Разделение областей DHCP в Windows Server 2008 R2
Разделение области DHCP (split scopes)– это хорошее решение для построения службы DHCP в корпоративной сети. Цель разделения областей DHCP – распределение определенного пула IP адресов между несколькими DHCP серверами, что может обеспечить отказоустойчивость службы DHCP и балансировку нагрузки на сервера. Представим, что офисы вашей компании находятся в двух различных городах: A и B. В офисе A есть 2 DHCP сервера, в B – только один. Схемы IP адресации в каждом обособленном офисе отличаются, причем вы хотите добиться того, чтобы служба DHCP была доступна для всех диапазонов IP адресов в случае неработоспособности или выхода из строя любого из серверов DHCP. Лучшей архитектурой для организации подобной отказоустойчивости DHCP было бы распределение областей адресов по всем тремя серверами. Такую схему можно реализовать, создав все области на каждом из серверов, и при помощи настройки исключения диапазонов IP адресов избежать перекрытий раздаваемых диапазонов IP адресов. Все это можно было настроить и в старых версиях Windows Server 2000/2003, однако все эти настройки выполняются вручную, что не очень удобно и достаточно трудоемко.
В Windows Server 2008 R2 процедура разделения DHCP областей существенно упростилась за счет появления прямо в консоли управления DHCP MMC мастера «Split-scope». Сначала производится обыкновенная настройка области DHCP, указывается первый и последний адрес области, адреса из этого диапазона могут быть динамически присвоены клиенты. Т.к. мы используем эту область только для динамически назначенных адресов, в нее не нужно добавлять статические резервации адресов. После того, как область настроена, ее можно разделить при помощи мастера «Split-scope», который доступен в контекстном меню.
Далее нужно выбрать один из авторизованных серверов DHCP (также под управлением Windows Server 2008 R2), который будет обслуживать эту область. В мастере нужно будет указать процент адресного пространства, которое будет отдано этому серверу. Если вы планируете распределить DHCP область между 3 или более серверами, не забудьте прикинуть сколько % области отдать каждому серверу. В данном примере я оставлю 33% области на первом сервере, и отдам 67% новому серверу, т.к. я планирую разделить эту область еще раз.
Дальше нужно задать время задержки, при помощи которой вы можете задать порядок ответа DHCP адресов на запросы клиентов, т.е. задать основной и дополнительные сервера для области DHCP. Я, например, хочу сделать мой третий сервер основным, поэтому я настрою временную задержку для первого и второго DHCP сервера.
Прежде чем выполнить разделение областей в DHCP сервере на Windows Server 2008 R2, убедитесь, что все настройки верны. После запуска процедуру разделения области на новом сервере создастся новая область с исключенным диапазоном в ней.
В окне выполнения мастера разделения области DHCP отобразится статус выполнения каждой операции.
На новом сервере необходимо проверить, что новая область появилась, что все настройки верны и активировать ее (если что-то неправильно – просто удалите область). Процедуру необходимо повторить для второго сервера, в результате чего область DHCP будет обслуживаться тремя территориально расположенными серверами DHCP.
Вот каким образом область и диапазон исключения выглядят в моем случае.
Первый сервер DHCP:
Второй сервер DHCP:
Третий сервер DHCP:
Как вы видите, в Widows Server 2008 R2 построить отказоустойчивую службу DHCP стало еще проще!
Ну и, наконец, необходимо провести настройку сетевого оборудование таким образом, чтобы все клиенты DHCP могли получать сообщения DHCPDISCOVER (подробнее о протоколе DHCP).
Поднимаем кластер на базе Windows Server 2008 R2
Сейчас я подробно разберу все моменты по разворачиванию тестового кластера в системе Virtualbox с использование операционной системы WindowsServer 2008 R2 Enterprise, системы FreeNAS, которая будет выступать хранилищем с поднятым сервисом по предоставлению iSCSI сервиса столь необходимого по развёртыванию кластера.
- Два сервера Windows Server 2008 R2 Enterprise введённые в домен
- Домен polygon.local
- Доменная учётная запись с правами Администратора
- Пять выделенных IP адрес
- Система FreeNAS установленная в VirtualBox
- Отключён энергосберегающий режим
- Часовой пояс GMT + 4
- Установлены все обновления через WSUS
Четыре сетевые карточки по две на каждую систему.
Login: ekzorchik (Учётная запись состоит в группе — Domain Admins)
Eth0: 10.0.2.19 – внешняя сеть для домена polygon.local
Subnet Mask: 255.255.255.0
Eth1: 192.168.117.2 – внутренняя сеть, т.е. cluster 1 смотрит на cluster 2 и никуда более.
Subnet Mask: 255.255.255.0 (255.255.255.252 на два адреса)
Eth0: 10.0.2.21 — внешняя сеть для домена polygon.local
Subnet Mask: 255.255.255.0
Eth1: 192.168.117.3 — внутренняя сеть, т.е. cluster 2 смотрит на cluster 1 и никуда более
Subnet Mask: 255.255.255.0
Подготовим хосты Cluster1 и Cluster2 установив, в них компонент «FailoverClustering».
Настройки на хосте Cluster 1
Запускаем оснастку для добавления компонента «Средство отказоустойчивости кластеров»
«Start» – «Control Panel» – «Administrative Tools» – «Server Manager» – «Features» и добавляем
Компонент «Failover Clustering»
Проходим через Next и Install и ожидаем, пока компонент установится.
Проделываем такие же манипуляции, как и с хостом Cluster2 по установке компонента.
Теперь подключим общий диск для обоих хостов .
Чтобы заработал кластер нам нужен общий диск подключённый к нашим системам Cluster1 и Cluster2 для этого задействуем встроенную оснастку «iSCSIInitiator». Как настроить подключение я уже расписывал, делаем согласно инструкции.
После переходим на систему Cluster1, далее открываем оснастку «Start» – «ControlPanel» – «AdministrativeTools» – «Server Manager» – «Storage» – «Disk Management» (Управление дисковой системой)
И обращаем внимание, что у нас появился подключённый через оснастку «iSCSIInitiator» диск:
Сейчас нужно его перевести в «Online» режим:
Создаём том (New Simple Volume…):
Нажимаем Next,
указываем размер тома в мегабайтах (я оставлю по умолчанию 2045), и присвоим букву для логического диска, к примеру «Q», укажем файловую систему (NTFS) и метку тома (к примеру «Quorum»).
Далее нужно зайти на второй узел Cluster2, также открыть оснастку «Start» – «Control Panel» – «Administrative Tools» – «Server Manager» – «Storage» – «Disk Management» (Управление дисковой системой) и по такому же принципу, как выше активируем диск, размечаем, но после переводим в состояние «Offline».
Подготовительная часть закончена.
Теперь можно перейти к объединению узлов Cluster 1 и Cluster 2 в кластер .
Данную процедуру выполняем только единожды
Для этого зайдём на первый хост Cluster1 и открываем оснастку «Failover Cluster Manager» для конфигурирования.
«Start» – «Control Panels» – «Administrative Tools» – «Failover Cluster Manager».
В появившейся оснастки следует запустить мастер проверки конфигурации – «Validatea Configuration…»
Сейчас, когда на обоих хостах установлен компонент, можно перейти к созданию кластера.
Сейчас необходимо выбрать узлы, из которых будем делать кластер , на предмет соответствия требованиям.
Вводим имя сервера, в моём случае Сluster1 и нажимаем Add (Добавить).
Нажимаем снова Next и на следующем шаге отмечаем пункт – «Run All Tests (recommended)» (Провести все тесты).
На представленном скриншоте ниже видно, что тесты завершаются успешно и Вы можете замечать, то появление, то исчезновение нашего подключённого общего iSCSI диска.
По окончании тестов можно ознакомиться с отчётом в котором присутствуют проблемные места, мешающие при поднятии кластера:
В моём случае все хорошо, проблем нет.
Обзываем кластер именем: service.polygon.local и IP адресом 10.0.2.39
, указываем узлы из которых строим кластер, это Cluster1 & Cluster2, Указываем имя для него service.polygon.local, и адресом 10.0.2.39, см. скриншот ниже, что у Вас должно получиться:
Нажимаем Next
На этом все подготовительные шаги завершены, нажимаем Next, собственно и происходит установка. По окончании развернув оснастку «Failover Cluster Manager» видим имя кластера, ноды из которых он состоит и общий диск.
Вот собственно и весь процесс поднятия кластера в тестовых условиях. Данная заметка своеобразный пошаговый процесс конфигурирования и тестирования функционала для применения уже в боевой системе. На этом всё, удачи.
Миграция сервера DHCP c Windows Server 2008 R2 на отказоустойчивую конфигурацию DHCP Failover из двух серверов на базе Windows Server 2012 R2
В процессе миграции серверных систем на Windows Server 2012 R2 дошли до служб DHCP и решили попробовать в действии новый механизм повышения доступности DHCP Failover появившийся еще в Windows Server 2012. Перед началом процедуры возьмём на заметку пару тезисов из документации по DHCP Failover:
Для отработки отказа DHCP можно использовать не более двух DHCP-серверов
Для правильной работы отработки отказа DHCP необходимо синхронизировать время на двух серверах в отношениях отработки отказа. Для синхронизации времени можно использовать протокол NTP или любой альтернативный механизм. Мастер настройки отработки отказа сравнивает текущее время на серверах, настроенных для отработки отказа. Если время на серверах отличается более чем на одну минуту, установка отработки отказа завершится с критической ошибкой, указывающей администратору на необходимость синхронизации времени на серверах.
Последовательность выполняемых действий:
1. Устанавливаем роль DHCP Server на два сервера с Windows Server 2012 R2.
2. Экспортируем данные действующего сервера DHCP с Windows Server 2008 R2
3. Импортируем все конфигурационные данные DHCP на первый сервер с Windows Server 2012 R2
4. Импортируем только серверную конфигурацию DHCP на второй сервер с Windows Server 2012 R2
5. Настраиваем DHCP Failover.
6. Заключительные процедуры
1. Устанавливаем роль DHCP Server на два сервера с Windows Server 2012 R2
1.1. Устанавливаем роль DHCP Server на первый сервер (KOM-AD01-NS01 )
Выполним установку роли DHCP Server на первый сервер с помощью консоли Server Manager, где вызовем мастер добавления ролей в меню Manage > Add Roles and Features и на этапе выбора ролей отметим DHCP Server
тут же нам будет предложено установить компоненты управления ролью из состава RSAT (консоль DHCP и PS-модуль для работы с DHCP) – соглашаемся с их добавлением.
В конце процесса установки нам станет доступна ссылка пост-инсталляционной настройки роли – Complete DHCP configuration
Мастер настройки выполняет две основные вещи – добавляет на сервер две локальные группы безопасности для управления ролью и выполняет авторизацию службы DHCP в домене Active Directory.
Для выполнения авторизации при необходимости можно указать отдельные учетные данные…
Жмём Commit и убеждаемся в том, что процедуры создания локальных групп и авторизации выполнены без проблем…
После завершения работы мастера конфигурации выполняем перезапуск службы DHCP Server, чтобы изменения связанные с настройкой вновь созданных локальных групп безопасности вступили в силу. Перезагрузка сервера при этом не требуется.
1.2. Устанавливаем роль DHCP Server на второй сервере (KOM-AD01-NS02 )
На втором сервере для наглядности установку роли выполним c помощью PowerShell.
Устанавливаем исполняемые компоненты DHCP:
Создаем локальные группы безопасности DHCP (DHCP Administrators и DHCP Users) :
Для вступления в силу настроек безопасности DHCP связанных с созданными локальными группами безопасности перезапускаем службу DHCP Server:
Авторизуем DHCP сервер в Active Directory:
Однако после того, как роль DHCP установлена и выполнены пост-инсталляционные настройки с помощью PowerShell, — при подключении к этому серверу в консоли Server Manager будет висеть предупреждение о том, что требуется пост-инсталляционная настройка невзирая на то, что фактически она уже выполнена. При этом для исчезновения этого предупреждения не поможет даже перезагрузка сервера.
Чтобы скинуть этот статус , выполним изменение ключа реестра в значение определяющее то, что фактически роль DHCP Server уже сконфигурирована с помощью PowerShell:
2. Экспортируем данные действующего сервера DHCP
С сервера, на котором в данный момент выполняется служба DHCP на базе Windows Server 2008 R2 нам необходимо экспортировать конфигурацию службы DHCP, в том числе информацию о всех DHCP-областях и относящихся к ним резервированиях и арендованных IP-адресах. Сделать это можно непосредственно с сервера на базе Windows Server 2012 R2.
Итак, на сервере KOM-AD01-NS01 предварительно создаём папку, в которую будут экспортироваться данные, например C:\Temp и выполняем PS-командлет экспорта конфигурации со старого DHCP-сервера:
3. Импортируем все конфигурационные данные DHCP на первый сервер с Windows Server 2012 R2
На сервере KOM-AD01-NS01 выполняем команду полного импорта конфигурации DHCP
С параметром —File думаю всё понятно, он указывает на файл из которого будут браться данные для импорта. Параметр -BackupPath , несмотря на то, что он нам в данной ситуации не нужен, является обязательным и указывает путь к каталогу, в который перед импортом будет выполнено резервное копирование существующей конфигурации нового сервера, и поэтому его нужно указать, определив для него какой-нибудь временный каталог.
4. Импортируем только серверную конфигурацию DHCP на второй сервер с Windows Server 2012 R2
Так как в процессе установки партнёрских отношений по репликации между серверами с первого сервера на второй будут реплицированы области, их резервирования и информация о текущей аренде IP-адресов, то на второй сервер мы импортируем только основную серверную конфигурацию DHCP. То есть импорту подлежат только данные, специфичные для каждого отдельного сервера, которые не участвуют в процессе репликации в партнёрских отношениях между серверами, а именно:
— Vendor or User classes other than those which are built-in.
— Option definitions other than those which are built-in
— Server level option values
— MAC address based filters
— Conflict detection attempt (if set to something other than the default)
Перейдём на сервер KOM-AD01-NS02, скопируем файл с данными экспорта в C:\Temp\DHCPExport.xml и выполним команду импорта с специальным параметром определяющим состав импортируемых данных:
5. Настраиваем DHCP Failover
Переходим на первый сервер KOM-AD01-NS01 (где импортированы области DHCP) и в консоли DHCP в дереве навигации открываем меню действия для узла IPv4 > Configure Failover…
Откроется мастер настройки отказоустойчивой конфигурации областей DHCP. В нашем примере в отказоустойчивую конфигурацию будут включены все области сервера, и поэтому мы оставляем включенным чекбокс Select all
На следующем шаге мастера выберем имя второго сервера, который будет выступать в качестве партнёра по репликации для текущего сервера. Это можно сделать выбрав сервер кнопкой Add Server из открывающегося списка авторизованных в Active Directory DHCP серверов.
Далее нам предстоит выбрать режим повышения доступности. Существует два основных режима – Load balance и Hot standby. Первый режим представляет собой режим балансировки нагрузки Active/Active между двумя серверами-партнёрами, то есть клиентские запросы обрабатывают оба сервера в соответствии с процентным соотношением в Load Balance Percentage. Второй режим заставляет работать сервера в режиме Active/Passive, то есть второй сервер включается в работу только при недоступности первого.
В нашем примере выбран режим балансировки, при котором DHCP серверы-партнёры вычисляют хеш MAC-адреса из клиентского запроса на основе алгоритма описанного в RFC 3074 . В результате применения хеш-алгоритма каждый MAC-адрес преобразуется в значение от 1 до 256, и если например балансировка между серверами настроена нами в соотношении 50/50 %, то первый сервер будет отвечать клиентам с хешем от 1 до 128, а второй соответственно — клиентам с хешем от 129 до 256.
Что касается параметров настройки выбранного режима работы, то их скудное описание можно найти в документе TechNet Library — DHCP Failover Settings
Насколько я понял, Maximum Client Lead Time это максимальное время аренды IP-адреса выдаваемого доступным сервером для клиентов, которые должны быть обслужены тем сервером, который в данный момент недоступен. А State Switchover Interval – это интервал времени по истечении которого доступный сервер при недоступности сервера-партнёра автоматически переводит партнёрские отношения из COMMUNICATION INTERRUPTED в PARTNER DOWN и берёт на себя функции по полному обслуживанию DHCP-областей, входящих в эти партнёрские отношения. В большинстве случаев для этих параметров можно оставить предложенные по умолчанию значения.
Для повышения безопасности механизмов репликации между серверами желательно использовать опцию Enable Message Authentication, для которой нам нужно задать пароль Shared Secret используемый для взаимной аутентификации серверов.
Далее мастер покажет нам сводную информацию по сделанным настройкам и выполнит конфигурирование партнёрских отношений между серверами.
Подключимся консолью DHCP ко второму серверу, куда мы ранее импортировали только серверную конфигурацию и убедимся в том, что на нём появились реплицируемые DHCP-области.
В дальнейшем при желании мы можем поменять режим работы DHCP Failover и все его опции на соответствующей вкладке настроек IPv4. Здесь же мы увидим текущий статус партнёрских отношений…
6. Заключительные процедуры
В качестве заключительных процедур по настройке DHCP Failover можно считать обновление агентов DHCP Relay для использования IP адресов двух серверов-партнёров (перенастройка маршрутизирующего сетевого оборудования) и последующее тестирование получившейся конфигурации.