DHCP与AD详细方案

DHCP概述1.什么是DHCP：DHCP是用于简化IP配置管理的ICP/IP标准，对客户机动态分配ICP/IP信息。第一次启动DHCP客户机时，该客户机将在网络中请求IP地址，当DHCP服务器收到IP地址请求后，它将从数据库定义的地址中选择IP地址提供给DHCP客户机。2.使用DHCP的理由：减小管理员的工作量减小输入错误的可能避免IP冲突当网络更改IP地址段时，不需要重新配置每台计算机的IP地址计算机移动不必重新配置IP地址提高了IP地址的利用率DHCP服务的工作过程客户机出了可以从DHCP服务器获得IP地址外，还可以获得子网掩码、默认网关地址、DNS服务器地址等信息，以上这个过程又称为DHCP租约过程。DHCP租约过程：租约过程分为4个步骤：客户机请求IP地址、服务器响应、客户机选择IP地址、服务器确定租约。1.客户机请求IP租约DHCP客户机在网络中广播一个DHCPiscover包以请求IP地址，所以此过程也称为DHCPiscover。2.服务器响应当DHCP服务器接收到客户机请求IP地址的信息时，就在自己的IP地址库中查找是否有合法的IP地址提供给客户机，如果有，DHCP服务器就将此IP地址做上标记，广播一个DHCPOffer包。DHCPOffer包中包含的信息有：DHCP客户机的MAC地址，用来正确标识客户机DHCP服务器提供的合法IP地址子网掩码租约的期限服务器标识符（DHCP提供服务器的IP地址）3.客户机选择IP地址DHCP客户机从接收到的第一个DHCPOffer包中选择IP地址，并将DHCPRequest包广播到所有DHCP服务器，表明它接受提供的内容（此过程也称为DHCPRequest）。DHCPRequest包的信息包含为该客户机提供IP配置的服务器的服务标识符（IP地址）。4.服务器确认IP租约DHCP租约过程中的第四步也是最后一步为服务器确认IP租约，也称为DHCPACK/DHCPNCK。DHCP服务器接收到DHCPRequest后，以DHCPACK（DHCPAcknowledge）消息的形式向客户机广播成功的确认，该消息包含IP地址的有效租约和其他可能配置的信息。如果客户机DHCPRequest不成功，DHCP服务器将广播否定确认消息DHCPACK包。当客户机接收到不成功的确认时，他将重新开始DHCP租约过程。IP租约更新当客户机重新启动或租期达50%时，就需要重新更新租约，客户机直接向提供租约的服务器发送DHCPRequest包，要求更新现有的地址租约。如果DHCP服务器收到请求，它将发送DHCP确认信息给客户机，更新客户机租约。如果客户机无法与提供租约的服务器取得联系，则客户机一直等到租期达87.5%时，进入重新申请状态，它向网络上所有的服务器广播DHCPiscover包以更新现有的地址租约。如果服务器响应客户机的请求，那么客户机使用该服务器提供的地址信息更新现在的租约。如果租约终止或无法与其他服务器通信，客户机将无法使用现有的地址租约。在客户机上使用ipconfig/renew命令可以向DHCP服务器发送DHCPRequest包，以接收更新选项和租约时间。如果DHCP服务器没有响应，客户机将继续使用当前的DHCP配置选项。在客户机上使用ipconfig/release命令使DHCP客户机向DHCP服务器发送DHCPRequest包并释放其租约。配置DHCP服务器的要求应该有静态IP地址、子网掩码和其他的TCP/IP参数要安装DHCP服务使用活动目录服务授权DHCP服务器建立作用域（作用域实际上是一段IP地址的范围）并激活在安装DHCP服务器之前，需要规划以下信息确定DHCP服务器应分发给客户端的IP地址范围和子网掩码确定DHCP服务器不应向客户端分发的所以IP地址决定IP地址的租用期限。默认值为8天是否给客户端配置默认网关、首选DNS服务器等TCP/IP参数DHCP的部署绍兴越城物流公司使用的IP地址段为172.16.0.0/16，服务器使用静态的172.16.0.1----172.16.0.7网段，其余的地址段有DHCP服务器自动分发给客户机使用。安装DHCP服务安装DHCP服务可以有两种方式：通过“添加/删除Windows组件”或通过“管理您的服务器”选项来安装。1.打开“开始”菜单，选择“控制面板”—“添加或删除程序”命令2.在弹出的窗口中单击“添加/删除Windows组件”3.在组件向导的列表框中选中“网络服务”复选框，单击“详细信息”按钮4.在出现的网络服务窗口中选中“动态主机配置协议（DHCP）”复选框，单击“确定”按钮，系统开始安装DHCP服务。5.系统安装完毕后，单击对话框中的“完成”按钮，打开“开始”菜单中的所以程序就可以看到DHCP了。授权DHCP服务器授权是一种安全的预防措施，它可确保只有经过授权的DHCP服务器才能在网络中运行。单击“开始”菜单---所以程序—DNS，打开后右击服务器名在弹出的快捷菜单中选择“管理授权的服务器命令”，此时出现“管理授权的服务器”对话框，单击授权在弹出的窗口中输人DHCP服务器的IP地址点确定就行了。配置作用域在授权DHCP服务器之后，首要的任务便是创建作用域及配置作用域。作用域实际就是一段IP地址的范围，当DHCP客户机请求IP地址时，DHCP服务器将从此段范围中选取一个尚未出租的IP地址，将其分配给DHCP客户机。每一个DHCP服务器中至少有一个作用域，为一个网段分配IP地址。如果要为多个网段分配IP地址，就需要在DHCP服务器上创建多个作用域。1.新建作用域右击DHCP服务器名，在弹出的快捷菜单中选择“新建作用域”命令。此时出现“新建作用域向导”界面，单击“下一步”按钮，按提示输入相应的东西就可以了。2.激活作用域新建作用域之后，作用域前面有红色向下的箭头，表明作用域状态不活动，此时客户端不能从该作用域获得IP地址。要使作用域生效，需要右击作用域，在弹出的快捷菜单中选择“激活”命令。3.配置作用域选项创建DHCP作用域后，就可以为DHCP客户机配置选项，配置选项中可以为客户端分发网关、DNS等信息。4.配置客户端保留客户端保留可以确保让某台计算机总是获得同一IP地址DHCP中继代理DHCP中继代理工作原理：1.DHCP客户机申请IP租约，发送DHCPiscover包2.中继代理收到该包，并转发给另一个网段的DHCP服务器3.DHCP服务器收到该包，将DHCPOffer包发送给中继代理4.中继代理将地址租约（DHCPOffer）转发给DHCP客户端接下来的过程，DHCPRequest包从客户机通过中继代理转发到DHCP服务器，DHCPACK消息从服务器通过中继代理转发到客户机。配置DHCP中继代理打开“管理工具”----“路由和远程访问”窗口，按照提示完成即可。AD概述在Windows2003中，各种网络服务以服务器角色出现，方便了用户对网络资源进行分配与管理。应用服务器角色对网络进行管理，均需要有活动目录服务、域名系统服务、动态主机配置协议服务、WindowsInternet命名服务的配合与支持。本文将向你重点讲解上述活动目录服务务的实现方法与技巧。什么是活动目录活动目录(ActiveDirectory)是用于Windows2003的目录服务。它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。活动目录的优点1.集中管理活动目录集中组织和管理网络中的资源信息。活动目录好比一个图书馆的图书目录，图书目录存放了这个图书馆的图书信息，便于管理。2.便捷的网络资源访问活动目录允许用户一次登录网络就可以访问网络中的所以该用户有权限访问的资源。并且，用户访问网络资源时不必要知道资源所在的地理位置。活动目录允许快速、方便地查询网络资源。如：用户帐户、组、共享文件夹、打印机等。3.可扩展性活动目录具有强大的可扩展性。目录可以随着公司或组织的增长而一同扩展，允许从一个网络对象较少的小型网络环境发展成大型网络环境。DNS与活动目录由于活动目录与DNS(DomainNameSystem，域名系统)集成，共享相同的名称空间结构，因此注意两者之间的差异非常重要：1.DNS是一种名称解析服务DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询，然后通过本地存储的文件解析名称查询，或者查询其他DNS服务器进行名称解析。DNS不需要活动目录就能运行。2.活动目录是一种目录服务活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(LightweightDirectoryAccessProtocol，LDAP)”向活动目录服务器发送查询。要定位活动目录服务器，活动目录客户机将查询DNS。活动目录需要DNS才能工作。即活动目录用于组织资源，而DNS用于查找资源；只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。DNS是活动目录的关键组件，如果没有DNS，活动目录就无法将用户的请求解析成资源的IP地址，因此在安装和配置活动目录之前，我们必须对DNS有深入的理解。规划活动目录在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。1.规划DNS如果用户准备使用活动目录，则需要首先规划名称空间。当DNS域名称空间可在Windows2003中正确执行之前，需要有可用的活动目录结构。所以，从活动目录设计着手并用适当的DNS名称空间支持它。在Windows2003中，用DNS名称命名活动目录域。选择DNS名称用于活动目录域时，以保留在Internet上使用的已注册DNS域名后缀开始(如microsoft.com)，并将该名称和单位中使用的地理(部门)名称结合起来，组成活动目录域的全名。例如，microsoft的sales组可能称他们的域为“sales.microsoft.com”。这种命名方法确保每个活动目录域名是全球唯一的。而且，这种命名方法一旦被采用，使用现有名称作为创建其他子域的父名称以及进一步增大名称空间以供单位中的新部门使用的过程将变得非常简单。2.规划用户的域结构最容易管理的域结构就是单域。规划时，用户应从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，OrganizationalUnits)来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。3.规划用户的委派模式用户可以将权限下派给单位中最底层部门，方法是在每个域中创建组织单元树，并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限，用户不再需要那些定期登录到特定账户的人员，这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组，可以仍保留这些账户以备少数管理员偶尔使用。安装活动目录服务运行活动目录安装向导将Windows2003计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。1.安装前的准备工作首先，也是最重要的一点，就是你必须有安装活动目录的管理员权限，否则无法安装。在安装活动目录之前，要确保系统盘为NTFS分区。同时，已做好了DNS服务器的解析，如lanyi.com。2.安装域控制器在安装活动目录前首先确定DNS服务正常工作，下面我们来安装根域为lanyi.com的域控制器。(1)依次单击“开始→设置→控制面板”菜单项，在“控制面板”对话框中双击“管理工具”项，然后在出现的对话框中双击“管理你的服务器向导”选项，启动配置向导。单击“添加或删除角色”选项，单击“下一步”按钮。(2)在“配置选项”对话框中，选择“自定义配置”选项。单击“下一步”按钮。(3)在