因DHCP用戶端是不需要身分驗證就能取得IP, 所以要確認只有允許的用戶端才能使用
1. 限制網路存取: 例網路孔管制、網路卡位址管制、IEEE 802.1X身份驗證、WiFi身分驗證
2. 啟用DHCP審核日誌記錄追蹤使用情況
3. DHCP名稱保護: 使用DHCID防止Windows系統DNS名稱註冊被使用相同名稱的非Windows系統覆蓋
4. 設定進階DHCP選項(原則): 廠商類別、使用者類別、MAC位址、用戶端識別元、完整網域名稱、轉送代理資訊
DHCP名稱保護, 於領域項目上按滑鼠右鍵叫出內容, 再點擊DNS標籤, 按下名稱保護設定按鈕
勾選啟用名稱保護, 便會將主機名稱及對應IP記錄於DNS內, 如有相同名稱主機則以先記錄者優先取得該IP
維護DHCP資料庫:
。DHCP資料庫預設存放於 %systemroot%\system32\dhcp\dhcp.mdb, 內容包含IP領域範圍資訊、租用及其他有關設定資訊
。每60分鐘自動備份, 或可手動備份
。當遷移DHCP伺服器時, 可將DHCP資料庫移到新DHCP伺服器上
維護指令:
netsh dhcp -> export/import
PowerShell
Backup-DhcpServer
Restore-DhcpServer
Export-DhcpServer
Import-DhcpServer
協調(Reconciling)DHCP資料庫:
隨著時間的推移, DHCP資料庫可能會出現不一致情形, 協調啟動資料庫一致性檢查, 協調領域範圍可以修復可能影響用戶端電腦的不一致性, 要修正和修復這些不一致, 必須選擇並協調領域範圍不一致後, DHCP服務會將這些IP位址還原到原始所有者或者為這些位址建立臨時保留, 這些預留對分配給領域範圍的租約時間有效, 當租約時間到期時, DHCP服務恢復位址以供將來使用
DHCP伺服器服務以兩種形式儲存領域範圍IP位址租約資訊:
。DHCP資料庫儲存的詳細IP位址租約資訊
。大略IP位址租約資訊, 儲存於伺服器的註冊表
沒有留言:
張貼留言