Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona una solución alternativa para un problema por el que los clientes DHCP se bloquean cuando se usa un dispositivo de red habilitado para DAI junto con una conmutación por error DHCP en un servidor de Windows Server 2012.
Número de KB original: 2978225
Síntomas
Considere el caso siguiente:
- Implementa una conmutación por error del Protocolo de configuración dinámica de host (DHCP) mediante un servidor que ejecuta Windows Server 2012 R2.
- En este entorno, implementará un par de agentes de retransmisión DHCP activos (duplicados).
- La detección dinámica de ARP y la inspección dinámica de ARP (DAI) están habilitadas en dispositivos de red, como conmutadores.
En este escenario, los clientes DHCP se bloquean y experimentan otros problemas de red.
Causa
Este problema se produce porque los agentes de retransmisión DHCP duplicados hacen que el servidor DHCP siempre reciba mensajes DHCP duplicados para cada cliente que se conecta a la red. Para ambas solicitudes DHCP, el servidor habilitado para conmutación por error DHCP envía a los clientes distintos mensajes ACK que tienen valores de duración de concesión diferentes. Esto conduce a una condición de carrera en la que los clientes aceptan el primer valor que se recibe y omiten el segundo. Sin embargo, DAI respeta el segundo valor. Esto crea una falta de coincidencia de concesión y hace que DAI impida que los clientes accedan a la red.
Solución alternativa
Para solucionar este problema, use uno de los métodos siguientes:
Impedir solicitudes DHCP duplicadas. Para ello, use una de las siguientes opciones:
- Quite el segundo agente de retransmisión DHCP.
- Opera los agentes de retransmisión DHCP en modo activo-pasivo. Para ello, use grupos de enrutadores virtuales si el protocolo de redundancia del enrutador es HSRP.
Configure DAI para que respete el primer valor de duración de concesión DHCP (siempre que sea posible).
Si DAI no se puede configurar para respetar el primer valor de duración de concesión, desactive o quite la característica DAI que está causando el conflicto.
No use la conmutación por error DHCP en combinación con dos agentes de retransmisión y DAI en los conmutadores.
Más información
Para proporcionar redundancia, algunas organizaciones prefieren configurar relés duales (dos enrutadores que cada uno apunta a dos servidores DHCP). Esta configuración es común cuando se usa el Protocolo de redundancia de enrutador virtual (VRRP).
En una configuración típica de VRRP que usa una dirección IP, un enrutador se designa como el dispositivo "activo" y el otro está establecido en modo "en espera". Se intercambia un latido entre los enrutadores. Si el enrutador activo no responde, el enrutador en espera toma el control de la dirección IP compartida.
La snooping dhcp permite a un dispositivo switch inspeccionar el tráfico DHCP y realizar un seguimiento de las direcciones IP asignadas a qué puertos de conmutador de host. Esta información puede ser útil para DAI. Tan pronto como expire la duración de la concesión dhcp, la información de tráfico se quita de la base de datos del dispositivo. A continuación, un conmutador habilitado para DAI bloqueará los puertos.
Una conmutación por error DHCP en un servidor de Windows Server 2012 no puede garantizar una duración de concesión coherente para las solicitudes DHCP duplicadas. Este comportamiento es por diseño. Esto se debe a que un servidor DHCP puede emitir un valor máximo de tiempo de cliente potencial (MCLT) o duración de concesión de ámbito, en función de las circunstancias siguientes:
Tras recibir la primera solicitud, el servidor DHCP envía un ACK que incluye un valor de duración de concesión MCLT antes de intentar sincronizarse con su asociado. Esto también se conoce como una actualización diferida.
Si la respuesta de sincronización llega antes de la solicitud duplicada, el servidor DHCP considera que su asociado está actualizado. A continuación, envía un ACK que incluye el valor de duración de concesión de ámbito. Este es el comportamiento deseado.
Si la solicitud duplicada llega antes de la respuesta de sincronización, se produce la condición de carrera que se describe en la sección Causa . En este caso, el servidor DHCP considera que su asociado no está sincronizado. Esto hace que el segundo ACK use el valor de duración de concesión de MCLT. No puede impedir que se envíen los mensajes ACK dhcp duplicados. Esto se debe a que una conmutación por error DHCP en un servidor de Windows Server 2012 siempre responde mediante el envío de una solicitud DHCP ACK por DHCP aunque las solicitudes DHCP tengan el mismo identificador de transacción. Este comportamiento es por diseño.
Información adicional
El identificador de transacción DHCP es una manera de que el cliente relaciona un mensaje enviado con un mensaje recibido. La RFC no implica que el servidor debe quitar mensajes en función del identificador de transacción.
En este momento, creemos que no se garantiza un cambio de diseño, en función de la siguiente definición de un identificador de transacción que se proporciona en RFC 2131:
xid 4
Id. de transacción, un número aleatorio elegido por el cliente, utilizado por el cliente y el servidor para asociar mensajes y respuestas entre un cliente y un servidor.