DHCP Server Lösung für mehrere Standorte

[MetalForLive]

Hallo zusammen,

ich möchte bei uns in der Firma dem nächst die DHCP Server Infrastruktur standardisieren und gerade ziehen.
Da es hier mit Sicherheit auch den ein oder anderen Admin gibt, dachte ich, ich frage mal welche Lösung ihr so im Einsatz habt.

Bei uns ist es aktuell so, dass wir am Hauptstandort Windows DHCP verwenden und an Standorten mit Hypervisor ebenfalls einen Windows Server welcher DHCP macht.
An kleineren Standorten ist aktuell nur eine Firewall welche DHCP übernimmt.

Die Windows DHCPs sollen weg und auf den Firewalls (Palo Alto Networks) ist die DHCP Verwaltung auch eher nicht so toll.

Ich hatte mir schon mal Infoblox angeschaut aber das ist denke auch ein wenig oversized. Zumal ich keine unnötige Hardware an Außenstandorte stellen will.

Ideal wäre etwas, was in Docker läuft, da wir mittlerweile Switche habe welche App Container hosten können und jeder Standort hat mindestens einen Switch.
Das Ganze sollte aber auch Zentral verwaltet werden können ohne das man sich immer auf die einzelnen Instanzen schalten muss.
Idealerweise kann man die Scopes und leases per Script abfragen und in Netbox laden.

Habt ihr ähnliche Anwendungsfälle und welchen Service nutzt ihr so?

 

[h00bi]

Die Windows DHCPs sollen weg

Warum? Wegen dem Wunsch der zentralen Verwaltung?

 

[Simanova]

Wenn es um lokale Dömänenstrukturen geht, muss der DHCP und/oder DNS Mitglied der Domäne sein.

Außerdem ist es sinnvoll dass sich die Domaincontroller untereinander kennen, damit Gerät A vom Standort 1 per Namensauflösung auf Gerät B vom Standort 2 zugreifen kann. Eine Replikation der DNS Zonen in den Windows Domaincontrollern/DNS wäre sinnvoll.

Alle Standorte ohne Domaincontroller sollten trotzdem einen DNS mit Forward haben. Z.b über eine Synology NAS realisierbar. https://www.synology.com/de-de/dsm/feature/active_directory

Wenn die Windows Domänen weg sollen, werden andere LDAP Domänen notwendig.
Ohne Domänen übernimmt die Firewall / Router den DNS und DHCP Kram, sofern dies vollwertig unterstützt wird.

 

[Innensechskant]

Die Windows DHCPs sollen weg und auf den Firewalls (Palo Alto Networks) ist die DHCP Verwaltung auch eher nicht so toll.

Das klingt irgendwie, als hätte man Basteldrang und möchte einfach was neues hinstellen.

Ich hätte keinen Bock meinen DCs die DHCP-Server weg zu nehmen. Können die von dir betrachteten Lösungen DHCP-Failover?

Wie macht ihr DHCP bei externen/VPN-Benutzern?

 

[wern001]

Das klingt irgendwie, als hätte man Basteldrang und möchte einfach was neues hinstellen.

Nicht nur Das. Ein DHCP muss im AD vertrauenswürdig sein sonst kommt es gelegentlich zu abgefahrenen Probleme wie keine Verbindung zu einem SQL-Server weil die IP-Adresse nicht vertrauenswürdig ist.

 

[MetalForLive]

Warum? Wegen dem Wunsch der zentralen Verwaltung?

• Weil nicht an jedem Standort ein Windows Server verfügbar ist.
• Weil jedes Gerät was vom Windows DHCP eine IP bekommt laut Microsoft lizenzabkommen eine User CAL Lizenz benötigt.
• Weil ich eine einheitliche Lösung suche die an allen Standorten gleich ist, egal ob 5 User Büro oder 200 User Produktionsstandort.

Wenn es um lokale Dömänenstrukturen geht, muss der DHCP und/oder DNS Mitglied der Domäne sein.

Es geht nur um DHCP, nicht um DNS.
Ein DHCP kann auch eigenständig laufen. Haben wir aktuell auch an manchen Standorten so.

Außerdem ist es sinnvoll dass sich die Domaincontroller untereinander kennen, damit Gerät A vom Standort 1 per Namensauflösung auf Gerät B vom Standort 2 zugreifen kann. Eine Replikation der DNS Zonen in den Windows Domaincontrollern/DNS wäre sinnvoll.

Das ist alles gegeben

Wenn die Windows Domänen weg sollen

Die sollen nicht weg, es geht rein um den DHCP Dienst.

Das klingt irgendwie, als hätte man Basteldrang und möchte einfach was neues hinstellen.

Dem ist nicht so.

Ich hätte keinen Bock meinen DCs die DHCP-Server weg zu nehmen. Können die von dir betrachteten Lösungen DHCP-Failover?

Unsere aktuellen DHCPs machen auch kein Failover in diesem Sinne. In der Regel sind sie virtuell und die VMs sind durch die Hypervisor redundant.
Oder es ist auf einem Firewall Cluster und dieses ist redundant.

Wie macht ihr DHCP bei externen/VPN-Benutzern?

Wir haben eine VPN Cloudlösung, diese ist davon nicht betroffen.

Nicht nur Das. Ein DHCP muss im AD vertrauenswürdig sein sonst kommt es gelegentlich zu abgefahrenen Probleme wie keine Verbindung zu einem SQL-Server weil die IP-Adresse nicht vertrauenswürdig ist.

Die IP Ranges der jeweiligen Standorte sind im AD gepflegt und somit vertrauenswürdig.
Wir haben auch Standorte komplett ohne DC vor Ort, das funktioniert alles Problemlos.

 

[Frightener]

Es geht nur um DHCP, nicht um DNS.
Ein DHCP kann auch eigenständig laufen. Haben wir aktuell auch an manchen Standorten so.

Korrekt, die Aussage von @Simanova hat mich auch etwas verwundert

• Weil jedes Gerät was vom Windows DHCP eine IP bekommt laut Microsoft lizenzabkommen eine User CAL Lizenz benötigt.

Braucht man das für DNS nicht genauso?

Braucht ihr denn in jedem Standort einen DHCP-Server? Wir haben gerade erst sämtliche Dienste in den Niederlassungen abgebaut und machen DHCP über den Hauptstandort.

 

[Martin.80]

Wenn ihr Windows Server User CALs für alle aktiven Benutzer lizenziert habt, dann ist es egal, welche und wie viele Geräte auf Windows Dienste zugreifen.

Ich würde in deinem Szenario zentral den Windows DHCP einsetzen und die abgesetzten Standorte über DHCP-Relay anbinden. Das können die meisten Firewalls und Layer3 Switche ohne Probleme.

 

[xexex]

Die Windows DHCPs sollen weg

Wieso? Du willst eine zentrale Verwaltung, nutze doch einen zentralen Windows DHCP Server mit mehreren Scopes und richte auf den Firewalls einen Forwarder ein. Dann kannst du gleich auch den IPAM Dienst zur Verwaltung nutzen.
https://learn.microsoft.com/de-de/windows-server/networking/technologies/ipam/ipam-top

 

[MetalForLive]

DHCP im HQ hosten will ich nicht, es kann immer mal was unvorhergesehenes passieren und wenn dann Weltweit alle Standorte kein DHCP mehr machen können wäre das ganz schlecht.

Wenn ihr Windows Server User CALs für alle aktiven Benutzer lizenziert habt, dann ist es egal, welche und wie viele Geräte auf Windows Dienste zugreifen.

Meine letzte Info war, das pro User 5 Lizenzen vergeben sind. Bin aber auch nicht für die Lizenzen zuständig und da nicht ganz im Bilde.
Fakt ist, dass es halt auch noch viele andere nicht User bezogene Geräte gibt, angefangen bei Druckern, hin über WLAN Accesspoints bis zu irgendwelchen IoT Geräten.

 

[Frightener]

Da bin ich dann raus, ist mir viel zu kompliziert

 

[Martin.80]

Wenn es sich nur um interne Nutzer handelt, ist das mit der MS User CAL Lizenzierung okay. Auch für Drucker und AccessPoints, die Benutzer nutzen, bzw. deren Geräte.
Aber wenn es Gast-WLANs, oder ähnliches gibt, dann ist es Lizenz technisch nicht mehr okay.

DHCP im HQ hosten will ich nicht, es kann immer mal was unvorhergesehenes passieren und wenn dann Weltweit alle Standorte kein DHCP mehr machen können wäre das ganz schlecht.

Das Argument kann ich verstehen. Da bin ich dann auch leider raus.

Vielleicht habt ihr ja ein Monitoring-System im Einsatz, was ggf. die DHCP-Instanzen auf den Switchen/Firewalls überwachen kann. Wenn es dir rein um die Überwachung geht. Ist nur eine Idee…

 

[nutrix]

Wenn Du das irgendwie zentral steuern und verwalten willst, würde sich DHCP pro Standort per Switch (Cisco mit Cisco Catalyst Center) steuern. Bedeutet aber, Du brauchst gleiche HW-Basis, genau das gleiche, wenn Du DHCP über Firewalls machst. Ob man sich dann im Endeffekt etwas spart, ist eine andere Frage, man verlagert ja nur. Ich würde auf alle Fälle pro Standort IMMER für ein lokales DHCP und DNS sorgen.

 

[MetalForLive]

Wenn Du das irgendwie zentral steuern und verwalten willst, würde sich DHCP pro Standort per Switch (Cisco mit Cisco Catalyst Center) steuern.

Das könnte das Stichwort gewesen sein.
Das DNA oder Catalyst Center habe ich seit kurzem auch da, hab bisher aber erst die initial Einrichtung gemacht, da ich Ressourcen bedingt noch nicht zu mehr kam.
Wenn man darüber den DHCP auf nem Switch gescheit managed kann, könnte ich mir das vorstellen.
Auf der CLI ist das leider auch extrem unschön zu verwalten.

Ich schau mal an, was damit möglich ist.

Bedeutet aber, Du brauchst gleiche HW-Basis, genau das gleiche, wenn Du DHCP über Firewalls machst. Ob man sich dann im Endeffekt etwas spart, ist eine andere Frage, man verlagert ja nur.

Ja ich habe ein Standardisierungsdokument für Tochtergesellschaften an das die sich halten müssen beim Hardwarekauf.
Bedeutet, es ist immer mindestens ein Catalyst 9300L vor Ort, auf dem könnte man zur Not halt auch App Container hosten.
Deshalb war meine initiale Idee, das man dort irgendwie eine DHCP Software laufen lässt.
Nur kenn ich mich da nicht so aus, was gut ist.

Ich würde auf alle Fälle pro Standort IMMER für ein lokales DHCP und DNS sorgen.

Ja das sehe ich auch so und das haben wir auch so. Ausnahme, es gibt ein paar wenige Standorte die recht klein sind wo es keinen DC vor Ort gibt.
Dort läuft aktuell DHCP auf der Firewall und DNS wird primär von einem in Azure gehostetem DC abgehandelt und dann als Fallback ist einer im HQ eingetragen.

 

[xexex]

DHCP im HQ hosten will ich nicht, es kann immer mal was unvorhergesehenes passieren und wenn dann Weltweit alle Standorte kein DHCP mehr machen können wäre das ganz schlecht.

Ein Lease läuft typischerweise erst nach 8 Tagen ab und könnte sogar noch länger konfiguriert werden, wenn da die Zentrale mal nicht erreichbar ist, macht es so gut wie nichts aus. Wobei man sich hier sowieso die Frage stellen darf, inwiefern ohne den Hauptstandort überhaupt noch gearbeitet werden kann.

Ansonsten bin ich hier aber raus, ich würde eher den Hauptstandort entsprechend absichern oder gleich die Server in eine Colocation verschieben, als mir irgendwelche Clouddienste für DHCP zusammensuchen, aber das musst du letztlich entscheiden.

 

[Skysnake]

Ich werfe mal Kea als DHCP Server aus der Linux Welt in die Runde. Kostet nichts ist sehr performant und recht einfach zu administrieren. Kann man auch super in einen Container packen und dann auf allem möglichen laufen lassen.

Von dem alten defsult DHCP würde ich die Finger lassen. Das Ding ist single Thread und bei größeren Anfrsgemengen, also hunderten pro Sekunde total überfordert.

Schau mal nach Kea + bind9 da gibt es auch ein paar Videos die das ganze erklären. Aber keine Ahnung ob das eventuell irgendwelche Sonderlocken aus der Windowswelt nicht erfüllt. Wobei ich mir das nur schwer vorstellen kann.

 

[MetalForLive]

Ein Lease läuft typischerweise erst nach 8 Tagen ab und könnte sogar noch länger konfiguriert werden, wenn da die Zentrale mal nicht erreichbar ist, macht es so gut wie nichts aus.

DHCP leases bleiben erst mal bestehen, da gebe ich dir recht.
Aber was ist mit Leuten, die gerade in einem Meetingraum waren, dort per WLAN verbunden waren und nun an ihren Platz zurück kehren, wo die Dockingstation per LAN angebunden ist?
Oder welche die gerade erst ins Office gekommen sind?
Oder ein Client der von einem, in ein anderes Gebäude kommt, in dem ein anderes IP Netz genutzt wird?

Das sind alles Dinge die man vermeiden kann, wenn man einen lokalen DHCP hat.

Wobei man sich hier sowieso die Frage stellen darf, inwiefern ohne den Hauptstandort überhaupt noch gearbeitet werden kann.

Das kommt natürlich auf die Location an aber die meisten Standorte können dann erst mal zum Großteil uneingeschränkt weiterarbeiten.
Vieles ist mittlerweile in der Cloud z.B. Email, Teams, Sharepoint etc.

irgendwelche Clouddienste für DHCP zusammensuchen

Das wäre genau das Gegenteil von dem was ich vorhabe.

Ich werfe mal Kea als DHCP Server aus der Linux Welt in die Runde. Kostet nichts ist sehr performant und recht einfach zu administrieren.

Werde ich mir mal ansehen, danke.

 

[GR Supra]

Windows Server DHCP ist schon nicht schlecht. Das würde ich bestenfalls für eine Infoblox oder vergleichbar aufgeben.
Man könnte über DHCP-Relays nachdenken, wenn die Leitungen immer sauber laufen, sollte das fast immer gut gehen.

 

[Hammelkoppter]

Nativ DHCP auf'm Switch - egal ob mit oder ohne DNA Center kannste vergessen. Initial einrichten ja, aber wirklich damit den DHCP betreiben - nein. Dazu ist nen Catalyst Center auch nicht vorgesehen. Klar geht das technisch grundsätzlich, ist aber Meilen weit entfernt von Enterprise-tauglich.

AppHosting wäre eine Möglichkeit. Habt ihr DNA Advantage Lizenzen? Mit Essential wird das nämlich nix. Wenn ja, müsste man mal ein paar Linux Jungs fragen. Ich habe auch nur den Kea (der hier bereits genannt wurde) im Hinterkopf. Keine Ahnung wie gut man den zentral managen kann und ob es noch andere brauchbare Lösungen gibt. Die Advantage Lizenzen machen das aber relativ teuer. Weiterhin wären mir die abhängigkeiten zu groß. Was ist wenn der Switch aussteigt? Wie schnell bekommst du nen Ersatz mit der Docker Struktur zum Fliegen? Ich würde einfach keinen so wichtigen Dienste wie DHCP auf nem Switch laufen lassen. Bin da vielleicht etwas zu konservativ ;-)

Ich bin auch der Meinung, dass ihr mit Windows am besten unterwegs seid. Für die kleinen Standorte muss es ja nicht gleich nen riesen Blech sein. Da tut es auch nen 0815 Desktop PC / NUC auf dem nen Windows Server läuft. Vielleicht sogar als VM auf nem Hyper-V. Die kannste schön sichern und bei Ausfall einfach auf nem neuen Hyper-V wieder hochziehen.

Wenn Kohle für nen Catalyst Center da ist (ich nehme an ihr habt noch nen Blech gekauft, oder schon das virtuelle?) dann sollten die paar Lizenzen auch drin sein.