15.5配置windows DHCP服务器
每个DHCP服务器都必须至少有一个被称为作用域的地址池,这些IP地址是用于租借给客户端的。一台DHCP服务器的作用域可以包括不只一个子网的IP地址,假设这些子网中的客户端广播可以到达该服务器。在这种情况下,该DHCP服务器一定是多重地址或者有中继代理为它服务,它同时向多个子网提供服务。
对某个DHCP服务器,一个作用域只能包含一个特定的子网,但是一个子网可以划分成属于两个或更多的DHCP服务器以提供冗余。要确信同一个IP地址不出现在多个服务器中,除非该地址是保留地址(后面将涉及保留地址)。DHCP服务器并不相互共享信息,所以要仔细分配地址以保证地址池中没有非保留地址被重复。图15-6显示了两台DHCP服务器的作用域以这种方式提供冗余。
考虑子网1上的DHCP服务器A以及子网2上的DHCP服务器B。服务器A和B的一个作用域各自拥有子网1和子网2百分之七十五的地址,而另一个作用域各自包括远程子网的剩余的百分之二十五的地址。在理论上服务器A将处理本地子网1上的所有客户端请求,因为它应当比客户端B更快地响应本地请求。如果服务器A失败则服务器B将代替它。在这种配置中,具体的划分如75/25,80/20等应在观察租借率的基础上调整,同时也应考虑一些其他因素,比如客户端和两台服务器之间的相对网络延迟。
设置DHCP服务器所监听的接口对服务器而言是全局的。可在DHCP服务器的属性窗口配置该设置和冲突检测。
1)打开DHCP服务器管理界面。
2)将焦点移到服务器节点,右键单击它并选择“Properties”。
3)选择“Advanced”选项卡。
4)使用“Bindings按钮访问绑定对话框。
5)在绑定对话框中配置DHCP要使用的接口,然后单击“OK”。
6)需要的话在服务器属性窗口的高级选项卡下输入尝试的次数以启用冲突检测。
7)关闭属性窗口,单击“OK”以保存修改。
在高级选项卡上,应注意到可以配置日志和DHCP数据库的存储位置。冲突检测是DHCP服务器用于确定待租借的IP地址当前没有被其他机器使用的一个特性,具体实现的方法是尝试在网络上与使用该IP的主机通信。冲突检测显然带来一定的开销,减慢了DHCP对客户端的响应,在可以施加严格控制的环境中该特性作为一个产品设置是不必要的开销,但是应当记住该特性可用于解决一些问题。
15.5.1定义作用域
要创建一个新的作用域,在DHCP管理控制台中选择拥有该作用域的服务器并右键单击它弹出如图15-7所示的上下文菜单。该菜单中有创建一个新作用域,新超级作用域或组播作用域。因为本书的目的,这里只涉及一般的作用域。
组播域实现了MADCAP以提供组播IP地址(D类)给客户端。超级作用域实际上将属于一个网络段的作用域与一个更大的逻辑实体绑定,它对于地址池之间的转移是十分有用的。新超级作用域和组播作用域的创建和管理类似于普通作用域。
1)打开DHCP服务器管理界面。
2)将焦点移到服务器节点,右键单击它以打开上下文菜单。
3)选择“NewScope”以启动相应的向导。如选择“NewSuperscope”或“NewMulticastScape”也将启动相应的用于收集所需信息的向导。
4)输入该作用域的名字及其描述。这些属性以后也可在作用域的属性窗口修改。单击“Next”。
5)输入起始和结束IP地址以定义IP地址池。然后输入以句点分隔的十进制数形式的子网掩码,也可以指定IP地址的网络部分的二进制位长度。图15-8显示了该操作。B类网的一部分地址被分配给该地址池,IP地址的最后一个字节是子网号。定义完后单击“Next”.
6)“NewScopeWizard”提供了一个窗口,在该窗口中列出的IP地址将被从作用域中排除。这里没有排除任何地址的必要,并且可以在以后修改该列表。单击“Next”
7)缺省的八天租借期也可以改变。在改变租借期时要理解改变可能带来的影响,尤其是对可能启用的任何DDNS清理。接受缺省值或设置一个值,然后单击“Next”。
8)选择是否设置新作用域的选项。这些选项都可以人工设置,但如果你有多个作用域的话,使用缺省值更方便。作出选择后单击“Next”。
9)如果选择以后再配置选项,操作就结束了。否则需按指导一屏接一屏地提供一些设置,如网关值,客户端所属的DNS域,客户端使用的DNS服务器和WINS服务器。此后,还需选择是否立刻激活该作用域。
单击“Finish”后,新作用域被加到左边的长方框中服务器的下方,如图15-9所示。没有必要从作用域中排除任何地址。任何时候在管理窗口中扩展作用域节点,然后对地址池节点使用“NewExclusionRange”选项后就可修改被排除的IP地址。类似的租借期可以在任何时候使用作用域的属性设置,设置的单位为天,小时,分钟,最长可达999天。记住在调整租借期的同时要与DDNS的配置相协调。
新创建的作用域现在列出在管理控制台中,在相应的折叠夹上有一个白圈,白圈内部有一个向下的红色小箭头。(本例中更低的一个名为hq.example)该向下的箭头图标说明该作用域还未启用。在该作用域的上下文菜单中只有“Activate”而没有“Deactive”选项。在使用该作用域租借以前最好设置它的作用域选项。
注意不需先删除然后再创建某个作用域,只需将该作用域禁止而就可以实现对该作用域的维护或诊断,这样做是十分方便的。该方法通常在超级域内使用以确信存在的客户端不会被弃之不管,超级域是作用域的集合,但像一个单独的作用域一样使用。
15.5.2设置作用域的DDNS更新
能对租借出的IP地址实现动态的DNS更新是使用DHCP的一个优点,尤其是对那些本身不能直接注册DNS的低级客户端十分有用。图15-10显示了作用域属性窗口的DNS选项卡的缺省设置。在DHCP的属性窗口中也有一个与此类似的DNS选项卡。服务器级别的属性提供了用于新作用域的缺省值,而作用域级别的属性是用于控制作用域的行为。
在服务器的TCP/IP属性窗口中设置了允许DHCP服务器向DNS服务器发送更新信息选项以后,应小心地配置该DHCP服务器使用主服务器,以使DNS更新不必由辅服务器提交给主服务器。如果不这样配置的话辅服务器就必须将DNS更新提交给主服务器。请注意可以完全禁止该特性,或一直让DHCP更新DNS,或者只当客户端请求时才更新DNS选项。因为微软DHCP客户端发送生产厂商信息(后面将涉及),所以DHCP服务器可以判断不同的客户端。
有选项可以让DHCP为所有没有被确定为可以自己更新DNS的客户端更新DNS。这些客户端是指那些没有使用推荐的选项81向DHCP服务器提供全域名的客户端。使用该选项的windows 2000 客户端在由全域名所指定的DNS域中注册。
当DHCP在DNS中注册了一个客户端时,只要DNS安全是通过活动目录集成实现的,它可以被设为该DNS记录的拥有者。如果运行DHCP的机器的帐号是活动目录内建组DnsUpdateProxy的一个成员,那么DHCP服务器不会自动成为它所创建的记录的拥有者。但如果该机器帐号不是DnsUpdateProxy组的成员,则DHCP服务器会自动成为记录的拥有者。第7章讨论了这些事务。在这些环境下允许更新时就应考虑这些事务。
(未完待续)