Configuração dos serviços DHCP e DNS para o sistema VOIP, domínio do Windows, etc.

Navegue suas respostas
3

Minha empresa possui vários escritórios físicos (para propósitos desta discussão, 15 edifícios). Alguns deles estão bem conectados ao nosso data center primário via fibra. Outros serão conectados ao data center pelo P2P T1. Estamos nos estágios iniciais de implementação de um sistema de telefonia VOIP da Avaya e estaremos substituindo uma parte significativa de nossa infraestrutura de rede no processo.

Em conjunto com a implementação do sistema de telefonia, vamos abordar algumas de nossas redes e consolidar a maioria dos nossos domínios do Windows em um (nem todos os domínios, apenas a maioria). Atualmente, temos alguns domínios do Windows e cada um deles possui suas próprias zonas DNS. Algumas dessas redes usam atualmente o DHCP, mas a maioria usa atribuições de IP estático para cada dispositivo. Estou cansado de gerenciar atribuições estáticas - eu quero usar a configuração DHCP em tudo, exceto servidores. Impressoras e etc terão reservas DHCP. Os novos telefones IP precisarão obter endereços IP do DHCP, embora precisem estar em uma VLAN separada dos computadores / impressoras / etc.

Os computadores e impressoras precisam ser registrados no DNS. Atualmente, ele é gerenciado pelos servidores DHCP do Windows em cada um dos respectivos domínios. Precisamos colocar uma prioridade no DHCP e no DNS sendo disponibilizados por site (no caso de algo interromper a conexão WAN) para computadores e (principalmente) telefones. Locais menores (que terão telefones IP, mas não serão membros de qualquer domínio do Windows) não terão nenhum servidor DNS / DHCP do Windows disponível. Também estamos procurando a maneira mais fácil de substituir uma peça se ela falhar. Ou seja, se um servidor / appliance / roteador que hospeda o DHCP travasse com dificuldade, e nós não pudéssemos recuperar extremamente rapidamente as reservas e concessões de DHCP (e subsequentemente restaurá-los em uma reserva a frio), prevemos que coisas ruins poderiam acontecer .

Qual é a melhor ideia de como reimplementar DNS e DHCP, tendo em mente todos os itens acima? Alguns pensamentos que foram levantados (por mim ou por meus colegas de trabalho):

  • Use os servidores DNS e DHCP do Windows, onde existirem, e use os auxiliares de IP para rotear as solicitações de DHCP para algum outro servidor Windows, se necessário. Pode não ser aceitável se a WAN ficar inativa e os clientes não receberem uma resposta DHCP.
  • Use o DNS do Windows (em todos os lugares, pela WAN em alguns casos) e uma combinação de DHCP do Windows e DHCP fornecidos pelos roteadores Cisco. Todos os sites seriam cobertos pelo DHCP, mas pelo que eu li, os roteadores Cisco não podem manipular o registro dinâmico de clientes DHCP para servidores DNS do Windows, o que pode criar um problema em que os roteadores Cisco são usados para DHCP.
  • Use o DNS do Windows (em todos os lugares, através da WAN em alguns casos) e uma combinação de DHCP do Windows e DHCP fornecidos por algum serviço executado em um servidor linux de preço extremamente baixo. Existe algum software que permita que as concessões de DHCP concedidas por essas caixas de linux sejam dinamicamente registradas nos servidores DNS do Windows?
  • Crie uma solução Linux para DNS e DHCP e implemente servidores Linux de baixo custo em todos os sites. Os requisitos seriam que a zona DNS fosse multi-mestre (como o DNS do Windows integrado ao Active Directory), que o DHCP pudesse fazer registros dinâmicos de DNS nessa zona, para cada concessão (onde um nome de host é fornecido e assim possível) e que vários servidores sejam autoritativos para o mesmo escopo DHCP ou, pelo menos, recebam uma cópia / replicação / sincronização em tempo real da tabela de concessões para que, se um servidor morrer, ainda saibamos qual MAC possui qual endereço.
  • Compre dispositivos DNS / DHCP dedicados, implantando em todos os sites. Pelo que li / vi, isso resolve todos os nossos problemas técnicos. Depois vêm os problemas financeiros ... Eu não tenho muito dinheiro para gastar com isso.
  • Ou, alguma outra solução que até agora negligenciamos e que consideraremos sob recomendação.

Os roteadores Cisco ou os servidores Windows podem sincronizar as tabelas de concessão DHCP para que vários servidores possam ser autoritativos (ou ativos / passivos para todos os que me importam) para o mesmo escopo, no caso de um dos parceiros falhar? Li on-line (repetidamente) que o DHCP da ISC é capaz de manter a mesma tabela de leasing em vários servidores, a fim de Resolva esse problema. Alguém tem alguma experiência ou conselho a respeito disso?

    
por aNullValue 13.11.2009 / 19:54

2 respostas

4

Bravo ao decidir se livrar das atribuições de IP estático (exceto onde for absolutamente necessário). Eu diria a você para usar o banco de dados DHCP como sua documentação de "lista de endereços IP" também. Coloque também reservas para dispositivos com endereços IP estáticos atribuídos. Torne o banco de dados DHCP a "lista de endereços IP" autoritativa, em vez de ter planilhas eletrônicas, etc., desatualizadas.

Veja alguns detalhes : DNS e DHCP no Windows. Parece que você pode não estar ciente de que o computador cliente executa metade do registro (o registro "A") e também pode executar o registro de registro "PTR" também. Isso permite que você use praticamente qualquer servidor DHCP que desejar, desde que forneça endereços de servidores DNS que possam aceitar registros dinâmicos.

O servidor DHCP do Windows realiza backups do banco de dados DHCP para a unidade de disco rígido local periodcialmente. Você também pode exportar o banco de dados com "netsh" (W2K3 ou mais recente) para restaurá-lo facilmente a outro servidor. Restaurar um escopo do ISC DHCPd para outro servidor é uma questão de copiar as partes relevantes do arquivo dhcpd.leases e do arquivo dhcpd.conf. Servidores DHCP incorporados podem ser mais problemáticos em um cenário de restauração.

Como dito acima, seus roteadores Cisco podem distribuir DHCP para PCs com Windows, mas os PCs podem registrar seus próprios registros "PTR" e "A". Dê uma olhada na configuração de Diretiva de Grupo "Registrar Registros PTR" localizada em "Configurações do Computador", "Modelos Administrativos", "Rede" e "Cliente DNS". O cliente registrará o registro "A" por padrão.

Eu não usaria uma implantação de DNS Linux de rolagem para este aplicativo. Você vai colocar muito tempo nisso, e sempre será a fonte do tipo "Gee, isso funcionará com o Windows Server 2029 ...". Se não fosse pelo Active Directory, eu poderia pensar de forma diferente. Como você tem o AD em seu ambiente e como a Microsoft testa o AD no DNS da Microsoft, eu usaria o DNS da Microsoft.

O Windows Server não tem a capacidade de sincronizar os bancos de dados do servidor DHCP para que você possa ter vários servidores autoritativos para a mesma sub-rede. Isso continua decididamente abaixo do ideal no Windows DHCP. Isso pode ser uma "vitória" para o ISC DHCPd no Linux. Eu não tenho nenhuma experiência com esse recurso para compartilhar um banco de dados de concessão DHCP em vários servidores DHCP, mas certamente soa doce. Eu não estou ciente de qualquer capacidade nos roteadores Cisco para fazer isso. Novamente, você pode fazer com que seus PCs se registrem no DNS, independentemente do servidor DHCP utilizado.

Você também poderia configurar o DHCP ativo / passivo em vários computadores com Windows Server com alguns scripts e a funcionalidade de exportação de banco de dados nativa.

Pessoalmente, optaria pela opção de usar o DNS do Windows em todos os lugares, o DHCP do Windows em todos os lugares onde você pode ter um servidor DHCP do Windows na mesma LAN dos clientes e os roteadores Cisco distribuindo o DHCP em todos os lugares tem um computador com Windows Server. A solução Linux ISC DHCPd pode ser uma "vitória" também, mas eu ficaria com o DNS do Windows.

    
por 13.11.2009 / 21:33
1

IMO, a melhor maneira de fazer isso é usar o DHCP para atribuir endereços a estações de trabalho, impressoras, etc, mas com um endereço MAC estático ao mapeamento de endereços IP, para que a mesma máquina SEMPRE obtenha o mesmo endereço IP (a menos que você mude o mapeamento).

Eu faço isso no trabalho usando um banco de dados mysql e alguns scripts perl para gerar o dhcpd.conf e os arquivos de zona DNS do mesmo banco de dados. usando o dhcpd e ligando no linux (claro :). temos pelo menos um servidor DHCP e DNS em cada prédio, com NICs suficientes para que eles possam estar em todas as VLANs no mesmo (portanto, não há necessidade de retransmissão de DHCP).

Não atribuímos endereços dinâmicos a todos. Todas as máquinas precisam ser registradas (e os usuários precisam assinar o AUP) antes de serem permitidos na rede.

as informações mínimas mínimas necessárias para cada entrada de máquina no banco de dados são nome de host, nome de domínio, endereço MAC, endereço IP.

alguns outros campos úteis são VLAN, número da porta, nome do usuário / sala / número do ramal / email / etc, localização do computador (sala, prédio), tipo de dispositivo (computador, impressora, switch, ponto de acesso wlan, controlador de instrumento, etc), detalhes técnicos sobre o computador (marca, modelo, cpu, ram, etc), sistema operacional & versão, detalhes SOE, detalhes da licença s / w, sinalizador de status (por exemplo, Em Uso, Em Armazenamento, Descartado, etc), e comentários / notas.

na verdade, nosso banco de dados faz muito mais do que isso - é também um registro de ativos, um registro de licenças de software e um rastreador de incidentes / problemas compatível com ITIL. Ele associa relatórios de incidentes a determinados usuários E máquinas específicas, por exemplo, podemos obter relatórios sobre quais usuários / máquinas estão tendo problemas. Atualmente, ele tem cerca de 1500 registros de máquina no banco de dados em 6 VLANs (principalmente estações de trabalho e impressoras). É também nosso gerenciador de endereços IP, portanto, não atribuímos o mesmo IP a várias máquinas - cada máquina obtém um registro, independentemente de ser um cliente DHCP ou um servidor com um endereço IP codificado.

esta base de dados é a nossa fonte de autoridade para IP & Informações de DNS. Foi preciso muito trabalho para colocar todos os dados no sistema, e é preciso ter boa disciplina para mantê-los atualizados - mas definitivamente vale a pena ter todas essas informações disponíveis em um só lugar quando você precisar delas.

    
por 25.04.2010 / 06:07

Tags

Quem ingressou em um computador em um domínio Que sistema de arquivos mais se aproxima do NTFS para suporte de ACLs e permissão altamente granular?