QA@IT

DHCPサーバ(冗長構成)にてクライアントがIPアドレスを取得できない

3567 PV

初めまして。
サーバ及びネットワークの設計/構築を担当しているエンジニアです。

早速で恐縮ですが、
タイトルのトラブルに直面しており、
原因追求に戸惑っております。

以下に案件概要ならびに構成等を記載させて頂きます。


◼案件内容

  • DHCPサーバのリプレイス
  • リプレイスにあたり新規DHCPは2台構成で構築
  • 新規DHCPの1台目(新規1)は、既存機のIPを引き継ぐ
  • 新規DHCPの2台目(新規2)は、新規1と同じセグメントに新たなIPにて構築

◼既存構成

  • 既存DHCP機(既存機)の構成は以下
    • windows2003
    • 1台構成
    • 6つのDHCPスコープが設定されている
    • 払い出し先(DHCPクライアント)は本社のPC
  • 設置環境
    • DHCP含むサーバ群は、データセンター(DC)に設置
    • クライアントPCは、お客様本社(本社)に設置
    • DCおよび本社間はinternet-VPNにて接続
    • 本社側のL3には、新規1(既存機)および新規2へのip helperが設定済み
    • その他のネットワーク機器にip helperは設定されていない

□新規環境

  • 新規DHCPの構成は以下
    • 冗長構成はACTIVE/ACTIVE
    • リース情報は新規1および新規2間で同期される
    • 冗長構成の維持は、両新規機器間の時刻同期にて実現される
    • 時刻同期は、新規2→新規1(方系運用でも変わらない)
    • 両機器間の時刻がずれた場合、リース情報の同期が停止する
      • その場合、両機器がスタンドアロンで稼働する
    • 某社のアプライアンス機

◼発生している事象

新規1および新規2をネットワークへ接続した場合に、
発生した事象です。

  • 事象1. 全セグメントにIPアドレスが払い出されない
  • 新規1および新規2のログ
    • DISCOVERは表示されているが、
      REQUESTが表示されていない。
  • 機器メーカー保守からの回答
    • 新規1および新規2間の時刻がずれているため。
    • 1分以上ずれると、DHCPを払い出さない。

◼対応事項(メーカー保守の回答を受けて)

  • 社内テストを実施
    新規1および新規2間の時刻を3分ずらした状態で、
    各セグメントに払い出されないかどうかをテスト
  • 結果
    払い出された。
  • 新規1および新規2のログ
    DISCOVERおよびREQUESTが表示されている。

◼新規環境の簡易構成図

新規1   新規2
  |       | (192.168.4.0/24)
  L3 switch
      |
  L3 switch
      |
     VPN
      |
  L3 switch
      | (192.168.1.0/24)
  L3 switch
      | (TRUNK)
  L2 switch
      | (各セグメント)
  クライアントPC

内容に不足があるかもしれませんが、
ご指摘いただければ都度、対応させていただきます。

既存機で問題なく取得できていることから、
新規DHCPの問題かと思いました。
しかし機器を持ち帰った後に実施した社内検証では、
新規DHCPでも正常に払い出しています。

事象を再現できないため、
他のあたりの付け所に困っているのですが、
ネットワーク側または新規DHCP側のどちらが怪しいでしょうか。

なお社内検証の結果はメーカーへエスカレーションしており、
回答待ちとなっています。

ご相談内容のまとめとなりますが、
以下についてご協力いただきたく、
可能であれば、どなかご回答頂けると非常に助かります。


ご相談1.
あたりの付け所と何をすべきか


宜しくお願い致します。

  • 冗長構成じゃなくても動かないんですか?DISCOVERに対するOFFERメッセージは確認できていますか? -
  • 「両機器間の時刻がずれた場合、リース情報の同期が停止する。
    その場合、両機器がスタンドアロンで稼働する」と「1分以上ずれるとDHCPを払い出さない」は矛盾してると思いますよ。
    -
  • コメントありがとうごさいます。

    ・新規1のみ
    ・新規2のみ
    の場合は正常稼働します。

    というより、
    冗長構成の場合でも社内検証だと、
    時刻同期/非同期に関わらず払い出されます。

    仰られるように、仕様に矛盾が発生しており、
    事象が再現できていません。

    矛盾点については、
    機器メーカに問合せており、回答待ちとなっています。
    -

回答

既存機のリプレイスですから新たに加えた設定から疑うのが筋でしょう。
時刻同期の件はコメントに書いたように矛盾してますんで(時刻同期を死活管理につかってそうな雰囲気?)メーカーとの認識の齟齬がありそうですね。

コメントにもいくつか書きましたが確認したい部分としては

  • 現状どこまで通信できているか

    とくにDISCOVERに対する応答を

    1. サーバーが行っているか
    2. クライアントに届いているか
  • DCに新規1の1台構成でもうごかないのか。

    • 動かない場合は今回追加したであろう新規2への ip helper addressを解除してもうごかないか
      (新規1へのip helperは既存と同じはずなので変更されていないと思ってます)

あとは可能なら

  • 現状のネットワーク設定で既存機で稼働するか
  • 現状のネットワーク設定で既存機+新規2のペアで稼働するか
    (時刻同期はなくていいです)

あたりですかね。
何も設定を変更せずに既存は動くが新規1だけで動かないなら新規1の設定でしょう。
新規1はOSは新しいんですか?


いただいた回答から気になるところ

  1. 各機器からクライアントまでDISCOVERが届いている

    => DISCOVERへの応答と考えますね。

  2. 新規 1のみ全セグメントに 192.168.9.0/24 が払い出される

    => 払い出されるIPはさておき、払い出されたので改善はされたということでいいですか?

  3. 新規 2のみ 払い出されない

    => これは単独で稼働するよう対処すべきですね。新規2のみの構成の場合はDISCOVERとOFFERはどうなりますか。

  4. 既存機と新規2を並行稼働はさせたくない

    => 了解しました。単純に2台DHCPがある場合は早い者勝ちになるだけのはずですが、新規1が応答しなくなるようですのでたしかに怖いですね

  5. 新規はlinuxベースのOSとみられる

    => Windowsではないんですね。(某社のアプライアンス機って見落としてました。)

※ 質問へのコメント「・新規1のみ ・新規2のみ の場合は正常稼働します。 」を見落としてました。

まずは新規 1で正常稼働するようにしないといけませんね。IPが払い出せるならあとは設定の問題なんでしょう。

新規 2は、設定変更が容易であれば新規 1のIPと時刻設定にして接続して新規 1と同様の動きになるかどうか確認してみたいところですね(つまり新規1と同じにして単独で動くかどうか)。新規 2単独稼働で現在DISCOVERに応答しているのにIPが払い出されず、新規 1化してIPを払い出すようになったなら、どこかのL3で拒否しているかもしれません。

新規 1単独と 新規 1+新規 2で動作が変わるのはちょっとわかりませんね。

思いつく(ヤマ勘)のはすべて新規 2が先に応答しているケースかな・・・その場合も新規 1は応答はするとは思うんですがね・・・、同期もこの段階ではしないだろうし(するのかな?機器次第だけどしないよな)。

ところで既存機と新規マシンは(台数はちがいますが)単純な置き換えなイメージでいいんですよね?

その他の機器は変更なく、LAN線だけ差し替えているようなイメージで。

と、書いてもう一つのコメントみて気づきました。単独ならば正常に動くんですね(DCでも?)。
(こちらのコメントにある「新規1だと 192.168.9.0が払い出される」と「新規2のみは動かない」というのは?)
DC環境で「単独で動作可能か」「時刻非同期で動作可能か(未検証でもかまいません)」を教えてください。それ以外は社内検証結果と考えます。

編集 履歴 (2)
  • コメントありがとうございます。

    一答させていただきます。

    ・クライアントから各新規までのDISCOVERが届いてる
    (各新規のログにsource IPが見えています)
    ・各機器からクライアントまでDISCOVERが届いている
    -
  • ・1台構成の際、社内検証では払い出される
    お客様様環境では以下の事象
    ・新規1のみ … 全セグメントに192.168.9.0が払い出される
    ・新規2のみ … 払い出されない
    -
  • ・現状のネットワークで既存機は正常稼働している
    ・現状のネットワークに既存機と新規2を並行稼働させるのは、リスクかと考えているため未実施
    -
  • 新規機器はアプライアンス製品のため特定出来ませんが、
    linuxベースのOSかと思います。
    S/Wバージョンは最新です。
    -
  • あれ?解決マークついてますが問題解決なんですかね?一応コメントを回答に追記します。 -

度々ありがとうございます。

DC環境では上記した動作が全てで、
次回作業(調整中)まで試せない状況です。

新規1だと192.168.9.0、新規2だと取得できないのは、
両方ともお客様環境(DC)です。

構成について、
単純に既存機と新規機器との入れ替えで、
その他機器の設定変更はございません。

あと解決マークについて、間違えて押しました。
戻す方法が分からなくて、据え置きしています。
すいません…

社内では、
・新規1+新規2(導入構成)
・新規1のみ
・新規2のみ
全ての構成で正常に動作します。

またアプライアンスメーカーにコンフィグ確認依頼をしたところ、
問題点は見付からず、メーカー側の検証上でも正常動作しているとのことです。

つまりお客様環境でのみ動いておりません。

社内およびメーカー検証にて正常動作しているため、
段取り的には、再度お客様環境にてテストするしかないかと考えています。

お客様環境にテスト用ネットワークを作成し、
上手く動くまでテストを重ねる方向で進めることにしました。

5月中頃まで続きそうです。

頂いたコメントを基にテスト構成を策定させていたたまきます。

進捗は追って-。
その際はまた相談にのっていただけると幸いです。

度々ありがとうございました。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。