。在客户端可以使用”ipconfig/all”命令实现MAC地址的查询。在DHCP管理窗口左侧依次展开“DHCP→主机名→作用域”分支,在其下的“保留”项的右键菜单上点击“新建保留”项,弹出“新建保留”配置对话框(如图1)。在“保留名称”栏中为该项目起个名,然后在“IP地址”栏中输入客户机要使用的保留IP,在“MAC地址”栏中输入该客户机网卡的MAC地址,然后在“支持类型”框中选择“两者”选项,最后点击“添加”按钮,完成了客户机的IP地址和MAC地址绑定。
图1 lP保留设置窗口
五、修改网关和DNS服务器
在实际工作中,网络中的一些机器可能经常要修改网络连接的配置信息,例如修改网关和DNS服务器地址等信息。其实DHCP服务器中就集成了配置网关和DNS服务器功能,大家平时仅仅使用到了它的动态lP地址分配功能,而忽略DHCP服务器的其他功能。在DHCP管理窗口中左侧的设备列表中依次展开“DHCP→主机名→作用域→作用域选项”分支,在右侧框体中显示出“003路由器”和“015 DNS域名”等设置项。双击“003路由器”,在“作用域选项”窗口(如图2)底部的lP列表框中选中原来的网关IP地址,点击“删除”按钮将其删除,接着在“IP地址”栏中输入新网关lP地址,点击“添加”按钮即可,最后点击“确定”按钮完成默认网关的修改。在上述“作用域选项”的属性窗口中双击“015 DNS域名”项,在弹出窗口的“字符串值”中输入新的域名即可。这样,客户端登录网络时,从DHCP服务器中就能得到网关和DNS域名服务器的配置信息了。
图2作用域设置界面
六、打造更安全的DHCP服务器
如果想在Windows的事件查看器中查看DHCP服务器的日志信息,需要启用DHCP服务器的“审核记录”功能。在DHCP管理窗口中对应的主机的右键菜单中选择“属性”,在属性设置窗口的“常规”面板中选中“启用DHCP审核记录”选项,这样就启用了DHCP服务器的审核功能。它的日志文件默认保存在系统盘中的“WINNT\System32\dhcp”目录下。为了防止别人随意删除日志信息,可以修改DHCP日志文件的存放路径。在属性窗口中打开“高级”面板,在“审核日志路径”栏中点击“浏览”按钮,修改日志文件存放位置,接着,在“数据库路径”栏中点击“浏览”按钮,修改数据库文件的保存路径。这样DHCP日志就更加安全了。为了加强对DHCP服务器的管理,网管需要分派特定的用户对DHCP服务器进行管理。这里设定在Windows 2003服务器中启用了活动目录功能,在“控制面板”中打开“管理工具”,运行“ActiveDirectory用户和计算机”工具,在弹出的窗口中,点击“Users”选项,接着在右侧框体中找到“DHCPAdministrators”项,在其右肩菜单中选择“属性”项,在“DHCP Administrators属性”窗口中打开“成员”面板,点击“添加”按钮,将指定的用户添加到列表框中。这样指定用户就能够管理DHCP服务器了。
如果只允许DHCP组中的特定用户对DHCP服务器拥有管理权限,而其他用户只有“只读”权限的话,在“控制面板”中打开“管理工具”,运行“域安全策略”工具,弹出安全策略控制台窗口,接着依次展开“Windows设置→安全设置→受限制的组”,然后在右侧框体中的空白处单击右键,选择“添加组”,弹出添加组对话框,在栏中输入“DHCPAdministrators”后,点击“确定”按钮。在新建的“DHCP Administrators”项的右键菜单上选择“安全性”,弹出配置成员身份对话框,接着点击“添加”按钮,将指定用户添加到成员列表中即可。