DHCP服务器配置与管理(人邮第2版教材).ppt

本章要点本章要点了解DHCP服务器在网络中的作用；理解DHCP的工作过程；掌握DHCP服务器的基本配置；掌握DHCP客户端的配置和测试；掌握常用DHCP选项的配置；理解在网络中部署DHCP服务器的解决方案；掌握DHCP服务器中继代理的配置；掌握常见DHCP服务器的维护。第第3章章 DHCP服务器配置与管理服务器配置与管理u3.1 DHCP服务及其工作原理u3.2 DHCP服务器项目设计及准备u3.3 DHCP服务的安装和配置u3.4 配置和测试DHCP客户端u3.5 配置DHCP选项u3.6 复杂网络的DHCP服务器的部署u3.7 DHCP服务器的维护3.1 DHCP服务及其工作原理服务及其工作原理uDHCP全称是Dynamic Host Configuration Protocol（动态主机配置协议），该协议可以自动为局域网中的每一台计算机自动分配IP地址，并完成每台计算机的TCP/IP协议配置，包括IP地址、子网掩码、网关，以及DNS服务器等。uDHCP服务器能够从预先设置的IP地址池中自动给主机分配IP地址，它不仅能够解决IP地址冲突的问题，也能及时回收IP地址以提高IP地址的利用率。主机获得主机获得IP地址的方法地址的方法手动配置手动配置手动配置手动配置IPIP地址地址地址地址自动获得自动获得自动获得自动获得IPIP地址地址地址地址在每个客户端手工输入在每个客户端手工输入IP地址地址IP 地址自动的分配给每地址自动的分配给每个客户端个客户端可能会输入错误的或无效可能会输入错误的或无效的的IP地址地址确保每个客户端总是得确保每个客户端总是得到正确得配置信息到正确得配置信息错误的错误的IP地址可能导致网地址可能导致网络问题络问题,对于这类问题对于这类问题,很很难跟踪难跟踪消除了网络问题的一个消除了网络问题的一个常见的问题来源常见的问题来源管理一个频繁移动的网络管理一个频繁移动的网络时会增加管理开销时会增加管理开销客户机自动客户机自动,反映网络变反映网络变化、物理变化、无需人化、物理变化、无需人工干预工干预何时需要使用何时需要使用DHCP服务器服务器u网络中需要分配IP地址的主机很多u网络中主机很多而IP地址不够uDHCP服务使得移动用户可以在不同的子网中移动，并在他们连接到网络时自动获得该网络的IP地址DHCP的运行机制的运行机制IP地址1IP地址2IP地址地址3DHCPDHCP数据库数据库数据库数据库IP地址地址2IP地址地址1DHCP客户机客户机通过通过DHCP服务器服务器动态配置动态配置IP地址地址DHCP 服务器服务器非非DHCP客户机客户机配置静态配置静态IP地址地址DHCP客户机客户机通过通过DHCP服务器服务器动态配置动态配置IP地址地址DHCP客户端可获得如下配置信息客户端可获得如下配置信息1.一个IP地址。2.一个子网掩码。3.某些可选值，如默认的网关DNS服务器的IP地址WINS服务器的IP地址DHCP工作站第一次登陆网络工作站第一次登陆网络 10DHCP 租约的生成过程（租约的生成过程（1）DHCP client 广播广播 DHCPDISCOVER1DHCP servers 广播广播 DHCPOFFER2DHCP client 广播广播 DHCPREQUEST3DHCP Server1 广播广播 DHCPACK4 DHCP ClientDHCP Server1DHCP Server2IP租用请求和提供租用请求和提供IP租用选择和确认租用选择和确认DHCP 租约的生成过程（租约的生成过程（2）uDHCP客户机发送完DHCPdiscover消息后,会等待DHCPOFFER消息,如果未能接受到DHCPOFFER,它就会重试4次(相隔2,4,8,16s,加上一个0到1000s之间的随机时间数)u如果DHCP客户机经过努力仍为获得任何有效服务器的IP地址将使用这一保留地址中的一个IP地址（这也是帮助我们排错的一个根据）u每隔分钟，该客户机都继续尝试发现一个DHCP服务器，如果有某个DHCP服务器成为可用，客户机将接受到合法的IP地址DHCP 租约的更新过程（租约的更新过程（1）DHCPREQUESTDHCPREQUESTSource IP Address=192.168.0.77Dest.IP Address=192.168.0.108Requested IP Address=192.168.0.77Hardware Address=08004.DHCPACKSource IP Address=192.168.0.108Dest.IP Address=192.168.0.77Offered IP Address=192.168.0.77 Client Hardware Address=08004.Subnet Mask=255.255.255.0Length of Lease=8 daysServer Identifier=192.168.0.108DHCP Option:Router=192.168.0.1DHCP ClientDHCP ServerDHCP 租约的更新过程（租约的更新过程（2）DHCP ClientDHCP Server1DHCP Server2DHCP Client sends a DHCPREQUEST packet1DHCP Server1 sends a DHCPACK packet250%of lease duration has expired87.5%of lease duration has expired100%of lease duration has expiredIf the client fails to renew its lease,after 50%of the lease duration has expired,then the DHCP lease renewal process will begin again after 87.5%of the lease duration has expiredIf the client fails to renew its lease,after 87.5%of the lease has expired,then the DHCP lease generation process starts over again with a DHCP client broadcasting a DHCPDISCOVER DHCP ClientDHCP Server1DHCP Server2DHCP client 发送发送 a DHCPREQUEST packet1DHCP Server1 发送发送 a DHCPACK packet250%of lease duration has expiredDHCP 租约的更新过程（租约的更新过程（3）u自动更新租约uDHCP客户机在它们的租约期限已过去50%，自动尝试更新租约。u如果DHCP服务器可用，那么将更新。如果DHCP服务器不可用，客户机将继续使用它的当前配置。u当期限过去87.5%发出广播再次更新租约。在这一阶段，DHCP客户机接受任何DHCP服务器发出的租约。u如果租约已经到期(100%)，客户机必须立即停止使用当前的IP地址。然后DHCP客户机开始新的DHCP租约过程，尝试租用新的IP地址。DHCP 租约的更新过程（租约的更新过程（4）u人工更新租约u如果你需要立即更新DHCP配置信息，你可以使用人工方式更新IP租约。u使用命令行实用工具 ipconfig/renew 和 ipconfig/release3.2 项目设计 及准备项目设计项目设计项目准备项目准备3.2 DHCP服务器服务器项目设计及准备项目设计及准备1.DHCP服务器服务器项目设计项目设计u部署DHCP之前应该先进行规划，明确哪些IP地址用于自动分配给客户端（即作用域中应包含的IP地址），哪些IP地址用于手工指定给特定的服务器。例如，在项目中，将IP地址192.168.2.10200/24用于自动分配，将1P地址预留给需要手工指定TCP/lP参数的服务器，将用作保留地址等。1.DHCP服务器服务器项目设计项目设计u1.安装Windows Server 2003标准版、企业版或数据中心版等服务器端操作系统的计算机一台，用作DHCP服务器。u2.DHCP服务器的IP地址、子网掩码、DNS服务器等TCP/IP参数必须手工指定，否则将不能为客户端分配IP地址。u3.DHCP服务器必须要拥有一组有效的IP地址，以便自动分配给客户端。2.DHCP服务器服务器项目项目需求准备需求准备u3.3.1 安装安装DHCP服务器服务器u1.通过“配置您的服务器向导”安装DHCP服务u（1）在“服务器角色”对话框中选择“DHCP服务器”选项，将该计算机安装为DHCP服务器。3.3 DHCP服务的安装和配置服务的安装和配置u（2）在“作用域名”对话框中指定该DHCP服务器作用域的名称。3.3.1 安装安装DHCP服务器服务器u（3）在“IP地址范围”对话框中设置由该DHCP服务器分配的IP地址范围（称作IP地址池），并设置“子网掩码”或子网掩码的“长度”。3.3.1 安装安装DHCP服务器服务器u（4）在“添加排除”对话框中设置保留的、不再动态分配的IP地址的起止范围。由于所有的服务器都需要采用静态IP地址，另外某些特殊用户（如管理员，以及其他超级用户）往往也需要采用静态IP地址，此时就应当将这些IP地址添加至“排除的IP地址范围”列表框中，而不再由DHCP动态分配 3.3.1 安装安装DHCP服务器服务器3.3.1 安装安装DHCP服务器服务器u（6）在“配置DHCP选项”对话框中选中“是，我想现在配置这些选项”单选按钮，准备配置默认网关、DNS服务器IP地址等重要的IP地址信息，从而使DHCP客户端只需设置为“自动获取IP地址信息”即可，无需再指定任何IP地址信息。也可以选择“否”，以后再配置这些选项也可以。3.3.1 安装安装DHCP服务器服务器u（7）在“路由器（默认网关）”对话框中指定默认网关的IP地址。3.3.1 安装安装DHCP服务器服务器u（8）在“域名称和DNS服务器”对话框中设置域名称和DNS服务器的IP地址。3.3.1 安装安装DHCP服务器服务器u（9）在“激活作用框”对话框中选中“是，我想现在激活此作用域”单选按钮，激活该DHCP服务器，为网络提供DHCP服务。3.3.1 安装安装DHCP服务器服务器u 2.通过“Windows组件向导”安装DHCP服务u DHCP服务也可以在“控制面板”窗口中，采用传统的“添加/删除程序”的方式来安装。通过“Windows组件向导”对话框打开“网络服务”对话框，选中“动态主机配置协议（DHCP）”复选框即可 3.3.1 安装安装DHCP服务器服务器3.3.1 安装安装DHCP服务器服务器u授权DHCP服务器uWindows Server 2003为使用活动目录的网络提供了集成的安全性支持。针对DHCP服务器，它提供了授权的功能。通过这一功能可以对网络中配置正确的合法DHCP服务器进行授权，允许它们对客户端自动分配IP地址。同时，还能够检测末授权的非法DHCP服务器以及防止这些服务器在网络中启动或运行，从而提高了网络的安全性。3.3.2 授权授权DHCP服务器服务器u（1）对域中的DHCP服务器进行授权3.3.2 授权授权DHCP服务器服务器u（2）为什么要授权DHCP服务器u由于DHCP服务器为客户端自动分配IP地址时均采用广播机制，而且客户端在发送DHCP Request消息进行IP租用选择时也只是简单地选择第一个收到的DHCP Offer，这意味着在整个IP租用过程中，网络中所有的DHCP服务器都是平等的。如果网络中的DHCP服务器都是正确配置的，则网络将能够正常运行。如果在网络中出现了错误配置的DHCP服务器，则可能会引发网络故障。例如，错误配置的DHCP服务器可能会为客户端分配不正确的IP地址而导致该客户端无法进行正常的网络通信。3.3.2 授权授权DHCP服务器服务器图图3-15 网络中出现非法的网络中出现非法的DHCP服务器服务器3.3.2 授权授权DHCP服务器服务器为为 DHCP 服务授权服务授权 DomainControllerActive DirectoryDHCP Client DHCP Server1 checks with the domain controller to obtain a list of authorized DHCP serversUnauthorizedDoes not service DHCP requestsAuthorizedServices DHCP requestsDHCP Server1DHCP Server2If DHCP Server1 finds its IP address on the list,the service starts and supports DHCP clientsDHCP Server2 checks with the domain controller to obtain a list ofauthorized DHCP serversIf DHCP Server2 does not find its IP address on the list,the service does not start and support DHCP clientsDHCP client receives IP address from authorized DHCP Server1DHCP client receives IP address from authorized DHCP Server1DomainControllerActive DirectoryDHCP Client UnauthorizedDoes not service DHCP requestsAuthorizedServices DHCP requestsDHCP Server1DHCP Server2DHCP authorization is the process of registering the DHCP Server service in the Active Directory domain to support DHCP clientsu（3）不同角色的DHCP服务器uDHCP服务器的授权过程取决于该服务器在网络中的安装角色。在Windows Server 2003网络中，每台计算机都可以安装成3种角色（服务器类型）。域控制器：该计算机为域成员用户和计算机保域控制器：该计算机为域成员用户和计算机保存、维护活动目录数据库并提供安全的账户管存、维护活动目录数据库并提供安全的账户管理与身份验证。理与身份验证。成员服务器：该计算机不作为域控制器运行，成员服务器：该计算机不作为域控制器运行，但是它加入了域，在所加入域的活动目录数据但是它加入了域，在所加入域的活动目录数据库中拥有成员身份账户。库中拥有成员身份账户。3.3.2 授权授权DHCP服务器服务器独立服务器：该计算机不作为域控制器或域中的成员服务器运行，而是作为工作组中的一台服务器，通过特定的工作组名称在网络上公开自己的身份并提供相应服务。3.3.2 授权授权DHCP服务器服务器u创建创建DHCPDHCP作用域作用域uDHCP服务器是为了自动分配IP地址而配置的，因此必须具有相应可分配的、有效的IP地址。将这些IP地址组织起来，形成一个lP地址范围，称为作用域(Scope)。3.3.3 创建创建DHCPDHCP作用域作用域u 作用域:一个合法的IP地址范围，用于将IP地址租用给客户机。u利用“配置您的服务器向导”安装DHCP的过程中可以根据提示创建作用域，并能正常提供服务。u利用“添加删除应用程序”安装DHCP，必须通过“新作用域”向导创建作用域之后才能提供服务。u 配置作用域参数u 激活作用域：激活前要配置好所用的选项。注：创建一个作用域后，不能修改作用域的子网掩码，除非删除重新创建。3.3.3 创建创建DHCPDHCP作用域作用域u保留特定的保留特定的IPIP地址地址u如果用户想保留特定的IP地址给指定的客户机，以便DHCP客户机在每次启动时都获得相同的IP地址，就需要将该IP地址与客户机的MAC地址绑定。3.3.4 保留特定的保留特定的IP地址地址u配置超级作用域配置超级作用域u 超级作用域是运行Windows Server 2003的DHCP服务器的一种管理功能，当DHCP服务器上有多个作用域时，就可组成超级作用域，作为单个实体来管理。超级作用域常用于多网配置。多网是指在同一物理网段上使用两个或多个DHCP服务器以管理分离的逻辑IP网络。3.3.5 配置超级作用域配置超级作用域u1.配置基于Windows平台的DHCP客户端u（1）打开本地连接的“Internet协议（TCP/IP）属性”对话框。u（2）在该对话框选中“自动获得IP地址”和“自动获得DNS服务器地址”两项 u2.测试DHCP客户端u 在DHCP客户端上打开命令提示符窗口，通过Ipconfig/all和ping命令对DHCP客户端进行测试。3.4 配置和测试配置和测试DHCP客户端客户端u3.手动释放DHCP客户端IP地址租约u 在DHCP客户端上打开命令提示符窗口，使用ipconfig/release命令手动释放DHCP客户端IP地址租约。u4.手动更新DHCP客户端IP地址租约u 在DHCP客户端上打开命令提示符窗口，使用ipconfig/renew命令手动更新DHCP客户端IP地址租约。3.4 配置和测试配置和测试DHCP客户端客户端u4.在DHCP服务器上验证租约u 使用具有管理员权限的用户账户登录DHCP服务器，打开DHCP管理控制台。在左侧控制台树中双击DHCP服务器，在展开的树中双击作用域，然后单击“地址租约”选项，将能够看到从当前DHCP服务器的当前作用域中租用IP地址的租约。3.4 配置和测试配置和测试DHCP客户端客户端u1.DHCP选项u DHCP服务器除了可以为DHCP客户机提供IP地址外，还可用于设置DHCP客户机启动时的工作环境，如客户机登录的域名称、DNS服务器、WINS服务器、路由器、默认网关等参数信息，这些信息称为DHCP选项。3.5 配置配置DHCP选项选项u2.配置DHCP服务器选项和作用域选项u 配置DHCP选项任务描述：在服务器选项添加“006 DNS服务器”，DNS服务器IP地址为；在作用域选项中添加“003路由器”，路由器的IP地址为。3.5 配置配置DHCP选项选项DHCP 作用域选项作用域选项是指是指DHCP客户端的工作环境，连同客户端的工作环境，连同IP 地址和子网掩码一起由地址和子网掩码一起由DHCP服务器提供。服务器提供。DHCP ClientDHCP ServerDHCP Client可获得的可获得的IP参数：参数：IP 地址地址子网掩码子网掩码DHCP 常用作用域类型常用作用域类型:003 路由器路由器的的IPIP地址地址006 DNS服务器服务器的的IPIP地址地址015 DNS域名称域名称 044 WINS044 WINS服务器服务器IPIP地址地址 046 NetBIOS046 NetBIOS节点类型节点类型3.5 配置配置DHCP选项选项 DHCPDHCP作用域选项的分类及优先级作用域选项的分类及优先级作用域选项作用域选项保留客户端选项保留客户端选项服务器选项服务器选项作用域选项作用域选项作用域选项作用域选项用户类选项用户类选项 自定义作用域选项的用法自定义作用域选项的用法DHCP option applied at theserver levelDHCP option applied at thescope levelDHCP option applied at thereserved-client levelScope AScope BWindows XPDHCP ServerWindows 98Windows XPRouterFile and Print ServerScope AScope BWindows XPDHCP ServerWindows 98Windows XPRouterFile and Print Server3.5 配置配置DHCP作用域选项作用域选项u3.配置DHCP类别选项u DHCP的类别选项包括用户类别和供应商类别两种。u（1）服务器端的设置u（2）将客户端的用户类别识别码配置为guest3.5 配置配置DHCP作用域选项作用域选项DHCP option applied at theclass levelScope AScope BDHCP ServerWindows 98Windows XPWindows XPRouterRouterFile and Print Server 自定义作用域选项的用法自定义作用域选项的用法利用选项类利用选项类u 销售商定义的类可以识别DHCP 客户机操作系统的销售类型和配置u用户定义的类通过客户机的类型识别DHCP 客户机选项选项 A选项选项B选项选项CClient2Client3DHCPServerClient1u1.在单物理子网中配置多个DHCP服务器u2.多宿主DHCP服务器u3.跨网段的DHCP中继代理u DHCP中继代理用于在DHCP客户端和DHCP服务器之间中继DHCP消息，其工作过程如下：u（1）收到本子网DHCP客户端广播发出的DHCP消息后，如果在预定的时间内没有DHCP服务器广播发出的DHCP回应消息，则会将客户端的DHCP消息以单播方式转发给预先指定的DHCP服务器。3.6 复杂网络的复杂网络的DHCP服务器的配置服务器的配置u（2）DHCP服务器收到DHCP中继代理转发来的DHCP 消息后，会提供一个与DHCP中继代理的IP地址在同一子网的IP地址，然后以单播方式将回应的DHCP消息发送给DHCP中继代理。u（3）DHCP中继代理收到DHCP服务器回应的DHCP消息后，再通过广播方式发送给DHCP客户端。3.6 复杂网络的复杂网络的DHCP服务器的配置服务器的配置在路由网络配置在路由网络配置DHCPDHCP中继代理用于在不同子网的DHCP客户端和DHCP服务器之间中继DHCP消息DHCP ServerClientDHCP Relay AgentClientClientClientRoutersNon-RFC 1542 Compliant单播单播单播单播BroadcastSubnet ASubnet BBroadcastDHCP中继代理是如何工作的？中继代理是如何工作的？RouterNon-RFC 1542 CompliantClient1DHCP Relay AgentClient2DHCP ServerClient3RouterNon-RFC 1542 CompliantClient1DHCP 中继代理中继代理Client2DHCP ServerClient3Client1 广播一个广播一个 DHCPDISCOVER 报文报文1中继代理转发这个中继代理转发这个DHCPDISCOVER 信息给信息给 DHCP server2DHCP Server 发送一个发送一个 DHCPOFFER 信息给信息给 DHCP 中继代理中继代理3中继代理广播中继代理广播 这个这个DHCPOFFER 报文报文4Client1 广播一个广播一个 DHCPREQUEST 报文报文5中继代理转发这个中继代理转发这个DHCPREQUEST信息给信息给 DHCP server6DHCP Server 发送一个发送一个 DHCPACK信息给信息给 DHCP 中继代理中继代理7中继代理广播中继代理广播 这个这个DHCPACK报文报文8如何使用如何使用DHCP中继代理跃点计数？中继代理跃点计数？跃点计数阈值是中继代理通信可以跨过的最大跳数DHCP Relay Agent 2DHCP ServerHop Count=2DHCP Relay Agent 1如何使用如何使用DHCP中继代理的启动阀值？中继代理的启动阀值？DHCP Server 2DHCP Server 3DHCP Relay AgentBoot Threshold=10 secondsLocal DHCP ServerDHCP Server 2DHCP Server 3DHCP Relay AgentBoot Threshold=10 secondsLocal DHCP Server启动阈值是中继代理转发dhcp消息前的等待时间3.7 DHCP服务器的维护服务器的维护u管理DHCP数据库概述uDHCP数据库uDHCP数据库的备份和还原uDHCP数据库的一致性DhcpDHCPDatabase管理管理DHCP数据库概述数据库概述DHCP数据库存储着整个网络中所有的客户机地址租约的信息,动态维护着客户机IP地址的申请,注销,是整个DHCP服务的关键,必须保证DHCP服务器上的数据的安全无误,及时地对它进行维护管理.一般情况下,管理维护DHCP数据库会完成以下任务管理管理DHCP数据库任务数据库任务管理任务管理任务操作操作可能用到工具可能用到工具管理管理DHCP数据库的数据库的增长增长及时压缩及时压缩DHCP数据数据库库Jetpack.exe保护保护DHCP数据库数据库备份和恢复备份和恢复DHCP数数据库据库DHCP管理控制台管理控制台确保确保DHCP数据库一数据库一致性致性协调数据库一致性协调数据库一致性DHCP管理控制台管理控制台增加客户端增加客户端配置作用域配置作用域DHCP管理控制台管理控制台增加新的网络服务增加新的网络服务器器配置作用域选项配置作用域选项DHCP管理控制台管理控制台增加新子网增加新子网配置作用域配置作用域relayDHCP管理控制台管理控制台DHCP数据库数据库DHCPDatabasesystemrootsystem32dhcpStoredStoredsystemrootsystem32dhcpbackupjetnewBackupBackupDHCP数据库数据库DHCP数据库文件数据库文件文件文件描述描述DHCP.mdbDHCP服务器数据库文件服务器数据库文件,是数据库核心文件是数据库核心文件Tmp.mdb 在数据库索引维护操作中在数据库索引维护操作中DHCP数据库用作数据库用作交换文件的临时文件交换文件的临时文件.在系统出现故障后在系统出现故障后,此此文件有时会留在文件有时会留在systemrootsystem32dhcp中中J50.log and j50*.log所有数据库事务的日志文件所有数据库事务的日志文件.必要时必要时DHCP数数据库使用此文件恢复数据据库使用此文件恢复数据Res*.log系统预留的数据库事务日志文件系统预留的数据库事务日志文件,当磁盘空当磁盘空间不足时间不足时,避免事务不能正常写入避免事务不能正常写入,而预留的而预留的,默认情况下默认情况下,预留两个事务日志文件预留两个事务日志文件,每个为每个为1MJ50.chk检查点文件检查点文件 DHCP ServerDHCPDHCPOffline StorageDHCP数据库的备份和还原数据库的备份和还原Back upThe DHCP service automatically backs up the DHCP database to the backup directory on the local driveRestoreBack upRestoreIf the original database is unable to load,the DHCP service automatically restores from the backup directory on the local driveThe administrator moves a copy of the backed up DHCP database to an offline storage locationIn the event that the server hardware fails,the administrator can restore only from the offline storage locationDHCP数据库的备份和还原数据库的备份和还原u自动备份系统自动进行的同步备份,并不需要用户的参与,默认备份间隔为60分钟u手工备份使用DHCP控制台备份和使用备份程(NTBACKUP.EXE)或其他备份软件的备份u数据库的还原u（1）停止DHCP服务u（2）在%Systemroot%system32dhcp（数据库文件的路径）目录下，删除J50.log，j50 xxxxx.log和dhcp.tmp文件u（3）拷贝备份的dhcp.mdb到%Systemroot%system32dhcp目录下u（4）重新启动DHCP服 DHCP数据库的备份和还原数据库的备份和还原DHCP数据库的备份和还原数据库的备份和还原DHCP数据库的一致性数据库的一致性Example摘要信息摘要信息详细信息详细信息DHCP 数据库协调以后数据库协调以后Client has IP address 192.168.1.34IP address 192.168.1.34 is availableCreate an active lease entryDHCP ServerDHCPDatabaseRegistry摘要地址租约摘要地址租约信息信息详细的详细的IP地址地址租约信息租约信息比较信息，发现不比较信息，发现不一致一致协调协调DHCP数据中数据中的不一致的不一致DHCP数据库的一致性数据库的一致性u详细的IP地址租用信息存储在DHCP数据库中u摘要性的IP地址租用信息存储在注册表中 某些情况下可能造成这两个位置存储信息的不同，系统进行协调作用域时，会将详细的和摘要性的条目进行对比来查找不一致的地方，然后进行修复DHCP数据库的一致性数据库的一致性DHCP 统计信息统计信息DHCP 统计信息收集自上次统计信息收集自上次DHCP服务器启动以来的服务器级服务器启动以来的服务器级和作用域级的信息和作用域级的信息DHCP ServerDHCP审核日志审核日志 DHCP 审核日志是服务器相关的日志，比如，什么时间审核日志是服务器相关的日志，比如，什么时间DHCP服务启服务启动和停止；什么时间动和停止；什么时间DHCP服务器被授权服务器被授权；或者或者 IP 地址释放、重新获地址释放、重新获得、重新释放，或者拒绝的情况得、重新释放，或者拒绝的情况DHCP审核日志工作过程审核日志工作过程3.结束每日审核日志结束每日审核日志2.DHCP 检查磁盘空间检查磁盘空间1.DHCP 打开每天的日志打开每天的日志DHCP服务器开始写入服务器开始写入日志，用一个头信息表日志，用一个头信息表示日志已经开始记录示日志已经开始记录定期执行磁盘检查，以确保服务器磁盘空定期执行磁盘检查，以确保服务器磁盘空间的可用性以及当前审核日志文件不会变间的可用性以及当前审核日志文件不会变得太长或日志文件增长不会太快得太长或日志文件增长不会太快服务器关闭现有日志并服务器关闭现有日志并移动到用于本周后一天移动到用于本周后一天的日志文件的日志文件DHCPSrvLog-Mon.LogDHCPSrvLog-Tue.Log审核日志每天都收集审核日志每天都收集DHCP服务器的事件，把它们写入日服务器的事件，把它们写入日志文件中志文件中12:00 amDHCP审核日志审核日志使用性能计数器监控使用性能计数器监控DHCP服务器服务器性能计数器性能计数器What to look for after a baseline is establishedPackets received/secondMonitor for sudden increases or decreases which could reflect problems on the network Requests/secondMonitor for sudden increases or decreases which could reflect problems on the network Active queue lengthMonitor for increases both sudden and gradual which could reflect increased load or decreased server capacity Duplicates dropped/secondMonitor for any activity which could indicate that more than one request is being transmitted on behalf of clients 配置配置DHCP安全性安全性u限制非法客户机获得IP地址租约u限制非授权的服务器提供IP地址租约u限制DHCP管理员数目u实现DHCP数据库安全性限制非法客户机获得限制非法客户机获得IP地址租约地址租约To restrict an unauthorized user from obtaining a lease:确保非授权的用户和网络之间没有物理连接确保非授权的用户和网络之间没有物理连接在网络中每一台在网络中每一台DHCP服务器上起用审核日志服务器上起用审核日志定期检查审核日志定期检查审核日志启用启用 802.1X标准进行网络身份验证标准进行网络身份验证限制非授权的服务器提供限制非授权的服务器提供IP地址租约地址租约To restrict an unauthorized,non-Microsoft DHCP server from leasing IP addresses:Ensure that unauthorized persons do not have physical or wireless access to your networkMicrosoft DHCP ServerOnly DHCP servers running Windows 2000 or Windows Server 2003 can be authorized in Active DirectoryUnauthorized,non-Microsoft DHCP ServerNon-Microsoft DHCP server software does not include the authorization feature that is included in Windows 2000 and Windows Server 2003限制限制DHCP管理员数目管理员数目To restrict who can administer the DHCP service:Restrict the membership of the DHCP Administrators group to the minimum number of users necessary to administer the serviceIf there are users who need read-only access to the DHCP console,then add them to the DHCP Users group instead of the DHCP Administrators groupDHCP Users groupHave read-only DHCP console access to the serverDHCP Administrators gr