59673">
3、设置用户类别,避免网络病毒传播
大家知道,当感染了网络病毒的计算机连接到网络后,病毒可能会通过网络传播给其他计算机,最终会导致整个网络发生瘫痪现象,从而会给网络管理工作带来麻烦。其实,在DHCP服务器系统中,我们可以为客户端系统设置用户类别,保证只有指定的安全用户才能连接到网络中,那些陌生的或不安全的客户端系统是无法从DHCP服务器那里获得IP地址以及其他上网参数的,这样就能禁止不安全的计算机将网络病毒传播给其他计算机了。在设置DHCP服务器的用户类别时,可以按照下面的步骤来操作:
首先展开DHCP服务器控制台窗口中的目标主机选项,用鼠标右击该主机名称,点选右键菜单中的“定义用户类别”选项,从弹出的设置窗口中设置好新用户类别的名称为“anquan”,同时按照实际需要设置好该用户类别的描述说明信息;之后,在ASCII区域输入“anquan”,此时在ID区域就会自动生成对应“anquan”用户类别的ID标识符信息,日后DHCP服务器会利用该信息来验证客户端系统是否符合安全规定;
其次从DHCP服务器控制台窗口中的目标主机下面右击“作用域选项”,并点选快捷菜单中的“配置选项”命令,之后点击“高级”标签,打开高级标签设置页面,在这里我们可以正确设置好普通客户端系统正常上网时需要使用的默认网关地址、DNS服务器地址等参数,当然也包括IP地址以及地址的租约期限等参数;
下面在需要连接到网络的客户端系统中,创建好符合DHCP服务器安全验证要求的DHCP类ID串。例如,在这里DHCP服务器规定只有DHCP用户类别名称为“anquan”的客户端系统,才能从DHCP服务器那里获得正确的上网参数进行网络连接;为此,我们需要人工为那些安全的客户端系统创建一个名为“anquan”的DHCP类ID串;在进行这种操作时,我们可以先打开客户端系统的DOS命令行工作窗口,在其中执行“ipconfig /setclassid Local Connection anquan”字符串命令,那样一来目标客户端系统就能顺利通过DHCP服务器的安全验证了,验证通过之后,DHCP服务器就会将正确的上网参数分配给目标客户端系统,此时客户端系统就能安全连接到局域网中了。
除配置好上述参数外,我们还需要将目标客户端系统的IP地址设置成“自动获得IP地址”;在默认状态下,普通客户端系统使用的都是自动获得IP地址方式进行网络连接的,因此我们一般不需要单独进行这种设置操作。日后,局域网中只有经过用户类别设置操作的客户端系统才能连接网络,而那些包含病毒或其他不安全因素的客户端系统则无法从DHCP服务器系统那里获得上网参数,那么网络病毒自然也就不能通过网络通道进行非法传播了。
4、集中授权管理,保证网络运行稳定
在规模比较大的网络环境中,可能同时存在多台DHCP服务器,并且这些DHCP服务器可能同时由多位网络管理员来管理;很显然,如果多位网络管理员不停地改变DHCP服务器,就可能会影响网络的运行稳定性。为了保证网络运行稳定,我们必须对多台DHCP服务器进行集中管理,同时要对网络管理员进行授权管理,以避免DHCP服务器的设置被随意改动,下面就是具体的设置步骤:
首先将局域网中的DHCP服务器全部加入到活动目录中,并在主域控制器中依次单击“开始”、“设置”、“控制面板”命令,在弹出的控制面板窗口中双击“管理工具”图标,打开对应系统的管理工具列表窗口;
其次用鼠标双击该列表窗口中的“Active Directory用户和计算机”功能选项,之后逐一点选“Users”、“DHCP Administrators”组,打开成员选项设置页面,在这里将那些的确可以信任的网络管理员账号添加进来;
下面逐一展开主域控制器中的“域安全策略”、“Windows设置”、“安全设置”节点选项,再从目标节点下面选中受限制的组,同时将默认的DHCP Administrators组也加入进来,之后展开DHCP Administrators组属性设置界面,在该界面的“安全性”设置页面中,将可以管理DHCP服务器的用户账号添加到该组中,最后单击“确定”按钮保存好设置操作,这么一来只有被授权的网络管理员才能管理DHCP服务器,其他网络管理员是没有资格随意管理DHCP服务器的。
5、保护有效DHCP,避免地址冲突现象
很多网络设备往往都自带有DHCP服务器,并且在默认状态下它们都处于启用运行状态,当将这些网络设备接入到局域网中时,它们自带的DHCP服务器可能会危害到局域网中有效DHCP服务器的工作稳定性,同时特别容易引发类似地址冲突故障现象。为了避免地址冲突现象,我们需要将局域网中有效的DHCP服务器保护起来,避免其他的DHCP服务器对它产生冲击,下面就是具体的保护步骤:
首先以超级权限登录进入局域网主域控制器系统,打开该系统桌面上的“开始”菜单,从中依次点选“程序”、“管理工具”、“DHCP”选项,弹出DHCP控制台窗口;从该窗口的左侧列表区域展开目标主机选项,同时右击该主机选项,从弹出的右键菜单中点选“添加服务器”命令,打开如图4所示的设置对话框;
其次单击该对话框中的“浏览”按钮,从其后出现的计算机浏览窗口中,找到局域网中有效DHCP服务器所在的主机系统名称,并将该主机名称添加进来,当然我们也可以直接将有效DHCP服务器所在的主机系统名称填写在“此服务器”文本框中,再单击“确定”按钮执行设置保存操作。如此一来,局域网指定域中的任何一台客户端系统日后连接到本地网络时,就会自动向指定域中的DHCP服务器申请IP地址了,而不会向其他DHCP服务器申请地址了,那么地址冲突现象就不会轻易发生了。