- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
AD-Campus 6.5
微软DHCP Server配置指导
资料版本:5W104-20240911
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
SeerEngine-Campus控制组件配置DHCP服务器支持“松耦合”和“紧耦合”两种方式。
· 松耦合:松耦合的DHCP Server,SeerEngine-Campus控制组件不会向DHCP Server申请创建任何地址池,也不同步DHCP Server的地址池信息。DHCP Server上所有的地址池都需要用户手动创建。
· 紧耦合:紧耦合连接的DHCP Server,SeerEngine-Campus控制组件会根据页面配置的IP地址段,向DHCP Server申请创建IP地址池,并且支持IP地址绑定等功能。
微软DHCP HA(高可用)在组网中位置如下所示:
图1-1 组网图
图2-1 流程图
微软DHCP需要使用两台服务器搭建高可用(HA)服务。
方案推荐使用HA双机部署(热备方式),如不考虑可靠性,也可单机部署。
硬件配置要求如下所示:
|
在线终端数量 |
Windows DHCP Server硬件资源 |
|
≤1万 |
· CPU:8 核,2.0GHz · 内存:16GB · 硬盘:2* 300GB RAID1 · RAID卡:256MB Cache |
|
1万~4万 |
· CPU:16 核,2.0GHz · 内存:16GB · 硬盘:2* 300GB RAID1 · RAID卡:256MB Cache |
|
4万~6万 |
· CPU:24 核,2.0GHz · 内存:32GB · 硬盘:2* 500GB RAID1 · RAID卡:1GB Cache |
|
6万~10万 |
· CPU:24 核,2.0GHz · 内存:64GB · 硬盘:2* 500GB RAID1 · RAID卡:1GB Cache |
· 物理服务器的硬盘需要配置RAID,RAID模式可选RAID1、RAID5、RAID10,RAID卡Cache容量参考表2-1,RAID卡需要支持数据掉电保护且超级电容必须在位。
· 物理服务器推荐双网卡聚合,具体请参考微软官方配置方法。
微软DHCP使用Windows操作系统自带的DHCP服务即可。版本要求如下所示:
表2-2 版本要求
|
软件配置需求 |
备注 |
|
Windows操作系统自带DHCP服务 |
DHCP Microsoft Corporation版本:6.3或10 操作系统:Windows Server 2016(推荐)、Windows Server 2012 R2及以上 |
微软自带DHCP服务长时间运行之后,分配保留IP时可能会出现错误,需要安装补丁进行规避。
Windows Server 2012 R2需要安装以下三个更新补丁:
· https://support.microsoft.com/en-us/kb/2919355
· https://support.microsoft.com/en-us/kb/3022781
· https://support.microsoft.com/en-us/kb/3000850
如果附件失效,请联系相关技术人员获取。
补丁安装步骤:
(1) 先安装KB2919442(KB2919355依赖该补丁)。
官网下载链接:https://support.microsoft.com/en-us/kb/2919442。
(2) 运行KB2919355官网下载页面的clearcompressionflag.exe(显示效果上可能没反应)。
(3) 安装KB2919355,该文件比较大,安装会较慢,大约耗时半小时。
(4) 安装完成后要求重启服务器。
(5) 解压并安装481344_intl_x64_zip.exe。
(6) 上一个安装完后,此时C盘会多出一个3022781的安装包,再进行安装。
(7) 安装完成后,重启服务器。
(8) 安装KB3000850补丁,然后重启服务器。
为确保DHCP HA正常运行,两台服务器的操作系统时钟要保持一致。
两台服务器时间差不能超过1分钟。否则会导致DHCP HA的故障转移状态异常。
· 两台服务器均需要安装微软DHCP服务。
· 两台服务器的主机名不能相同,否则可能会影响主备间故障转移关系建立,影响数据同步。
· 两台服务器的主机名也不能与网络中的其他微软DHCP服务器的主机名相同,否则会导致业务异常。
(1) 进入Windows服务器,键入Windows键,进入开始菜单页面。在该页面单击“服务器管理器”图标链接,打开服务器管理器。选择左侧导航树中的“仪表板”菜单项,进入配置此本地服务器页面。
图2-2 添加角色和功能
(2) 单击“添加角色和功能”链接,弹出添加角色和功能向导窗口,单击<下一步>按钮,进入选择安装类型页面。
(3) 选择“基于角色或基于功能的安装”选项,单击<下一步>按钮,进入选择目标服务器页面。
(4) 选择“从服务器池中选择服务器”选项,在下方“服务器池”区域确认Windows服务器的IP地址和操作系统,单击<下一步>按钮,进入选择服务器角色页面。
图2-3 选择服务器角色
(5) 单击“DHCP服务器”勾选框,在弹出的窗口中单击<添加功能>按钮,完成勾选DHCP服务器的操作。单击<下一步>按钮,进入选择功能页面。
(6) 保持默认配置,单击<下一步>按钮,进入DHCP服务器的介绍页面。
(7) 在该页面中可以了解DHCP服务器角色信息及注意事项,单击<下一步>按钮,进入确认安装所选内容页面。
(8) 确认在DHCP服务器上安装的功能,确认完成后,单击<安装>按钮,等待DHCP服务器完成安装。
图2-4 安装进度
(9) DHCP服务器安装完成后,单击<关闭>按钮,服务器管理器页面左侧导航栏将会出现DHCP选项。
图2-5 安装完成
(10) 键入“Windows键+R键”打开运行界面,在输入框中输入命令“cmd”,单击<确定>按钮,打开命令提示符终端。输入下述命令检查67端口被DHCP Server的占用情况,结果如下图所示。
netstat –ano | findstr "67"
图2-6 67端口占用情况
(11) 打开任务管理器,切换至“服务”页签,检查DHCPServer服务运行状态。
图2-7 DHCPServer服务运行状态
DHCP Server和Spine跨三层连接,需要在DHCP Server的业务网卡配置网关地址。
(1) 键入“Windows键+R键”打开运行界面,在输入框中输入命令“eventvwr”,单击<确定>按钮,打开事件查看器。
图2-8 事件查看器
(2) 单击左侧导航树中名称左侧的
图标,逐级展开路径:[事件查看器(本地)>应用程序和程序日志>Microsoft>Windows],单击“DHCP-Server”菜单项,展开DHCP-Server区域。
图2-9 DHCP-Server区域
a. 在该区域中鼠标右键单击“Microsoft-Windows-DHCP Server Events/Admin”项,在弹出的菜单项中选择“属性”选项,弹出日志属性窗口。
图2-10 修改日志文件大小
b. 将“日志文件最大大小(KB)(X)”项的值修改为102400,单击<确定>按钮,保存配置。
c. 重复上述步骤(a)及步骤(b),将DHCP-Server区域的“Microsoft-Windows-DHCP Server Events/FilterNotifications”项以及“Microsoft-Windows-DHCP Server Events/Operational”项中的“日志最大大小(KB)(X)”都修改为102400。
设置DHCP Server的DHCP服务活动日志文件大小的步骤如下:
(1) 键入“Windows键+R键”打开运行界面,在输入框中输入命令“regedit”,单击<确定>按钮,打开注册表编辑器。
(2) 单击左侧导航树中名称左侧的
图标,逐级展开路径:[HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Services>DHCPServer],单击“Parameters”菜单项,展开Parameters区域。
图2-11 Parameters区域
(3) 在该区域中,鼠标右键单击“DhcpLogFilesMaxSize”项,在弹出的菜单项中选择“修改”选项,弹出编辑DWORD(32位)值窗口。将“数值数据(V)”项的值修改为2000,该项默认单位为“M”。修改完成后,单击<确定>按钮保存配置。
(4) 打开任务管理器,切换至“服务”页签,鼠标右键单击“DHCPServer”服务,在弹出的菜单项中选择“重新启动”选项,重启DHCP服务。
· 对于HA场景,两台服务器均需要安装DHCP插件。
· 安装DHCP插件时,请使用管理员权限运行安装程序。
使用FTP、TFTP方式上传时,请选择binary模式(二进制模式)传输,以免损坏软件包。
Windows DHCP插件压缩包打包在SeerEngine-Campus控制组件软件包的附件中(即将dhcp-plug-windows-version和SeerEngine_CAMPUS-E6703-MATRIX一起打包),直接将压缩包拷贝至Windows服务器的待安装目录下,或通过FTP、TFTP、SCP等文件传输协议将压缩包上传到指定目录。
禁止将Windows DHCP插件安装在C:\Program Files或者C:\ProgramData下,否则将会导致注册表中的动态库失效、Windows DHCP插件安装失败。
(1) 进入Windows DHCP插件压缩包的存放路径,将压缩包解压至用户自定义的安装路径。
(2) 双击运行install.bat文件,安装DHCP插件。
(3) DHCP插件安装成功后,打开任务管理器,切换至“服务”页签,鼠标右键单击“DHCPServer”服务,在弹出的菜单项中选择“重新启动”选项,重启DHCP服务,完成安装操作。
需要在两台Windows服务器上安装DHCP插件,并分别修改插件的服务权限。
本节以其中一台服务器为例,介绍如何修改其插件服务权限。
(1) 进入Windows服务器,键入Windows键,进入开始菜单页面。在该页面单击“服务器管理器”图标链接,打开服务器管理器。
(2) 单击页面右上角“工具(T)”选项,在弹出的下拉选项中单击“服务”选项,弹出服务窗口。
图3-1 服务
(3) 鼠标右键单击“DHCP Plug”服务,在弹出的菜单项中选择“属性”选项,弹出DHCP Plug的属性窗口。
图3-2 DHCP Plug的属性
(4) 切换至“登录”页签,选择“此帐户”项。输入本机用户名、密码并确认密码后,单击<确定>按钮,保存配置。其中,此帐户为“.\Administrator”代表本地帐户。主机和备机的用户名密码请保持一致。
(5) 以步骤(3)与步骤(4)相同的方式,配置“DHCP Plug Start”服务。
(6) 配置完成后,鼠标右键单击“DHCP Plug”及“DHCP Plug Start”服务,在弹出的菜单项中选择“停止”选项,停止 DHCP Plug Start服务和DHCP Plug服务。服务停止后,选择“启动”选项,启动DHCP Plug Start服务和DHCP Plug服务。
进入Windows DHCP插件的安装路径,打开软件安装包,双击运行uninstall.bat文件,即可卸载DHCP插件。
· DHCP插件的版本与控制组件版本强相关。升级控制组件版本前,需要更新DHCP插件版本。
· 升级插件时需要停止DHCP服务,会影响用户业务(无法申请地址或续约),请预留割接窗口。
(1) 备份文件
新版本Windows DHCP插件压缩包解压后,新的安装目录将覆盖原有Windows DHCP插件安装目录,请在解压前将原有的dhcp-plug-windows\server\imf\server\conf目录下的四个文件(dhcp_agent.cfg、imf.cfg、plugin.cfg、qvdm.conf)进行备份,防止数据丢失。其中dhcp_agent.cfg和qvdm.conf文件为原始文件,plugin.cfg和imf.cfg文件为DHCP服务器被控制组件纳管后生成的文件。
(2) 停止DHCP Server服务
进入Windows服务器,键入Windows键,进入开始菜单页面。在该页面单击“管理工具”图标链接,打开管理工具。鼠标双击“服务”项,打开服务管理器。鼠标右键单击“DHCP Server”服务,在弹出的菜单项中选择“停止”选项,停止DHCP Server服务。
(3) 卸载旧版本插件
打开旧版本Windows DHCP插件软件安装包,双击运行uninstall.bat文件,进行卸载旧版本插件的操作。
(4) 用备份文件替换新版本插件安装包中的文件
将备份文件(dhcp_agent.cfg、imf.cfg、plugin.cfg、qvdm.conf)复制到新版本的dhcp-plug-windows\server\imf\server\conf目录下。
(5) 安装新版本插件
进入新版本插件安装目录,双击运行install.bat文件安装新版本的DHCP插件。
(6) 启动DHCP Sever服务
修改插件的服务权限,并重启插件服务(DHCP Plug Start和DHCP Plug)。方法请参考3.1.1 3. 修改插件服务权限。
本文中的IP规划如下表所示。
表3-1 IP规划列表
|
规划项 |
数据示例 |
说明 |
|
统一数字底盘北向业务IP |
100.1.0.100 |
登录统一数字底盘的地址 |
|
微软DHCP主机 |
8.0.0.171 |
主DHCP(微软) |
|
微软DHCP备机 |
8.0.0.172 |
备DHCP(微软) |
|
4094网段 |
130.1.0.0/24 |
设备管理网段 |
路径:[自动化>园区网络>网络参数>DHCP]
(1) 单击<增加>按钮,弹出增加DHCP服务器页面。输入名称,本文以“msdhcp”为例进行介绍,组网方式选择“紧耦合”、勾选“使能高可用”、厂商选择“Microsoft”、故障转移模式选择“热备用服务器”、IP地址需要分别填写两台服务器的业务IP,参数值请根据现场的实际环境填写。
图3-3 增加DHCP服务器
(2) 配置完成后,单击<确定>按钮,返回DHCP页面。单击列表中名称为“msdhcp”对应操作列的审计图标
,审计成功后结果如下图所示。
图3-4 审计
目前方案中,接入用户的DHCP请求是通过Leaf的VSI4094接口IP中继到微软DHCP。由于微软DHCP自身的特性,需要创建与VSI4094地址同网段的地址池,否则不会响应Leaf发过来的DHCP请求。微软DHCP上该地址池不用于实际业务,与自动化场景中vDHCP上配置的4094地址池无关。仅用于确保微软DHCP可以正常响应DHCP请求。创建方法如下:
(1) 增加4094地址池。
该地址池不用于实际业务,网关地址可以自由选择一个该网段的IP(例如Spine VSI4094接口的IP),其他参数使用缺省值即可。
a. 路径:[自动化>园区网络>网络参数>DHCP],单击列表中名称列的名称链接,进入DHCP服务器信息。切换至“地址池”页签,单击<增加>按钮,弹出增加地址池页面。地址池范围与VSI4094的网段一致,如下图所示。
图3-5 增加地址池
b. 配置完成后,单击<确定>按钮,保存配置,结果如下图所示。
图3-6 地址池配置结果
(2) 查看两台服务器的后台DHCP管理页面,均会显示该地址池。
具体查看步骤如下:
a. 进入Windows服务器,键入Windows键,进入开始菜单页面。在该页面单击“服务器管理器”图标链接,打开服务器管理器。选择左侧导航树中的“DHCP”菜单项,进入DHCP页面。
图3-7 DHCP
b. 鼠标右键单击“服务器”区域的服务器,在弹出的菜单中选择“DHCP管理器”选项,弹出后台DHCP管理窗口。可以看到,控制组件在服务器上创建了超级作用域CampusNetwork和作用域VLAN4094,如下所示:
图3-8 后台DHCP管理页面
(3) 在后台DHCP管理页面中,鼠标右键单击导航树中“IPv4”菜单项,在弹出的菜单项中选择“属性”选项,弹出IPv4属性窗口。切换至“故障转移”页签,查看故障转移状态,确保服务器的状态为“正常”。
图3-9 故障转移状态页面
当故障转移关系异常时,DHCP客户端获取的IP租约均为MCLT时长。MCLT是DHCP服务中的一个参数,它指定了客户端在DHCP租约到期前能够提前更新租约的最长时间。
(1) 打开后台DHCP管理页面,鼠标右键单击导航树中“IPv4”菜单项,在弹出的菜单项中选择“属性”选项,弹出IPv4属性窗口。切换至“故障转移”页签,单击<编辑>按钮,弹出查看/编辑故障转移关系窗口。查看最长客户端提前期应为1小时。(控制组件自动下发,无需手工配置)。
图3-10 查看最长客户端提前期
(2) 查看故障转移状态,确保服务器的状态为“正常”。
图3-11 故障转移状态页面
至此,微软DHCP HA搭建完成。
目前方案规划中BYOD类型的安全组,不允许使用微软DHCP,需要单独指定使用vDHCP。
路径:[自动化>园区网络>隔离域>隔离域],单击<增加>按钮或单击列表操作列修改图标
,增加或修改隔离域。
隔离域中指定DHCP Server后,在这该隔离域中创建安全组时,会自动在微软DHCP服务器上创建地址池。若配置的DHCP Server用于逃生,不需要在隔离域中指定。
图3-12 修改隔离域
后续业务的配置请参考《AD-Campus 6.5 基础配置指导》。配置完成后,普通安全组地址池下发完成,在DHCP服务器管理页面中可以查看下发结果,如图3-13所示(以实际环境为准)。
· 支持松耦合的DHCP Server:微软DHCP Server、网瑞达DHCP Server等需支持配置Option82参数的DHCP Server服务器。
· 第三方DHCP Server需要确保与设备、控制组件路由可达。
· 松耦合情况下,SeerEngine-Campus园区控制组件不会向DHCP Server创建任何地址池,也不同步DHCP Server的地址池信息。
· DHCP Server上所有的地址池以及地址池中用于匹配Leaf设备DHCP Relay报文中携带的Option82信息的策略都需要用户手动创建。
· 微软DHCP Server的硬件配置,请参考本文表2-1硬件配置要求。
· 若现网需配置无线业务,则需要第三方DHCP Server支持option 43参数。
路径:[自动化>园区网络>网络参数>DHCP],在DHCP配置页面,单击<增加>按钮,进入打开增加DHCP服务器页面。
图4-1 DHCP
增加DHCP服务器页面中,增加DHCP服务器的“管理方式”支持“紧耦合”和“松耦合”两种方式。
图4-2 增加DHCP服务器
松耦合的DHCP
Server,不能进行同步,没有
按钮,“审计状态”为“--”。
松耦合情况下SeerEngine-Campus园区控制组件不向DHCP Server下任何配置,也不同步DHCP Server的地址池信息,需要手动在DHCP Server上创建逃生安全组中的子网网段地址池以及地址池策略。
地址池策略的配置,要求第三方DHCP Server支持把VXLAN ID的值设置成Opiton82参数的配置,并且识别DHCP报文中的Option82信息,不同DHCP Server的配置方式不同,具体配置方法,请参考各DHCP Server服务器厂商的配置资料。
图4-3 DHCP
在微软DHCP服务器上,手动配置VLAN4094的作用域。
(1) 配置该地址作用域的目的是为了用户能够从后续创建的逃生安全组IP地址池中获取IP地址。请务必配置VLAN4094作用域,若不配置,用户无法获取其他安全组创建的作用域的IP地址。
若一个隔离域内有多个Fabric,则需要配置多个Fabric的VXLAN4094的地址池。
(2) 右键选择“新建作用域”,打开新建作用域向导页面,输入名称。
图4-4 新建作用域
(3) 单击<下一步>按钮,进入IP地址范围页面。输入地址与的IP地址段,这里需要输入的地址段,必须与设备上VXLAN4094/VLAN4094的IP地址段相同。
图4-5 IP地址范围
(4) 单击<下一步>按钮,进入添加排除和延迟页面。输入要排除的IP地址范围,可不设置,也可以只设置网关IP。单击<添加>按钮,添加到列表中。
图4-6 新建作用域向导
(5) 单击<下一步>按钮,设置租约为1天。
图4-7 租用期限
(6) 继续单击<下一步>按钮。进入“配置DHCP选项”页面,选择“是,我想现在配置这些项”,单击<下一步>按钮,在此页面输入此作用域的网关地址,单击<添加>按钮,添加作用域的默认网关后,继续单击<下一步>按钮。
图4-8 配置DHCP选项
(7) 其中,未说明的内容直接单击<下一步>按钮即可。在激活作用域页面时选择“是,我想现在激活此作用域”。
图4-9 激活作用域
(8) 单击<下一步>按钮,单击<完成>按钮,完成配置。VLAN4094作用域的配置如下所示。
图4-10 作用域
(1) 在微软DHCP服务器上右键选择“新建作用域”,打开新建作用域向导页面。
图4-11 新建作用域
(2) 输入名称,创建逃生安全组。
图4-12 新建作用域向导
(3) 单击<下一步>按钮,进入IP地址范围页面。输入IP地址范围,需要与安全组中的子网段相同。
图4-13 IP地址范围
(4) 单击<下一步>按钮,进入租用期限页面。设置租约为10分钟,逃生安全组租约需设置为10分钟。
图4-14 租用期限
(5) 继续单击<下一步>按钮,其他配置与VLAN4094的作用域策略配置相同,不再赘述,直到最后完成配置。
图4-15 作用域
(6) 接着配置作用域的策略,选中该作用域,在右侧“DHCP服务器内容”区域右键单击策略,选择“新建策略”,输入策略名称。单击<下一步>按钮,进入为策略配置条件页面。
图4-16 DHCP策略配置向导
(7) 单击<添加>按钮,进入添加/编辑条件页面,配置策略条件。选择“中继代理信息”,运算符选择“等于”,中继代理的值为ASCII码,以30303030开头,后面的30313637为VXLANID,表示VXLANID为167,后面的*为通配符,可以匹配任何值。VXLANID值为逃生安全组的VXLANID值。
图4-17 添加/编辑条件
(8) 单击<确定>按钮保存配置,单击<下一步>按钮,进入为策略配置设置页面。置“是否要为策略配置IP地址范围:”项为“否”。
图4-18 为策略配置设置
(9) 单击<下一步>按钮,进入摘要页面。单击<完成>按钮,完成配置,如下图所示。
图4-19 逃生策略
(1) 首先右键选择“新建超级作用域”,打开新建超级作用域向导页面。
图4-20 新建超级作用域
(2) 单击<下一步>按钮,进入超级作用域名页面。输入名称。
图4-21 超级作用域名
(3) 单击<下一步>按钮,进入选择作用域页面。鼠标选择创建的“逃生安全组”作用域和“VLAN4094”作用域。
图4-22 选择作用域
(4) 单击<下一步>按钮,完成超级作用域配置,可以看到超级作用域已包含前面创建的“逃生安全组”作用域和“VLAN4094”作用域。至此完成松耦合地址池的配置,后续用户可获取配置的地址池的IP地址。
图4-23 完成超级作用域配置
路径:[自动化>园区网络>隔离域>隔离域],单击<增加>按钮或单击列表操作列修改图标
,增加或修改隔离域。
隔离域中指定DHCP Server后,在这该隔离域中创建安全组,需要手动在微软DHCP服务器上创建对应的地址池。若配置的DHCP Server用于逃生,不需要在隔离域中指定。
图4-24 隔离域
目前方案规划中BYOD类型的安全组,不允许使用微软DHCP,需要单独指定使用vDHCP。
(1) DHCP插件的版本与控制组件版本强相关。升级控制组件版本前,需要升级DHCP插件版本。详见3.1.3 升级Windows DHCP插件(按需操作)。
(2) 微软DHCP HA的两台服务器时钟差不能超过1分钟,否则会导致HA状态异常。建议使用NTP时间同步。
(3) 微软DHCP上必须创建4094地址池。否则会导致无法响应Leaf发过来的DHCP请求。详见3.3 创建VSI4094网段作用域。
(4) HA的两台微软DHCP服务器修改管理员Administrator的密码时,需要同步修改DHCP插件服务的登录名和密码。密码修改方法详见3.1.1 3. 修改插件服务权限。
(5) 名址绑定+微软DHCP场景下,缺省情况下,单账号多终端绑定时,每个MAC都会有自己单独的绑定IP。如果想实现单账号切换终端时仍然绑定同一个IP,需要开启“同名账号强制解除IP绑定”,路径:自动化>用户业务>业务参数>接入参数>系统配置>终端管理参数配置>同名账号强制解除IP绑定,选项选“是”,同时需要将账号的最大在线用户数设置为1(配置路径为:[自动化>用户业务>接入服务]菜单项,参数为“缺省单账号在线数量限制”),并使用iNode+802.1X认证方式。
(6) 名址绑定+微软DHCP场景下,单地址池的绑定数量应小于4000。
(7) 名址绑定+微软DHCP HA场景下,微软DHCP发生主备切换之后,备机不能绑定,只能分配地址。如果故障恢复,会丢失部分名址绑定表项。需要终端重新下线,再次认证上线后才能绑定。
(8) 名址绑定+微软DHCP HA场景下,备机故障时,只有主机上可以生成名址绑定记录。24小时后,插件会将绑定表项自动同步到备机。
(9) 不支持IPv6名址绑定。
(10) 多隔离域场景的用户业务DHCP服务器推荐独立部署,即每个隔离域单独部署一套DHCP服务器。
(11) 多隔离域场景不推荐使用名址绑定。
(12) 公共机场景下,IP地址名址绑定功能仅支持802.1X+iNode认证方式。
(13) BYOD地址池必须使用vDHCP服务器,不允许使用微软DHCP。
目前方案规划中BYOD类型的安全组,不允许使用微软DHCP,需要单独指定使用vDHCP。在创建BYOD类型二层网络域时,直接指定DHCPv4服务器即可,如下所示:
图5-1 修改二层网络域
(14) 主机和备机如需正常建立故障转移关系,需要时钟差不超过1分钟、IP正常可达且共享端口445启用正常。
(15) 在rpc通信异常的情况下,会出现微软DHCP故障转移关系异常,重建故障转移关系失败的问题。因此不能封禁TCP135、647端口。
(16) 同一个隔离域内,紧耦合的微软DHCP Server从控制组件E6204版本后可以支持同时配置多个,这些微软DHCP上均需要创建该隔离域4094网段的地址池,主要用于业务DHCP和逃生DHCP分别使用紧耦合微软DHCP的场景。(目前仅6期方案支持该功能,5.3暂不支持)
(17) 若微软DHCP服务器开启防火墙请参见《AD-Campus 6.5端口通信矩阵》放行,具体资料请至官网获取或联系技术服务。
(18) 微软DHCP HA推荐热备模式,且微软DHCP不支持带业务切换故障转移模式。请在纳管前确定好规划。
(19) 微软DHCP HA且不使用域控的场景下,需要保证两台服务器的用户名密码相同,否则会导致故障转移关系异常。
(20) 使用域控的场景,请将DHCP服务器添加到域,HA场景主机、备机均需要添加到域,注意主机和备机不要使用相同的计算机名。
(21) 使用域控的场景,请使用域名登录服务器,然后对DHCP服务进行授权,否则DHCP服务器收到discover报文也不进行回复。HA场景主机、备机均需要授权(计算机AD域控)。
图5-2 授权
相关信息请参见《AD-Campus 6.5 运维监控部署指导书》。
支持
