我目前使用在DC上运行的DHCP来pipe理Windows 2008域networking。 客户端dynamic获取地址,服务器分配静态地址。
如果DC在一夜之间失败,并且工作人员在早上进来,他们将没有IP地址,并且将无法连接到互联网。 我认为如果将DHCP移动到防火墙,人们仍然可以login到互联网,networking仍然基本上是function性的,没有ADfunction。
我的逻辑不正确吗? 在Active Directorynetworking中的防火墙上使用DHCP有什么优缺点?
在防火墙和服务器上configurationDHCP服务器没有什么优点或缺点。 只要configuration正确,一点都不重要。 在某些情况下,硬件防火墙具有有限的资源,可以更好地用于NAT,数据包过滤甚至VPN终止。 添加DHCP,DNS和其他多余的angular色可能会降低性能。
使用Windows Server 2012,可以在不使用集群的情况下执行HA DHCP,以便拥有热备用故障切换伙伴。 这是HA DHCP的新的最佳实践,而不是旧的DHCP集群方法,这是复杂而繁琐的。 如果你真的担心这个,你应该抓取Server 2012或2012 R2的几个副本,并进行设置。
这听起来像你有一个单一的域控制器。 这很糟糕的原因有很多。 请在您的环境中使用多个DC。
除了DNUCKLES提供的答案之外,假设您的DC也是您的DNS服务器,并且您正确地仅将域客户端指向其DNS客户端设置中的DC / DNS,那么在防火墙上使用DHCP不会执行客户端如果他们没有从DC上获得DNS名字parsing的话,那么他们会有很多好处。
话虽如此,你可以(应该)build立第二个DC / DNS服务器,然后你可以在第二台服务器上运行DHCP。 使用DHCP拆分范围向导将允许您在两台服务器之间拆分您的DHCP范围,以便在其中一台服务器停机时,另一台仍然能够向客户端提供AD,DNS和DHCP服务。
编辑
我刚刚看到你的windows-server-2008标签。 Windows分区范围向导是在Windows Server 2008 R2中引入的。 您仍然可以在两台Windows Server 2008 DHCP服务器之间分割您的DHCP范围,但是您必须手动执行(50-50分割,80-20分割等)。
在分裂毛发的风险,应该指出,不再是PDC的,而是PDC 模拟器 ,这是一个FSMO的作用。 这就是要求提供一个专业和服务的名单,这将取决于你希望用作你的防火墙设备。
也许与使用Windows DHCP相比,使用防火墙最显着的区别和缺点是您的客户端地址不会再在您的DNS服务器上dynamic注册。