我目前管理一个 Windows 2008 域网络,其中 DC 上运行有 DHCP。客户端动态获取地址,服务器分配有静态地址。
如果 DC 夜间发生故障,而工人早上来上班,他们将没有 IP 地址,无法连接到互联网。我认为,如果我将 DHCP 移至防火墙,人们仍然可以登录互联网,并且网络仍然基本正常运行,而无需 AD 功能。
我的逻辑不正确吗?在 Active Directory 网络中的防火墙上使用 DHCP 有哪些优缺点?
答案1
在防火墙中安装 DHCP 服务器与在服务器上安装 DHCP 服务器没有真正的利弊。只要配置正确,就不会有太大影响。在某些情况下,硬件防火墙的资源有限,最好将其用于 NAT、数据包过滤甚至 VPN 终止。添加 DHCP、DNS 和其他多余的角色可能会降低性能。
使用 Windows Server 2012,您可以在不使用群集的情况下执行 HA DHCP,这样您就有了热备用故障转移伙伴。这是 HA DHCP 的新最佳实践,而不是复杂而繁琐的旧 DHCP 群集方法。如果您真的担心这一点,您应该获取几份 Server 2012 或 2012 R2 并进行设置。
听起来您只有一个域控制器。这确实很糟糕,原因有很多。请在您的环境中拥有多个 DC。
答案2
除了 DNUCKLES 提供的答案之外,假设您的 DC 也是您的 DNS 服务器,并且您在其 DNS 客户端设置中正确地将域客户端指向 DC/DNS,那么如果客户端没有来自 DC 的 DNS 名称解析,那么在防火墙上使用 DHCP 对客户端来说不会有太大的好处。
话虽如此,您可以(应该)设置第二个 DC/DNS 服务器,然后也可以在此第二台服务器上运行 DHCP。使用 DHCP 拆分范围向导将允许您在两台服务器之间拆分 DHCP 范围,这样如果一台服务器关闭,另一台服务器仍然能够向客户端提供 AD、DNS 和 DHCP 服务。
编辑
我刚刚看到你的Windows 服务器 - 2008标签。DHCP 拆分作用域向导是在 Windows Server 2008 R2 中引入的。您仍然可以在 2 个 Windows Server 2008 DHCP 服务器之间拆分 DHCP 作用域,但您必须手动执行此操作(50-50 拆分、80-20 拆分等)。
答案3
冒着吹毛求疵的风险,应该指出的是,不再有PDC,而是PDC模拟器,这是一个 FSMO 角色。话虽如此,要求提供一份利弊清单将取决于您希望使用什么作为防火墙设备。
与 Windows DHCP 相比,使用防火墙最显著的区别和缺点可能是您的客户端地址将不再在您的 DNS 服务器上动态注册。