m.marz
Goto Top

DHCP Server switchen

Hallo zusammen,

ich habe 2 DC´s im Netzwerkstehen die beide Parallel mit DNS Funktion laufen.

Auf dem DC1 habe ich das DHCP aktiviert was auch lange funktioniert.

Auf dem DC2 habe ich auch die DHCP Rolle installiert und genau so eingestellt wie die Konfigs vom DC1, nur im deaktivierten zustand, falls mal der DC1 ausfällt ich
noch einen anderen DHCP habe.

Meine Frage ist, ob es reicht einfach IPBereich vom DC2 zu aktivieren wenn der DC1 aus ist, damit die IP´s verteilt werden, oder muss man da mehr berücksichtigen.

Würde gerne die DHCP Funktion auf DC2 leiten, aber wie mache ich das richtig?

Danke

Server sind Win2008R2.

Lg

Content-Key: 322740

Url: https://administrator.de/contentid/322740

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: killtec
killtec 02.12.2016 um 14:29:57 Uhr
Goto Top
Hi,
mach doch nen Split DNS mit jeweils gegenseitig ausgeschlossenem bereich und lass beide laufen.

Gruß
Mitglied: Chonta
Chonta 02.12.2016 um 14:32:59 Uhr
Goto Top
Hallo,

welche Serverversion hast Du?
Evtl läßt sich da schon ein komfortables Failover machen.
Das Problem bei deinem Konstrukt ist, der DHCP1 hat shcon IP verteilt und die sind auch im Umlauf bis der Client eine neue will oder ausgeschaltet wird.
DHCP2 weiß aber nicht welche IP schon im Rennen sind und verteilt frei nach.... und dann knallt es.
Das einfachste wäre das der DHCP2 einen anderen Bereich verteilt als DHCP1, dann kann es nicht knallen, ABER die Funktion sollte zwingend nur bei einem aktiv sein sunst hast Du DHCP PingPong.

Gruß

Chonta
Mitglied: Chonta
Chonta 02.12.2016 um 14:35:16 Uhr
Goto Top
mach doch nen Split DNS mit jeweils gegenseitig ausgeschlossenem bereich und lass beide laufen.
DNS? DNS hat mit DHCP mal nix am Hut, außer der DHCP muss die DNE Eiinträge der Clients als Stellvertreter machen, aber selbst dann wumpe DNS ist ja hoffentlich im AD integirert und auch überkreuz und auch beide Server verteilt.

Gruß

Chonta
Mitglied: M.Marz
M.Marz 02.12.2016 um 14:37:08 Uhr
Goto Top
Danke,

es ist so das der DC1 bei uns nämlich etwas probleme hat und ich den aus dem Netz nehmen will um eine analyse zu machen.

Deshalb möchte ich gerne vor der Netztrennung des DC1, den DC2 die DHCP Rolle übergeben.

Wie mache ich das in meinem Konstrukt richtig :S?
Mitglied: Chonta
Chonta 02.12.2016 um 14:39:49 Uhr
Goto Top
Wie mache ich das in meinem Konstrukt richtig :S?
Auf die Schnelle:

DHCP1 192.168.0.2-192.168.0.100
DHCP2 192.168.0.101-192.168.0.200

Die Festen IP für Server, Drucker, Switche, Router dürfen natürlich nicht im DHCP Bereich liegen!

Gruß

Chonta
Mitglied: M.Marz
M.Marz 02.12.2016 um 14:43:55 Uhr
Goto Top
Super, dann muss ich das noch anpassen.

Allerdings hat es mich gewundert, dass wenn ich die DC1 DHCPBereich deaktiviert habe, und DC2 aktiviert habe, hat sich keiner bei dem Server eine Ip gezogen, selbst mit ipconfig /release und /renew nicht.
Mitglied: Kraemer
Kraemer 02.12.2016 um 14:45:08 Uhr
Goto Top
Moin,

für eine manuelle vorübergehende Lösung kannst du das genau so machen, wie du es dir gedacht hast. DHCP auf DC 1 aus, DHCP auf DC 2 an (die selbe Konfiguration vorausgesetzt) und Bereich aktivieren.

Gruß Krämer
Mitglied: Kraemer
Kraemer 02.12.2016 um 14:45:51 Uhr
Goto Top
Zitat von @M.Marz:

Super, dann muss ich das noch anpassen.

Allerdings hat es mich gewundert, dass wenn ich die DC1 DHCPBereich deaktiviert habe, und DC2 aktiviert habe, hat sich keiner bei dem Server eine Ip gezogen, selbst mit ipconfig /release und /renew nicht.
Dann stimmt da was bei dir nicht...
Mitglied: Chonta
Chonta 02.12.2016 um 14:47:08 Uhr
Goto Top
und DC2 aktiviert habe, hat sich keiner bei dem Server eine Ip gezogen,
Ist der denn auch Autorisiert für das AD zu verteilen?

ipconfig /release und /renew
Die hatten danach APIPA?

Sicher das der DHCP auf dem anderen server auch gestartet war? Wenn der nicht genmigt ist, dann macht der nix.

Gruß

Chonta
Mitglied: em-pie
em-pie 02.12.2016 um 15:24:10 Uhr
Goto Top
Moin,

auch daran Denken, dass wenn du VLANs fähsrt, dass die Switche/ Router für das DHCP-Relay die IP des zweiten DHCP-Servers kennen ;)

Gruß
em-pie
Mitglied: M.Marz
M.Marz 02.12.2016 um 15:25:40 Uhr
Goto Top
ja der ist autorisiert.

gestartet ist der auch.

Ich sehe beim DC2 nämlich im Bereich Bindung keine Einträge...

Wodurch kann das den kommen?

Erreichbar sind beide server sowohl als Ping als auch Remotedesktop.
Mitglied: Vision2015
Vision2015 02.12.2016 um 15:36:04 Uhr
Goto Top
Zitat von @M.Marz:

Danke,

es ist so das der DC1 bei uns nämlich etwas probleme hat und ich den aus dem Netz nehmen will um eine analyse zu machen.
wenn du mehr als einen DC hast, kannst du nicht einfach einen vom netz nehmen und 3 tage eine analyse machen... genausowenig kannst du ein 3 tage altes backup einspielen- es sei den du brauchst spass und nervengedöns...

Deshalb möchte ich gerne vor der Netztrennung des DC1, den DC2 die DHCP Rolle übergeben.
also wenn dein dc1 probleme macht, solltest du dc2 alle rollen übertragen usw, und zum häuptling erklären! dann ist dein DHCP problem auch erledigt face-smile
dann darfst du mit deinem altem DC1 etwas spielen... schauen wo der fehler war... und dann Installierst den DC NEU! das geht schneller als fummeln, und ist grade für dich als anfänger sicherer!
nur so ein TIP

Frank

Wie mache ich das in meinem Konstrukt richtig :S?
Mitglied: aqui
aqui 02.12.2016 aktualisiert um 17:13:06 Uhr
Goto Top
Nur mal so nebenbei am Freitag...
Mit einem richtigen Betriebssystem lässt man die DHCPs im HA laufen und shared eine gemeinsame Lease Datenbank:
https://www.madboa.com/geek/dhcp-failover/
Mitglied: Vision2015
Vision2015 02.12.2016 um 17:25:24 Uhr
Goto Top
Zitat von @aqui:

Nur mal so nebenbei am Freitag...
Mit einem richtigen Betriebssystem lässt man die DHCPs im HA laufen und shared eine gemeinsame Lease Datenbank:
https://www.madboa.com/geek/dhcp-failover/

du bist ja putzig der To kommt grade mit windows servern klar, und jetzt kommst du mit Linux... face-smile

Frank
Mitglied: emeriks
emeriks 02.12.2016 um 17:33:43 Uhr
Goto Top
Hi,
Die Festen IP für Server, Drucker, Switche, Router dürfen natürlich nicht im DHCP Bereich liegen!
Doch, das ist kein Problem. Einfach auf beiden Servern für jede fest vergebene Adresse eine Reservierung erstellen und gut ist. Damit hat man dann sogar eine einfache "Dokumentation" der fest vergebenene Adressen.
Mitglied: emeriks
emeriks 02.12.2016 um 17:45:53 Uhr
Goto Top
Allerdings hat es mich gewundert, dass wenn ich die DC1 DHCPBereich deaktiviert habe, und DC2 aktiviert habe, hat sich keiner bei dem Server eine Ip gezogen, selbst mit ipconfig /release und /renew nicht.
Das ist logisch. Wenn beide DHCP-Server im Netz aktiv sind, dann kann man nur schwer steuern, welcher als erstes antwortet und wessen Angebot der Client annimmt. Wenn man einen Server nicht komplett deaktiviert sondern nur den Bereich, dann wird er dem Client nur melden können "habe nichts für Dich". Ich kenne jetzt die RFC nicht im Detail, aber ich glaube nicht, dass der Windows DHCP-Client dann nochmal versucht, einen anderen DHCP-Server zu erreichen, jedenfalls nicht im selben Segment. Und selbsrt wenn, dann kann das Spiel wieder von vorne losgehen.
Also wenn Du das so testen willst, dann auf dem 1. DHCP nicht nur den Bereich deaktivieren sondern den kompletten DHCP-Dienst.

Du musst aber auch beachten, dass wenn Du den 2. DHCP nur bei Bedarf einschalten willst, ein DHCP-Client beim Erneuern seiner Lease gezielt nach jenem Server ruft, welcher ihm diese Lease erteilt hat. D.h. dass ein 24h-Client nach dem Ausschalten "seines" DHCP-Servers seine Lease nicht erneuern kann, diese deshalb nach Ablauf der Zeit verwirft und eine komplett neue Anfordert. Dabei kann es dann sein, dass ihm der andere DHCP-Server eine andere Adresse verpasst. Nicht alle Anwendungen kommen damit klar. Man kann sowas aber vermeiden indem man für solche Clients auf beiden Servern je eine Reservierung mit den selben Daten erstellt. Hinweis: Eine Reservierung kann auch außerhalb des Bereichs sein, solange sie im selben Subnet ist.
Bsp:
Bereich 192.168.0.1 - 100 / 24
Reservierung 192.168.0.200 / 24
--> kein Problem

Einfacher ist es natürlich, auf beiden Servern den Bereich gleich groß zu erstellen, und dann nur verschiedene Ausschlussbereiche einzutragen.
Mitglied: emeriks
emeriks 02.12.2016 um 17:49:24 Uhr
Goto Top
wenn du mehr als einen DC hast, kannst du nicht einfach einen vom netz nehmen und 3 tage eine analyse machen... genausowenig kannst du ein 3 tage altes backup einspielen- es sei den du brauchst spass und nervengedöns...
Wie kommst Du denn auf sowas? Man muss nur die Verfügbarkeiten von GC, FSMO und DNS sowie die Tombstone Lifetime beachten.
Mitglied: Vision2015
Vision2015 02.12.2016 um 18:08:30 Uhr
Goto Top
Zitat von @emeriks:

wenn du mehr als einen DC hast, kannst du nicht einfach einen vom netz nehmen und 3 tage eine analyse machen... genausowenig kannst du ein 3 tage altes backup einspielen- es sei den du brauchst spass und nervengedöns...
Wie kommst Du denn auf sowas? Man muss nur die Verfügbarkeiten von GC, FSMO und DNS sowie die Tombstone Lifetime beachten.

richtig... du scheinst es zu wissen, ich auch- der TO aber warscheinlich- wie die meisten nicht!
wie oft wurde schon beim AD ein backup zurück genudelt- und danach war ende im gelände!

du wirst mir aber auch sicher zustimmen, wenn ein DC ausgefallen ist, oder doof spielt, und noch ein DC in der domäne korrekt arbeitet, es am besten ist einen neuen server zu installieren und ihn mit dcpromo zum DC hochzustufen. die ad replikation sorgt dann dafür, dass der neue DC innerhalb einigen minuten voll funktionsfähig ist...
oder ?
das wäre auf jedenfall der sichere weg!

Frank
Mitglied: emeriks
emeriks 02.12.2016 um 18:24:54 Uhr
Goto Top
du wirst mir aber auch sicher zustimmen, wenn ein DC ausgefallen ist, oder doof spielt, und noch ein DC in der domäne korrekt arbeitet, es am besten ist einen neuen server zu installieren und ihn mit dcpromo zum DC hochzustufen. die ad replikation sorgt dann dafür, dass der neue DC innerhalb einigen minuten voll funktionsfähig ist...
oder ?
das wäre auf jedenfall der sichere weg!
Ja, schon möglich, wenn man die Möglichkeit hat, könnte man es so machen. Man kann eine Analyse aber auch erst mal online machen.
Außerdem bin ich mir nicht sicher, ob TO mit "DC1 macht Probleme" auch wirklich AD meint. Nicht selten wird hier von "DC" gesprochen, mit vielen Rollen drauf, und wenn dann z.B. DHCP spinnt, dann wird hier von "DC spinnt" gesprochen. Hier gilt es, dem TO diese Info aus der Nade zu bohren. face-wink
Mitglied: Vision2015
Vision2015 02.12.2016 um 18:26:39 Uhr
Goto Top
Zitat von @emeriks:

du wirst mir aber auch sicher zustimmen, wenn ein DC ausgefallen ist, oder doof spielt, und noch ein DC in der domäne korrekt arbeitet, es am besten ist einen neuen server zu installieren und ihn mit dcpromo zum DC hochzustufen. die ad replikation sorgt dann dafür, dass der neue DC innerhalb einigen minuten voll funktionsfähig ist...
oder ?
das wäre auf jedenfall der sichere weg!
Ja, schon möglich, wenn man die Möglichkeit hat, könnte man es so machen. Man kann eine Analyse aber auch erst mal online machen.
Außerdem bin ich mir nicht sicher, ob TO mit "DC1 macht Probleme" auch wirklich AD meint. Nicht selten wird hier von "DC" gesprochen, mit vielen Rollen drauf, und wenn dann z.B. DHCP spinnt, dann wird hier von "DC spinnt" gesprochen. Hier gilt es, dem TO diese Info aus der Nade zu bohren. face-wink

äh ja ... aus der nase zu bohren face-smile

da hast du sicherlich recht...

Frank
Mitglied: M.Marz
M.Marz 03.12.2016 um 13:04:01 Uhr
Goto Top
Danke für die Antworten,

wie kriege ich den nun den anderen DC dazu die DHCP Funktion zu übernehmen?

Informationen die ich gesammelt habe ist:

der DHCP und DNS und Anmelde Server sind momentan der DC2 (ich möchte ja DC1 diese Funktionen alle wieder geben. Muss ich da den Betriebsmaster auf den DC1 ändern?).

Der Anmeldeserver den die Clients benutzen (cmd: echo %logonserver%) ist der DC2.

Auf dem DC1 in der DHCP Konsole sehe ich unter Bindungen "verwalten/hintzufügen" keine Netzwerkkarten worüber er DHCP machen kann, unter dem DC2 allerdings schon, wo ich meine das dies die Ursache für den DHCP fehlfunktion sein kann.

Der DC1 stellt für die User im Unternehmen mehrere Netzlaufwerke zur Verfügung. Die Laufwerke auf dem DC1 selbst, werden mittels eines Anmeldeskript gemappt.
Die Laufwerke auf anderen Servern im Netz werden nicht gemappt.

CMD meldet: Keine Anmeldeserver stehen zur Verfügung wenn ich das Anmeldeskript lokal ausführe.

Diese Anderen Server sind allerdings im Netz per Ping erreichbar.

Habe mal Testweise einen neuen User erstellt und mich damit auf meiner TestVM WIN10 angemeldet, die anmeldung funktionierte Fehlerfrei und auf anhieb. Eine Anmeldung funktioniert also doch.

Das Netzlaufwerk mappt die Server mittels der IP und nicht anhand des DNS-Namen.

Hoffe auf Antworten für meine LaienFragen.

Danke
Mitglied: emeriks
emeriks 03.12.2016 um 14:23:35 Uhr
Goto Top
@Vision2015
Letzter Kommentar des TO: Jetzt verstehst Du was ich meine ... face-wink

@M.Marz
Eben waren es noch DHCP-Probleme, jetzt Fileserverzugriff ...
wie kriege ich den nun den anderen DC dazu die DHCP Funktion zu übernehmen?
Haben wir schon beschrieben.
der DHCP und DNS und Anmelde Server sind momentan der DC2 (ich möchte ja DC1 diese Funktionen alle wieder geben. Muss ich da den Betriebsmaster auf den DC1 ändern?).
Anmeldeserver kann man nur sehr beschränkt steuern. Wenn es mehrere DC gibt, dann such sich der Client selbst einen verfügbaren.
Der Anmeldeserver den die Clients benutzen (cmd: echo %logonserver%) ist der DC2.
Das ist eine Momentaufnahme. Das ist entweder Zufall oder Folge einer bestimmten Konstellation, z.B. Nicht-Verfügbarkeit des DC1.
Auf dem DC1 in der DHCP Konsole sehe ich unter Bindungen "verwalten/hintzufügen" keine Netzwerkkarten worüber er DHCP machen kann, unter dem DC2 allerdings schon, wo ich meine das dies die Ursache für den DHCP fehlfunktion sein kann.
Na mit höchster Wahrscheinlichkeit.
Der DC1 stellt für die User im Unternehmen mehrere Netzlaufwerke zur Verfügung. Die Laufwerke auf dem DC1 selbst, werden mittels eines Anmeldeskript gemappt.
Du meinst die Netzlaufwerke auf dem Client werden zum DC1 per Anmeldescript verbunden?
Die Laufwerke auf anderen Servern im Netz werden nicht gemappt.
Was heißt das jetzt? Da sind keine Freigaben und im Script deshalb auch keine Anweisungen oder das sind Freigaben aber das Verbinden über Script funktioniert nicht?
CMD meldet: Keine Anmeldeserver stehen zur Verfügung wenn ich das Anmeldeskript lokal ausführe.
CMD wo ausgeführt? Am Client? Am DC1?
Diese Anderen Server sind allerdings im Netz per Ping erreichbar.
Von wo aus? Client? DC1? Kaffemaschine?
Habe mal Testweise einen neuen User erstellt und mich damit auf meiner TestVM WIN10 angemeldet, die anmeldung funktionierte Fehlerfrei und auf anhieb. Eine Anmeldung funktioniert also doch.
Du hast biesher nicht geschrieben, dass sie nicht funktionieren würde. Also warum dann dieser Test?
Das Netzlaufwerk mappt die Server mittels der IP und nicht anhand des DNS-Namen.
Warum wird am Server ein Netzlaufwerk verbunden? Und welcher Server?
Mitglied: M.Marz
M.Marz 03.12.2016 um 14:57:32 Uhr
Goto Top
danke emeriks für das auseinander nehmen des Textes face-smile .

Die Clients sollen sich die Netzlaufwerke mappen die vorher noch funktioniert haben.
Diese Freigaben liegen auf anderen Servern die nicht der DC selbst sind.

Das Skript lokal am Client ausgeführt, brachte die Meldung: Keine Anmeldeserver vorhanden...
sobald es an der Zeile angekommen ist, die auf den anderen Servern mittels der IP zeigt.

Die Freigaben die allerdings auf dem DC liegen wurden sofort gemappt.

Ich habe einfach mal den DC neu gestartet, was das Problem behoben hat.

Die einzigste Feinheit die ich noch klären möchte ist:

Wie kann ich die Dc´s im Netzwerk priorisieren?

Ich möchte den Clients den DC1 als anmeldeserver bereitstellen,

sollte der DC1 nicht erreichbar sein, sollen die dann DC2 benutzen.

Ich habe da einen Eintrag gefunden, allerdings erklärt dieser das man in der Registry was ändern muss, wobei ich mir da unsicher bin ob das die einfache Art ist.

http://www.miru.ch/how-to-control-and-prioritize-client-authentication- ...
Mitglied: Vision2015
Vision2015 03.12.2016 um 15:08:47 Uhr
Goto Top
@emeriks ja, du hast recht face-wink

Zitat von @M.Marz:

Danke für die Antworten,

wie kriege ich den nun den anderen DC dazu die DHCP Funktion zu übernehmen?

Informationen die ich gesammelt habe ist:

der DHCP und DNS und Anmelde Server sind momentan der DC2 (ich möchte ja DC1 diese Funktionen alle wieder geben. Muss ich da den Betriebsmaster auf den DC1 ändern?).

Der Anmeldeserver den die Clients benutzen (cmd: echo %logonserver%) ist der DC2.

Auf dem DC1 in der DHCP Konsole sehe ich unter Bindungen "verwalten/hintzufügen" keine Netzwerkkarten worüber er DHCP machen kann, unter dem DC2 allerdings schon, wo ich meine das dies die Ursache für den DHCP fehlfunktion sein kann.
klar...

Der DC1 stellt für die User im Unternehmen mehrere Netzlaufwerke zur Verfügung. Die Laufwerke auf dem DC1 selbst, werden mittels eines Anmeldeskript gemappt.
Die Laufwerke auf anderen Servern im Netz werden nicht gemappt.
wieso hat sind auf einem DC freigaben ? sowas macht keiner.. setz doch einen File server auf..
und was für andere server ? irgendwie ist bei dir alles durcheinander.

CMD meldet: Keine Anmeldeserver stehen zur Verfügung wenn ich das Anmeldeskript lokal ausführe.
wozu wäre das auch gut ?

Diese Anderen Server sind allerdings im Netz per Ping erreichbar.

Habe mal Testweise einen neuen User erstellt und mich damit auf meiner TestVM WIN10 angemeldet, die anmeldung funktionierte Fehlerfrei und auf anhieb. Eine Anmeldung funktioniert also doch.
wiso auch nicht?

Das Netzlaufwerk mappt die Server mittels der IP und nicht anhand des DNS-Namen.
das wird dir irgendwann auch das genick brechen....


Hoffe auf Antworten für meine LaienFragen.

Danke
ich denke du solltest deinen Netzwerk IST zustand mal gesamt posten, alle fehler und krücken-
und wir erstellen dir eine liste was in welcher reihenfolge gemacht werden sollte!
Frank
Mitglied: emeriks
emeriks 03.12.2016 um 17:51:45 Uhr
Goto Top
Ich möchte den Clients den DC1 als anmeldeserver bereitstellen,

sollte der DC1 nicht erreichbar sein, sollen die dann DC2 benutzen.
Warum willst Du das so festmachen? Welchen Vorteil außer Arbeit hast Du dadurch?

Ich habe da einen Eintrag gefunden, allerdings erklärt dieser das man in der Registry was ändern muss, wobei ich mir da unsicher bin ob das die einfache Art ist.

http://www.miru.ch/how-to-control-and-prioritize-client-authentication- ...
Kannst Du ohne Sorgen so machen.

Aber wie schon gefragt: Warum, zum Geier?