Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution de contournement pour un problème où les clients DHCP sont bloqués lorsqu’un appareil réseau compatible DAI est utilisé avec un basculement DHCP sur un serveur Windows Server 2012.
Numéro de base de connaissances d’origine : 2978225
Symptômes
Examinez le cas suivant :
- Vous déployez un basculement DHCP (Dynamic Host Configuration Protocol) à l’aide d’un serveur exécutant Windows Server 2012 R2.
- Dans cet environnement, vous déployez une paire d’agents de relais DHCP actifs (dupliqués).
- L’inspection DHCP et l’inspection ARP dynamique (DAI) sont activées sur les appareils réseau, tels que les commutateurs.
Dans ce scénario, les clients DHCP sont bloqués et rencontrent d’autres problèmes réseau.
Cause
Ce problème se produit parce que les agents de relais DHCP dupliqués provoquent la réception de messages DHCP dupliqués pour chaque client qui se connecte au réseau. Pour les deux requêtes DHCP, le serveur avec basculement DHCP envoie aux clients différents messages ACK qui ont des valeurs de durée de bail différentes. Cela entraîne une condition de concurrence dans laquelle les clients acceptent la première valeur reçue et ignorent la seconde. Toutefois, DAI respecte la deuxième valeur. Cela crée une incompatibilité de bail et empêche les clients DAI d’accéder au réseau.
Solution de contournement
Pour contourner ce problème, utilisez l’une des méthodes suivantes :
Empêcher les requêtes DHCP en double. Pour ce faire, utilisez l’une des options suivantes :
- Supprimez le deuxième agent de relais DHCP.
- Utilisez les agents de relais DHCP en mode actif-passif. Pour ce faire, utilisez des groupes de routeurs virtuels si votre protocole de redondance de routeur est HSRP.
Configurez DAI pour qu’il respecte la première valeur de durée du bail DHCP (le cas échéant).
Si DAI ne peut pas être configuré pour respecter la première valeur de durée du bail, désactivez ou supprimez la fonctionnalité DAI qui provoque le conflit.
N’utilisez pas le basculement DHCP en combinaison avec deux agents de relais et DAI sur les commutateurs.
Plus d’informations
Pour fournir une redondance, certaines organisations préfèrent configurer des relais doubles (deux routeurs qui pointent chacun vers deux serveurs DHCP). Cette configuration est courante lorsque le protocole VRRP (Virtual Router Redundancy Protocol) est utilisé.
Dans une configuration VRRP classique qui utilise une adresse IP, un routeur est désigné comme l’appareil « actif » et l’autre est défini sur le mode « veille ». Une pulsation est échangée entre les routeurs. Si le routeur actif ne répond pas, le routeur de secours prend en charge l’adresse IP partagée.
L’inscription DHCP permet à un appareil de commutateur d’inspecter le trafic DHCP et de suivre les adresses IP affectées aux ports de commutateur d’hôte. Ces informations peuvent être utiles pour DAI. Dès que la durée du bail DHCP expire, les informations de trafic sont supprimées de la base de données de l’appareil. Un commutateur compatible DAI bloque ensuite les ports.
Un basculement DHCP sur un serveur Windows Server 2012 ne peut pas garantir une durée de bail cohérente pour les requêtes DHCP en double. Ce comportement est normal. Cela est dû au fait qu’un serveur DHCP peut émettre une valeur de durée maximale du bail client (MCLT) ou d’étendue, selon les circonstances suivantes :
Lors de la réception de la première requête, le serveur DHCP envoie un ACK qui inclut une valeur de durée de bail MCLT avant qu’il tente de se synchroniser avec son partenaire. Il s’agit également d’une mise à jour différée.
Si la réponse de synchronisation arrive avant la demande dupliquée, le serveur DHCP considère que son partenaire est à jour. Il envoie ensuite un ACK qui inclut la valeur de durée du bail d’étendue. Il s'agit du comportement voulu.
Si la demande en double arrive avant la réponse de synchronisation, la condition de concurrence décrite dans la section Cause se produit. Dans ce cas, le serveur DHCP considère que son partenaire est hors synchronisation. Cela entraîne l’utilisation de la deuxième valeur de durée du bail MCLT. Vous ne pouvez pas empêcher l’envoi des messages ACK DHCP en double. Cela est dû au fait qu’un basculement DHCP sur un serveur Windows Server 2012 répond toujours en envoyant un ACK DHCP par requête DHCP même si les requêtes DHCP ont le même ID de transaction. Ce comportement est normal.
Informations supplémentaires
L’ID de transaction DHCP est un moyen pour le client de lier un message envoyé avec un message reçu. La RFC n’implique pas que le serveur doit supprimer des messages en fonction de l’ID de transaction.
À ce stade, nous pensons qu’une modification de conception n’est pas justifiée, en fonction de la définition suivante d’un ID de transaction fourni dans RFC 2131 :
xid 4
ID de transaction, nombre aléatoire choisi par le client, utilisé par le client et le serveur pour associer des messages et des réponses entre un client et un serveur.