多台DHCP服务器共存需避免作用域重叠、统一关键选项并禁用非授权服务;须划分不重叠IP范围,AD域中授权服务器,启用DHCP Snooping,确保网关/DNS/租期一致,快速定位冲突源。
多台dhcp服务器在同一局域网共存,极易引发ip地址重复分配、客户端获取异常网关或dns、网络频繁掉线等问题。核心原则是:**避免重叠作用域,强制统一策略,切断非授权服务**。
划分独立且不重叠的作用域
每台DHCP服务器必须配置互不重叠的IP地址范围(作用域),并确保所有作用域加起来覆盖所需地址池,但无交集。例如:
- 服务器A:192.168.1.10–192.168.1.99
- 服务器B:192.168.1.100–192.168.1.199
- 服务器C:192.168.1.200–192.168.1.250
务必禁用默认“全网段”作用域,手动精确设置起始/结束IP、子网掩码及排除范围(如网关、打印机等静态设备地址)。
启用DHCP侦听与授权机制(域环境必需)
在Active Directory域中,未授权的DHCP服务器会被域控制器自动阻止响应请求。确保:
- 所有合法DHCP服务器均已在AD中显式授权(通过DHCP控制台右键服务器→“授权”)
- 域控制器正常运行,且DHCP服务器能与之通信(检查DNS解析、防火墙端口UDP 53/389/636)
- 使用网络设备(如Cisco交换机)开启DHCP Snooping,将合法DHCP上行口设为trusted,其余接入口设为untrusted,丢弃非法DHCP OFFER/ACK
统一关键选项并关闭冗余服务
即使作用域隔离,不同服务器若返回不一致的网关、DNS或租期,仍会导致客户端行为异常:
- 所有服务器的Option 003(路由器)、Option 006(DNS服务器)、Option 015(域名)必须完全相同
- 租期建议设为统一值(如8小时),避免客户端频繁续租时因服务器响应时序混乱而切换配置
- 临时下线或调试中的DHCP服务,务必在服务管理器中停止DHCP Server服务,而非仅禁用作用域
快速定位冲突源的操作建议
当出现IP冲突或获取失败时,优先执行以下排查:
- 在客户端运行 ipconfig /all,查看“DHCP服务器”字段,确认实际响应的是哪台设备
- 在疑似DHCP服务器上运行 Get-DhcpServerv4Scope(PowerShell)或查看DHCP控制台,核对作用域状态与IP范围
- 在核心交换机或路由器上抓包(过滤udp.port == 67 or udp.port == 68),观察多个OFFER是否同时到达客户端
- 检查是否存在被遗忘的旧服务器、虚拟机快照恢复后启动的DHCP服务、或家用路由器插在办公网中并启用了DHCP
