Третья, заключительная статья о DHCP. В завершение темы я расскажу о том, как обеспечить отказоустойчивую работы DHCP-сервера с помощью технологии DHCP failover.
Но сначала немного истории.
До выхода Windows Server 2012 единственным способом обеспечить отказоустойчивость DHCP-сервера была так называемая схема 80\20. Суть этой схемы заключается в том, что для обслуживания одной области используются два DHCP-сервера. Область делится между ними в пропорции 80\20, соответственно основному серверу отдается 80%, а резервному 20% имеющихся IP-адресов. В нормальном режиме работы область обслуживается основным сервером, а при выходе из его строя резервный берет на себя нагрузку и выдает клиентам адреса из оставшихся 20%, тем самым поддерживая работу сети.
Данный способ вполне рабочий и используется до сих пор, но у него есть некоторые недостатки:
• При разделении области имеющиеся адреса используются не самым оптимальным образом;
• Клиенты не могут продлить аренду с имеющимся адресом;
• Проблемы при использовании резервирования.
Примечание. Резервирование (DHCP reservation) — настройка DHCP-сервера, при которой к MAC-адресу клиента привязывается постоянный IP-адрес. Это гарантирует, что клиент всегда будет получать в аренду один и тот же адрес. Резервирование настраивается на конкретном сервере и при его недоступности клиент не сможет получить зарезервированный за ним адрес.
Недостатки конечно некритичные, но доставляющие много неудобств. Видимо поэтому в Windows Server 2012 была добавлена новая фича под названием DHCP failover, предназначенная для обеспечения высокой доступности DHCP-серверов. DHCP failover позволяет обеспечить высокую доступность службы DHCP и не имеет недостатков, описанных выше. При использовании DHCP failover два DHCP-сервера реплицируют между собой текущие настройки и данные об аренде, что позволяет одному серверу обслуживать всех клиентов (выдавать новые адреса, продлевать аренду и т.п.) в том случае, когда другой недоступен.
DHCP failover может работать в двух режимах.
Режим балансировки (Load balance)
В этом режиме область делится на две части в определенной пропорции и обслуживается обоими серверами одновременно. При получении запроса каждый сервер вычисляет хэш MAC-адреса клиента в соответствии с алгоритмом, описанным в RFC 3074. MAC-адреса хэшируются в диапазоне от 1 до 256, балансировка происходит по следующему принципу: если нагрузка распределена в пропорции 50\50 и если при вычислении хэша получено значение от 1 до 128, то отвечает первый сервер, если же от 129 до 256 — то отвечает второй. При изменении коэффициента распределения нагрузки распределение хэш-блоков между серверами изменяется в той же пропорции. Такой подход гарантирует, что за одного конкретного клиента отвечает только один сервер.
Если же один из серверов перестает отвечать, то второй забирает всю область и продолжает обслуживать как своих клиентов, так и клиентов партнера.
Режим горячей замены (Hot Standby)
В таком режиме область обслуживается одним сервером (основным). В отличие от режима балансировки в режиме горячего резерва сервера не вычисляют хэш MAC-адреса клиента. Основной сервер отвечает на все запросы клиентов, резервный в нормальном состоянии не отвечает вообще. Только когда основной сервер становится недоступным, резервный переходит в состояние потери партнера (PARTNER_DOWN) и начинает отвечать на запросы клиентов. Когда основной сервер возвращается в строй, резервный переходит в режим ожидания и перестает обслуживать клиентов.
Обратите внимание, что термин основной\резервный относится к конкретной DHCP-области. К примеру DHCP-сервер может являться основным для одной области и резервным для другой.
От теории перейдем к практике. Для создания отказоустойчивой конфигурации возьмем 2 сервера — SRV1 и SRV2, находящихся в одной подсети. На SRV1 создаем область (Scope) и полностью настраиваем ее, на SRV2 только устанавливаем роль DHCP, никаких настроек не производим. После этого приступаем к настройке DHCP failover.
Настройка DHCP failover
Для начала настроим режим балансировки (Load balance). Для этого заходим на сервер SRV1 и открываем оснастку DHCP. Выбираем область, кликаем на ней правой клавишей и в контекстном меню отмечаем пункт «Configure Failover».
Запускается мастер настройки. В первом окне мастера выбираем области, для которых будет настраиваться отказоустойчивость. Впрочем, в нашем случае выбора нет, поскольку область всего одна.
Добавляем сервер-партнер, на котором будет находится второй экземпляр области.
На следующем этапе выбирается режим работы и основные настройки.
В качестве имени для создаваемых доверительных отношений (Relationship Name) по умолчанию используются имена серверов, но в принципе можно указывать что угодно. Режим работы (Mode) выбираем балансировку (Load balance) и в поле «Load Balance Percentage» указываем в процентах пропорции, в которых будет разделена область между двумя серверами. По умолчанию нагрузка делится в соотношении 50\50, но мы сделаем по привычной схеме 80\20, т.е. 80% обслуживает основной сервер и 20% резервный.
Теперь два очень важных параметра, на которых надо обратить внимание:
• State Switchover Interval — интервал времени, по истечении которого партнер считается недоступным (PARTNER_DOWN). Если не задавать этот параметр, то при падении партнера автоматического переключения не произойдет и переключатся придется вручную;
• Maximum Client Lead Time — очень интересный параметр, определяющий срок продления аренды в случае падения основного сервера. Когда клиент пытается продлить аренду, полученную на основном сервере, то резервный сервер продлевает ее не на срок аренды, указанный в свойствах области, а на время, указанное в данном параметре. И так пока основной сервер не восстановит работу. Также этот параметр определяет, сколько времени сервер будет ждать возвращения партнера из состояния PARTNER_DOWN прежде чем забрать контроль над всей областью. А еще этот параметр определяет время перехода в нормальное состояние при возвращении партнера.
Примечание. Параметры State Switchover Interva и Maximum Client Lead Time определяют скорость срабатывания failover-а. Каждый из партнеров обслуживает свой диапазон адресов до того момента, пока один из серверов не перейдет в состояние PARTNER_DOWN и не пройдет время, указанное в параметре Maximum Client Lead Time. Только после этого ″оставшийся в живых″ сервер возьмет на себя контроль над всей областью.
Сервера должны безопасно общаться друг с другом. Для этого включаем параметр «Enable Message Authentication» и в поле «Shared Secret» задаем кодовое слово, которое сервера будет использоваться для связи.
В заключение проверяем настройки, подтверждаем создание failover-а
и ждем завершения процесса.
Посмотреть настройки и текущее состояние партнеров можно в свойствах области, на вкладке «Failover».
То же самое можно сделать с помощью PowerShell. Создаем доверительные отношения:
Add-DhcpServerv4Failover -ComputerName srv1.test.local -Name ″srv1-srv2″ -PartnerServer srv2.test.local -ScopeId 10.0.0.0 -LoadBalancePercent 80 -MaxClientLeadTime 00:10:00 -AutoStateTransition $true -StateSwitchInterval 00:10:00 -SharedSecret ″12345678″ -Force
Проверяем результат:
Get-DhcpServerv4Failover -Name ″srv1-srv2″ | fl
Теперь сменим конфигурацию, сначала отключив failover. Для этого в оснастке DHCP кликаем на область и выбираем пункт меню «Deconfigure Failover».
Затем подтверждаем удаление доверительных отношений,
еще раз подтверждаем удаление
и ждем завершения. При удалении на сервере-партнере будут удалены все области, для которых был настроен failover.
Для удаления с помощью PowerShell достаточно выполнить одну команду:
Remove-DhcpServerv4Failover -Name ″srv1-srv2″ -Force
Теперь настроим DHCP failover в режиме Hot standby. Для этого опять запускаем мастер на SRV1 и выбираем сервер-партнер. Обратите внимание, что если между серверами ранее уже были настроены доверительные отношения, то их можно использовать повторно.
Выбираем режим Hot standby и производим настройки. Для режима Hot standby они несколько отличаются:
• Role of Partner Server — серверы делятся на основной (Active) и резервный (Standby) и надо выбрать роль для сервера-партнера. Если мы выбираем Standby, то текущий сервер соответственно становится Active, и наоборот.
• Addresses reserved for standby server — еще один важный параметр, задающий процент адресов, выделенный для резервного сервера. Суть этого параметра в том, что после выхода из строя основного сервера и перехода в состояние PARTNER_DOWN должно пройти время, заданное в параметре Maximum Client Lead Time. Только после этого резервный сервер забирает контроль над над всем диапазоном IP-адресов. В промежутке между этими двумя событиями резервный сервер может обслуживать клиентов, выдавая им адреса из данного резерва. Если этот параметр установить в ноль, то резервный сервер не сможет выдавать адреса до тех пор, пока не захватит всю область.
Дальше все так же — проверяем настройки, подтверждаем их
и ждем завершения.
То же из консоли PowerShell:
Add-DhcpServerv4Failover -ComputerName srv1.test.local -Name ″srv1-srv2″ -PartnerServer srv2.test.local -ScopeId 10.0.0.0 -ReservePercent 10 -MaxClientLeadTime 00:10:00 -AutoStateTransition $true -StateSwitchInterval 00:10:00 -SharedSecret ″12345678″ -Force
Изменить настройки и режим работы DHCP failover можно ″на лету″, не удаляя текущую конфигурацию. Для этого в оснастке управления надо выбрать раздел IPv4 (или IPv6, если failover настраивался для этого протокола), кликнуть правой клавишей мыши и выбрать пункт «Properties».
Затем перейти на вкладку «Failover», выбрать доверительные отношения и нажать «Edit».
В открывшемся окне мы можем поменять абсолютно любые настройки и даже изменить режим работы failover-а, например перейти с Load Balance на Hot Standby.
А теперь с помощью PowerShell вернемся обратно к режиму балансировки, попутно изменив интервалы MaxClientLeadTime и StateSwitchInterval:
Set-DhcpServerv4Failover -Name ″srv1-srv2″ -Mode LoadBalance -LoadBalancePercent 80 -MaxClientLeadTime 00:02:00 -StateSwitchInterval 00:02:00 -Force
Тестирование работы DHCP failover
В завершение давайте протестируем работу DHCP failover. На предыдущем шаге мы уменьшили до 2 минут временные интервалы, отвечающие за переключение. Также для ускорения процесса в свойствах области уменьшим время аренды до 10 минут.
Теперь зайдем в свойства DHCP failover и проверим состояние серверов-партнеров.
Запомним полученные настройки на клиенте. Как видите, клиент имеет адрес 10.0.0.20, полученный с сервера 10.0.0.1 (SRV1).
Теперь погасим сервис DHCP на SRV1 и перейдем на SRV2. Здесь откроем оснастку DHCP и перейдем в настройки доверительных отношений. Как видите, после потери связи с партнером здесь стала активна кнопка ″Change to partner down″. С помощью этой кнопки можно перевести сервер в состояние PARTNER_DOWN, не дожидаясь пока истечет State Switcover Interval.
Еще раз проверяем состояние серверов. Резервный сервер перешел в состояние Partner down и готов к захвату контроля над областью.
Ждем 2 минуты и еще раз проверяем настройки на клиенте. Как можно увидеть, IP-адрес не изменился, при этом в качестве DHCP-сервера указан уже 10.0.0.2 (SRV2). Т.е. клиент успешно продлил на SRV2 аренду адреса, полученного от SRV1.
Возвращаем SRV1 в строй, ждем пока клиент обновит аренду и еще раз проверяем его настройки. Как видите, IP-адрес не изменился, а адрес DHCP-сервера опять SRV1.
Вот так и работает DHCP-failover.
22.01.23
Содержание:
- Что такое репликация DHCP сервера
- Преимущества и недостатки репликации DHCP
- Настройка репликации DHCP на контроллерах
- Практическое руководство по репликации DHCP
- Роль доменных контроллеров в DHCP
- Ошибки и проблемы при репликации DHCP
- Вопрос-ответ
В условиях современной цифровой эпохи крайне важно гарантировать стабильную работу сетевых услуг и их доступность. Одним из ключевых аспектов в этом контексте является организация механизмов, которые позволяют распределять нагрузку и предотвращать отказ отдельных элементов системы. Особенно это актуально для систем, управляющих распределением IP-адресов, так как их отказ может привести к значительным сбоям в работе корпоративной сети.
Дублирование критически важных компонентов инфраструктуры сети позволяет обеспечить более высокий уровень надежности. В частности, распределение задач между несколькими экземплярами системы управления сетевыми адресами помогает предотвратить возникновение узких мест и повысить общую устойчивость сети.
В процессе организации работы сетевых служб важно учитывать специфику взаимодействия между доменами, что позволяет правильно настроить балансировку и обеспечить непрерывность предоставления услуг. Такой подход способствует не только повышению отказоустойчивости, но и оптимизации работы всей сети в целом.
Что такое репликация DHCP сервера
В современных сетях важную роль играет обеспечение стабильной работы всех компонентов, особенно тех, которые отвечают за автоматическое распределение сетевых адресов. Для этого используется технология, позволяющая дублировать конфигурацию и данные между несколькими устройствами в пределах одной сети. Это обеспечивает высокую доступность и отказоустойчивость, а также упрощает управление сетевой инфраструктурой.
Механизм синхронизации информации между разными узлами является ключевым для поддержания бесперебойной работы. Он позволяет гарантировать, что в случае выхода из строя одного из узлов, другой сможет мгновенно взять на себя его функции. Это особенно важно для крупных корпоративных сетей и доменов, где каждая секунда простоя может приводить к значительным убыткам.
Такой подход не только повышает надежность и отказоустойчивость системы, но и позволяет более эффективно распределять нагрузку. Синхронизируя данные между несколькими серверами, можно обеспечить равномерное распределение запросов, что предотвращает перегрузку и снижает риск возникновения сбоев.
Внедрение данной технологии также упрощает процесс администрирования. Администраторы могут централизованно управлять настройками и мониторингом, что значительно снижает затраты времени и ресурсов на обслуживание сети. Это особенно актуально в условиях постоянного роста числа устройств и усложнения сетевых структур.
Таким образом, синхронизация параметров и данных между различными узлами сети является неотъемлемой частью современных сетевых решений. Она обеспечивает надежность, устойчивость к сбоям и упрощает управление сложными сетевыми инфраструктурами.
Преимущества и недостатки репликации DHCP
Основные преимущества и недостатки использования нескольких контроллеров в сети можно обобщить следующим образом:
| Преимущества | Недостатки |
|---|---|
| Повышенная надежность: благодаря синхронизации данных между контроллерами, сеть становится менее уязвимой к сбоям. В случае выхода из строя одного из контроллеров, другой может продолжить обслуживать запросы. | Сложность настройки: синхронизация данных между несколькими контроллерами требует тщательной настройки и постоянного мониторинга, что может потребовать дополнительных ресурсов и времени. |
| Балансировка нагрузки: распределение запросов между несколькими устройствами позволяет снизить нагрузку на каждый из них, улучшая общее быстродействие сети. | Увеличение затрат: использование нескольких устройств для управления распределением IP-адресов требует дополнительных финансовых вложений на приобретение и обслуживание оборудования. |
| Гибкость и масштабируемость: при увеличении количества устройств в сети, система легко адаптируется к новым условиям, обеспечивая стабильную работу. | Потенциальные проблемы совместимости: при использовании оборудования от разных производителей возможны проблемы с совместимостью и корректной синхронизацией данных. |
| Более высокая доступность: благодаря синхронизации данных, даже при проведении технических работ на одном из контроллеров, другие продолжают функционировать без перебоев. | Необходимость в высоком уровне квалификации: настройка и управление сетью с несколькими контроллерами требует специалистов с высоким уровнем знаний и опыта. |
Настройка репликации DHCP на контроллерах
Для обеспечения надежности и отказоустойчивости сетевой инфраструктуры предприятия необходимо настроить синхронизацию конфигураций между основными компонентами, которые управляют распределением IP-адресов. В данном разделе рассмотрим процесс настройки такой синхронизации на контроллерах домена, что позволяет избежать простоев и обеспечить бесперебойную работу сети.
Настройка синхронизации включает несколько ключевых этапов, каждый из которых важен для корректного функционирования системы. Рассмотрим их подробнее:
- Подготовка контроллеров
- Проверьте, что все контроллеры домена работают на поддерживаемых версиях операционной системы и имеют актуальные обновления.
- Убедитесь, что они находятся в одной и той же доменной среде и могут беспрепятственно обмениваться данными.
- Настройка синхронизации конфигураций
- Откройте консоль управления и перейдите к разделу настройки сетевых служб.
- Настройте параметры синхронизации, выбрав соответствующие опции и установив интервал обновления данных.
- Тестирование и мониторинг
- После завершения настройки проведите тестирование, чтобы убедиться, что все компоненты работают корректно.
- Настройте мониторинг для своевременного обнаружения и устранения возможных сбоев.
- Регулярное обновление и обслуживание
- Периодически проверяйте актуальность конфигураций и вносите необходимые изменения.
- Проводите плановые проверки и обновления для поддержания стабильной работы системы.
Следуя этим рекомендациям, вы сможете эффективно настроить синхронизацию на контроллерах, обеспечив тем самым высокую надежность и бесперебойную работу вашей сети.
Практическое руководство по репликации DHCP
В данном разделе мы рассмотрим важность и методы создания дублирующих механизмов для автоматического распределения IP-адресов в вашей сети. Это необходимо для повышения отказоустойчивости и обеспечения непрерывной работы вашей инфраструктуры в случае сбоя основного узла. Особое внимание будет уделено работе в рамках доменной структуры и взаимодействию с контроллерами безопасности.
Первым шагом на пути к созданию резервной копии вашей системы распределения адресов является настройка вторичного узла, который будет принимать на себя функции основного в случае его недоступности. Важно, чтобы оба узла находились в одном домене, что обеспечит синхронизацию данных и правильную работу распределения адресов.
Настройка вторичного узла
Для начала необходимо выбрать подходящий сервер, который будет выполнять роль резервного. Он должен быть включен в домен и иметь права доступа к контроллерам безопасности. После этого на него устанавливается необходимое программное обеспечение и настраивается соответствующая конфигурация.
Пример команды для настройки вторичного узла:
netsh dhcp server add server <сервер_резервный> <сервер_основной>
Эта команда добавляет вторичный узел в список доверенных и синхронизирует его с основным.
Мониторинг и управление
После настройки необходимо регулярно проверять состояние обоих узлов. Это можно делать с помощью встроенных инструментов мониторинга, которые предоставляют информацию о состоянии каждого узла и текущих процессах. В случае сбоя основного узла, резервный автоматически возьмет на себя его функции, обеспечивая беспрерывную работу сети.
Используя такие подходы, вы сможете значительно повысить надежность вашей инфраструктуры, минимизировать время простоя и обеспечить стабильное функционирование всех систем, связанных с автоматическим распределением IP-адресов.
Роль доменных контроллеров в DHCP
Доменные контроллеры играют важную роль в управлении сетевыми ресурсами, обеспечивая безопасность и согласованность данных в корпоративной сети. В данном разделе рассмотрим, как эти контроллеры взаимодействуют с системами управления IP-адресами, обеспечивая надежное распределение сетевых ресурсов между устройствами в домене.
Согласованность и безопасность – ключевые задачи, решаемые доменными контроллерами в корпоративных сетях. Они гарантируют, что каждый узел получает корректные настройки и доступ к необходимым ресурсам. Благодаря контроллерам, информация о назначении адресов надежно синхронизируется между различными узлами сети, что предотвращает конфликты и ошибки при подключении новых устройств.
Использование доменных контроллеров позволяет упростить управление сетевыми настройками, поскольку они обеспечивают централизованный контроль и мониторинг. Это особенно важно для крупных организаций, где количество подключаемых устройств может быть значительным. Контроллеры домена поддерживают актуальность информации о назначении адресов и предоставляют средства для оперативного внесения изменений, когда это необходимо.
Кроме того, доменные контроллеры способствуют улучшению безопасности сети. Они позволяют централизованно управлять политиками доступа, гарантируя, что только авторизованные устройства могут получить доступ к сети и её ресурсам. Таким образом, контроллеры обеспечивают дополнительный уровень защиты от несанкционированного доступа и потенциальных угроз.
Еще одной важной функцией является обеспечение отказоустойчивости сети. Доменные контроллеры могут взаимодействовать друг с другом, поддерживая актуальные данные о назначении адресов даже в случае сбоя одного из узлов. Это позволяет поддерживать бесперебойную работу сети и минимизировать влияние возможных проблем на пользователей.
Ошибки и проблемы при репликации DHCP
Одной из распространённых проблем является несовместимость версий программного обеспечения на различных узлах. Если программное обеспечение на одном узле более современное, чем на другом, это может привести к некорректной работе системы в целом. Важно следить за тем, чтобы все узлы использовали одинаковые версии ПО для обеспечения корректного обмена данными.
Неверные настройки параметров сети и зоны обслуживания могут также вызвать непредсказуемое поведение системы. При этом может возникнуть ситуация, когда один узел отказывается принимать изменения, внесённые на другом узле. Для предотвращения подобных проблем необходимо тщательно проверять настройки перед их применением на всех узлах сети.
Проблемы с авторизацией и синхронизацией учетных записей между различными доменами также могут стать источником неполадок. Некорректные права доступа или отсутствующие учетные записи могут блокировать процесс обмена информацией, что приведёт к сбоям в работе всей системы. Регулярная проверка и настройка прав доступа может помочь избежать этих трудностей.
Неполадки в сетевой инфраструктуре, такие как нестабильное соединение или несовместимость сетевых устройств, могут вызывать задержки или потери данных при обмене информацией между узлами. Важно проводить регулярную диагностику сети и своевременно устранять обнаруженные проблемы для поддержания стабильной работы системы.
Вопрос-ответ:
Что такое репликация DHCP сервера?
Репликация DHCP сервера — это процесс, при котором информация о настройках DHCP (Dynamic Host Configuration Protocol) сервера копируется между несколькими серверами для обеспечения отказоустойчивости и балансировки нагрузки.
Какие преимущества обеспечивает репликация DHCP сервера?
Репликация DHCP сервера позволяет предотвратить простои в работе сети из-за отказа одного из серверов, обеспечивает равномерное распределение нагрузки и улучшает общую надёжность сетевой инфраструктуры.
Как организовать репликацию DHCP между контроллерами домена в Windows?
Для репликации DHCP в среде Windows Server необходимо установить роль DHCP на нескольких серверах и настроить их на использование одной и той же базы данных с настройками DHCP. Это можно выполнить через консоль управления DHCP и настройки ролей серверов.
Какие особенности следует учитывать при настройке репликации DHCP между контроллерами домена?
При настройке репликации DHCP важно обеспечить синхронизацию настроек и выделенных адресов между серверами, правильно настроить механизмы резервирования адресов для избежания конфликтов, а также следить за доступностью и надёжностью сетевых соединений между серверами.
Каковы лучшие практики по обеспечению безопасности при репликации DHCP сервера между контроллерами домена?
Для обеспечения безопасности при репликации DHCP рекомендуется использовать защищённые каналы связи между серверами, ограничивать доступ к конфигурационным файлам и базе данных DHCP, а также устанавливать строгие правила аутентификации и авторизации для администраторов.
Каким образом можно организовать репликацию DHCP сервера между контроллерами домена?
Для организации репликации DHCP сервера между контроллерами домена необходимо установить роль DHCP на каждом контроллере домена и настроить их в качестве членов одной DHCP репликационной группы. Это позволяет автоматически синхронизировать конфигурации DHCP и обеспечивать отказоустойчивость.
Какие преимущества имеет репликация DHCP сервера между контроллерами домена?
Репликация DHCP между контроллерами домена обеспечивает высокую доступность услуги DHCP, так как клиентские запросы на выдачу IP адресов могут быть обработаны любым из доступных серверов. Это также улучшает отказоустойчивость сети, позволяя автоматически перенаправлять клиентов на работающие DHCP серверы в случае сбоя одного из них.
- Currently 5/5
- 1
- 2
- 3
- 4
- 5
Оценка: 5/5 (Проголосовало: 2)
Спасибо за ваш отзыв!
Как можно улучшить эту статью?
В этой небольшой заметке мы рассмотрим пошаговый план действий по миграции двух серверов на базе ОС Windows Server 2012 R2 с ранее настроенной и работающей высоко-доступной конфигурацией DHCP Failover на более новую ОС Windows Server 2016. В качестве исходной конфигурации имеется два виртуальных сервера KOM-DHCP1 и KOM-DHCP2 на базе ОС Windows Server 2012 R2 Standard с работающими меж-серверными отношениями DHCP Failover в режиме Load balance.
Требуется поднять на обоих серверах версию ОС до уровня Windows Server 2016, не прерывая при этом доступность сервиса DHCP для клиентов.
1. Резервное копирование
Первым делом сделаем резервную копию для всего, для чего это возможно.
В частности, создадим резервную конфигурации сервера DHCP на тот случай, если дальше что-то пойдёт не так и нам потребуется откат.
Сделать это можно, например, с помощью графической консоли DHCP (dhcpmgmt.msc).
Кроме того, сделать резервную копию конфигурации можно c помощью PowerShell.
Не лишним будет сделать и полную резервную копию ВМ для возможности полного быстрого отката.
2. Выводим из работы DHCP-сервер KOM-DHCP2 (WS2012R2)
2.1. Для того, чтобы вывести сервер KOM-DHCP2 из работы, зайдём на консоль DHCP на сервере KOM-DHCP1 и выполним разрыв партнёрских отношений.
В результате на сервере KOM-DHCP2 будут автоматически удалены все области, которые входили в DHCP Failover. То есть, эти области теперь останутся активными только на сервере KOM-DHCP1.
2.2. Произведём Unauthorize сервера KOM-DHCP2 в доменной инфраструктуре Active Directory, если ранее сервер был авторизован в домене.
2.3. Удалим с сервера роль DHCP Server и выведем сервер из домена.
3. Обновляем сервер KOM-DHCP2 (WS2016)
3.1. Обновляем ОС на сервере KOM-DHCP2 до Windows Server 2016 (чистая установка)
3.2. Устанавливаем серверную роль DHCP Server
3.3. Выполняем авторизацию нового DHCP сервера в домене Active Directory.
3.4. Настраиваем в оснастке DHCP параметры сервера, описываем дополнительные нестандартные DHCP опции. Это необходимо в случае, если такие опции настроены и используются на сервере KOM-DHCP1. Если этого не сделать, то восстановить партнёрские отношения DHCP Failover с сервером KOM-DHCP1 не получится.
4. Восстанавливаем DHCP Failover в смешанном режиме (WS2012R2-WS2016)
Подключаемся к серверу KOM-DHCP1 и заново создаём партнёрские отношения DHCP Failover с уже обновлённым сервером KOM-DHCP2. То есть инициатором создания партнёрских отношений в нашем случае должна быть система с более старшей версией ОС.
Когда все области успешно включены в DHCP Failover, мы получили смешанную конфигурацию WS2012R2-WS2016. При этом клиенты обслуживаются сейчас обоими серверами.
5. Выводим из работы DHCP-сервер KOM-DHCP1 (WS2012R2)
5.1. Для того, чтобы вывести из работы сервер KOM-DHCP1, зайдём в консоль DHCP на обновлённом сервере KOM-DHCP2 и выполним разрыв партнёрских отношений.
В результате на сервере KOM-DHCP1 будут автоматически удалены все области, которые входили в DHCP Failover. То есть эти области теперь останутся активными только на обновлённом сервере KOM-DHCP2.
5.2. Произведём Unauthorize сервера KOM-DHCP1 в домене Active Directory, если ранее серверы был авторизован в домене.
5.3. Удалим роль сервера DHCP и выведем сервер из домена.
Теперь все клиенты будут пользоваться только услугами единственного обновлённого сервера KOM-DHCP2.
6. Обновляем сервер KOM-DHCP1 (WS2016)
6.1. Обновляем ОС на сервере KOM-DHCP1 до Windows Server 2016 (чистая установка)
6.2. Устанавливаем серверную роль DHCP Server
6.3. Выполняем авторизацию нового DHCP сервера в домене Active Directory.
6.4. Настраиваем в оснастке DHCP параметры сервера, описываем дополнительные нестандартные DHCP опции. Это необходимо в случае, если такие опции настроены и используются на сервере KOM-DHCP2. Если этого не сделать, то восстановить партнёрские отношения DHCP Failover с сервером KOM-DHCP2 не получится.
7. Восстанавливаем DHCP Failover (WS2016)
Подключаемся к серверу KOM-DHCP2 и заново создаём партнёрские отношения DHCP Failover с последним обновлённым сервером KOM-DHCP1. То есть инициатором создания партнёрских отношений выступает тот сервер, на котором сейчас работают все активные области.
Когда все области успешно включены в DHCP Failover, мы получаем натуральную высоко-доступную конфигурацию из двух серверов с обновлённой ОС Windows Server 2016. Клиенты при этом обслуживаются теперь обоими серверами.
Процесс обновления можно считать законченным.
DHCP-сервера являются одними из ключевых элементов сетевой инфраструктуры, однако, в отличии от DNS-серверов или контроллеров домена, в Windows Server отсутствовали штатные механизмы обеспечения высокой доступности. Начиная с Windows Server 2012 появилась возможность создания отказоустойчивых конфигураций DHCP, о чем мы сегодня и расскажем.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Перед тем, как приступать к рассказу о новых возможностях DHCP-сервера сделаем краткий экскурс в историю. До выхода Windows Server 2012 задача обеспечения высокой доступности решалась путем разделения области DHCP на две части, каждую из которых обслуживал свой сервер. Но такой подход имел множество неудобств, начиная от того, что все настройки нужно было дублировать между серверами и заканчивая тем, что в случае отказа все равно потребуется ручное вмешательство, особенно если оставшаяся часть области меньше, чем количество обслуживаемых ПК.
В Windows Server 2012 появилась возможность объединить два DHCP-сервера в конфигурацию высокой доступности, которая может работать в двух режимах: балансировки нагрузки или горячей замены.
Режим балансировки нагрузки является предпочтительным, в этом случае оба сервера одновременно обслуживают одну и ту же область, реплицируя данные между собой. Запросы клиентов делятся между серверами в заданной пропорции, по умолчанию 50/50. В случае отказа одного из серверов обслуживание продолжает оставшийся сервер.
Схема работы предельно проста и аналогична работе других сетевых сервисов, таких как DNS или AD — клиентские запросы обслуживаются до тех пор, пока в сети есть хоть один сервер, способный обработать запрос. Однако есть ограничение: два сервера на область DHCP. Следует помнить и понимать, высокая доступность DHCP реализуется не на базе серверов, а на базе областей. Если один сервер содержит несколько областей, то он, соответственно, может входить в несколько конфигураций высокой доступности.
Режим горячей замены предусматривает наличие второго сервера, который реплицируется с основным в режиме реального времени, но не обслуживает запросу клиентов до тех пор, пока основной сервер является активным. Свою работу сервер горячей замены начинает только при отказе основного сервера и прекращает с его возвращением в строй.
Такая схема может быть удобна для распределенных сетей и филиалов, когда резервный сервер располагается в другой части сети, связь с которой ограничена медленным каналом. На схеме ниже показана структура, где два сервера основной сети (область 192.168.31.0) работают в режиме балансировки нагрузки, в тоже время один из этих серверов является сервером горячей замены для филиала (область 192.168.44.0).
В штатном режиме все запросы сети филиала будет обслуживать сервер филиала, а в случае его отказа — сервер основного офиса. Это позволяет поддерживать высокую доступность DHCP в сети филиала без затрат на дополнительное оборудование.
Как видим, возможностей вполне достаточно для реализации самых разных схем и сценариев. Перейдем от теории к практике.
На двух серверах сети, в нашем случае это контроллеры домена SRV-DC01 и SRV-DC02, добавим роль DHCP-сервера, который обязательно авторизуем в Active Directory.
На одном из серверов добавляем и настраиваем область DHCP.
Затем щелкнув правой кнопкой мыши на нужную область, в выпадающем меню, выбираем Настройка обработки отказа.
Откроется мастер, который будет содержать указанную вами область, на первом экране ничего менять не надо, поэтом сразу жмем Далее. Следующим шагом будет предложено выбрать сервер-партнер. В этом качестве может выступать любой доступный DHCP-сервер на базе Windows Server 2012. В доменной сети вам будет доступен список авторизованных серверов, в рабочей группе выберите сервер воспользовавшись кнопкой Обзор.
Остается выбрать режим работы, при необходимости откорректировать некоторые параметры и задать общий секрет, ключевую фразу для создания ключа шифрования, к ней предъявляются такие же требования, как и к паролям.
Разберем доступные опции:
- Максимальное время упреждения для клиента — время на которое сервер-партнер продлевает аренду адресов клиентам второго сервера, если связь с ним потеряна.
- Процент распределения нагрузки — все понятно из названия, задает пропорцию распределения запросов между серверами.
- Интервал переключения состояния — время, после потери связи с партнером, когда сервер перейдет из состояния «связь потеряна» в состояние «партнер отключен»
- Проверять подлинность сообщений — между серверами устанавливается защищенный канал связи с использованием парольной фразы.
В режиме горячей замены набор опций несколько иной:
- Роль сервера-партнера — позволяет выбрать роли серверов, по умолчанию активным становится сервер, на котором настраивается обработка отказа, партнер переводится в ждущий режим.
- Адреса, выделенные для резервного сервера — часть диапазона, выделяемая резервному серверу для обслуживания новых клиентов в режиме «связь потеряна».
Указав все необходимые настройки жмем Далее и завершаем работу мастера.
На этом настройка высокодоступного DHCP-сервера закончена и самое время разобраться как это работает.
Важно! В настоящее время между серверами реплицируется только информация о выданных IP-адресах, при изменении настроек области, в том числе при резервировании адресов, изменения следует синхронизировать вручную.
Начнем с режима балансировки нагрузки. В этом случае область делится между серверами в указанной пропорции и все запросы равномерно распределяются между ними. При потере связи с сервером-партнером оставшийся сервер переходит в режим «связь потеряна», в это время он продлевает аренду существующим клиентам партнера на время, указанное во времени упреждения, а новым клиентам выдает адреса из своей части диапазона.
Если по истечении времени интервала переключения сервер партнер не вернется в строй, то оставшийся сервер перейдет в состояние «партнер отключен» и начнет самостоятельно выдавать адреса из всего диапазона. При этом обратившиеся за продлением аренды клиенты партнера вместо продления получат новый адрес. После того как партнер вернется в строй клиенты будут автоматически распределены между ними в заданной пропорции (но это не приведет к изменению адресов, просто переданные назад партнеру клиенты по истечении аренды получат новый адрес уже у него).
В режиме горячей замены сервер-партнер в режиме «связь потеряна», также продолжает продлевать аренду и выдает адреса новым клиентам из своего диапазона. При переходе в режим «партнер отключен» начинает обслуживать весь диапазон полностью и выдавать адреса всем клиентам. После того, как сервер-партнер вернется в строй, сервер горячей замены снова перейдет в ждущий режим и клиенты, по истечении времени аренды, получат адреса у основного сервера.
Онлайн-курс по устройству компьютерных сетей
На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Сегодня будет практическая задача на тему, как настроить резервирование возможности присвоения устройствами в доменной сети сетевого IP—адреса от сервиса DHCP который поднят на домен контроллере. Предыстория: есть одна серверная и по воле случая в ней оказалось, что на системе виртуализации два домен контроллера и когда понадобилось по команде выключить доступ к ней, то у всего предприятия пропала возможность хоть как-то работать: нет работают принтера, рабочие станции, PDA клиенты. А все потому что устройства остались без IP-адреса.
В виду этого я решил, что нужен в другой серверной еще один домен контроллер с ролью DNS и DHCP, а между главным (srv-dc01) и еще одним (srv-dc03) настроить для роли DHCP Failover, но прежде чем это делать на боевом, все обкатываем на тестовом.
Шаг №1: Итак есть два домен контроллера на базе OS: Windows Server 2012 R2 Std и домен polygon.local
srv-dc01.polygon.local = 10.90.90.3srv-dc02.polygon.local = 10.90.90.4
Шаг №2: Основной домен контроллер srv-dc01.polygon.local, на нем поднята роль DНCP и настроена область выделения IP-адресов:
Шаг №3: На втором домен контроллере srv-dc02.polygon.local также стоит роль DHCP то область обслуживания не настроена:
Шаг №4: Переходим вот к такой вот настройке:
на srv-dc01.polygon.local авторизуюсь как Domain Admin и запускаю оснастку DHCP, затем через правый клик мышью на Scope [10.90.90.0] local выбираю Configure Failover…
Мне отображаются сети, которые я могу настроить:
нажимаю Next
Указываю какой сервер будет партнером
Partner Server: нажимаю Add Server и еще Browse нахожу srv-dc02Reuse existing failover relationships configured with this server (if any exist): галочку снимаю если хочу настройки выполнить с нуля
и нажимаю Next
Настраиваю работу Failover
Relationship Name: srv-dc01.polygon.local-srv-dc02.polygon.local-1Maximum Client Lead Time: 1 hoursMode: Hot standbyRole of Partner Server: StandbyAddresses reserved for standby server: 5%State Switchover Interval: 5 minutes (Отмечаю галочкой)Enable Message Authentication: отмечаю галочкойShared Secret: Aa1234567aA
и нажимаю Next, Finish.
Процесс создания Failover завершается без ошибок
Шаг №5: Проверим работу, допустим связь с srv-dc01 пропала:
а ничего не изменилось вроде как, перезагрузил систему Windows 10 Pro и через команду ipconfig /all отобразил все параметры и уже сейчас значится что DHCP-сервер — это 10.90.90.4, т.е. srv-dc02
Шаг №6: Смотрим информацию по Failover на srv-dc02
Logon on srv-dc02
оснастка DHCP — через правый клик мышью на Scope [10.90.90.0] local открываю Properties, перехожу на вкладку Failover и вижу
и сейчас активен srv-dc02.
На заметку: Думаю если устройств домена много, то есть смысл зарезервировать на 5% на 90% адресов + Addresses reserved for standby server — еще один важный параметр, задающий процент адресов, выделенный для резервного сервера. Суть этого параметра в том, что после выхода из строя основного сервера и перехода в состояние PARTNER_DOWN должно пройти время, заданное в параметре Maximum Client Lead Time. Только после этого резервный сервер забирает контроль над над всем диапазоном IP-адресов. В промежутке между этими двумя событиями резервный сервер может обслуживать клиентов, выдавая им адреса из данного резерва. Если этот параметр установить в ноль, то резервный сервер не сможет выдавать адреса до тех пор, пока не захватит всю область.
Шаг №7: Когда доступ к srv-dc01 возвращается, то через несколько минут если также открыть свойства области вкладка Failover видно
Сервис вернулся к нормальному состоянию, а рабочая станция пока также работает через srv-dc02, если она перезагрузится, то настройки IP получит уже от srv-dc01, т.к. он главный.
Шаг №8: Если нужно изменить что-то в настройках Failover для Scope, нужно с того который главный через правый клик по Scope [10.90.90.0] local выбрать "Deconfigure Failover"
Затем подтвердить свои действия
This action will remove the selected scopes from the associated failover relationships. The selected scopes will also be deleted from the partner server. Click OK to continue or Cancel to abort.
Нажимаю ОК
This action will remove all the scopes which are part of failover relationship.
The failover relationship can be deleted after the action.
Нажимаю ОК
Progress of removing scope 10.90.90.0 from failover relationship.
The log below shows the progress of the various steps for removing the selected scope from the failover relationship including errors encountered, of
Check status of the failover relationship… Successful
Deactivate scopes on the partner server… Successful
Remove scopes from failover relationship on the partner server… Successful
Remove scopes from failover relationship on this server… Successful
Delete scopes on partner server… Successful
Deconfigure failover successful.
что в свою очередь на srv-dc02 удаляет записи которые прилетели с srv-dc01
После успешного расконфигурирования заново запускаем процесс настройки "Configure Failover…" но уже с другими параметрами синхронизации, как и сказал выше увеличиваем в процентном соотношении резервирование IP-адресов.
На заметку: Советую на главное srv-dc01 выполнять периодически резервное копирование базы DHCP
Win + X -> Command Prompt(Admin)
C:\Windows\system32>if not exist c:\backup mkdir c:\backup
C:\Windows\system32>netsh dhcp server export c:\backup\dhcpexport.txt all
C:\Windows\system32>net stop "dhcp server"
C:\Windows\system32>copy /Y %systemroot%\system32\dhcp\dhcp.mdb c:\backup
C:\Windows\system32>net start "dhcp server"
Итого: с учетом сложившейся ситуации этот вариант резервирования DHCP в принципе имеет место быть, пусть будет как заметка, ее я уже применил к боевому использованию (srv-dc01 OS:Window Server 2012 R2) - (srv-dc03 OS:Windows Server 2016), наблюдаем.
На этом пока все, с уважением автор блога Олло Александр aka ekzorchik.