Meer dan 2 DHCP servers binnen AD

Ik heb drie locaties die met elkaar verbonden zijn over ipsec. Om DHCP te voorzien op elke locatie, maar beheerbaar te houden in AD, heb ik volgende setup opgezet:

SITE A:
- Win 22 DataCenter AD Server (DHCP Master)
SITE B:
- Win 22 DataCenter AD Server (DHCP Slave)
SITE C:
- Debian 12 (DHCP Relay in containerd./kubernetes naar AD Master)

In Windows AD kan je twee DHCP servers configureren, als ik de docs goed begreep. Dat werkt goed tussen site A en B, maar in site C was het niet mogelijk om een derde DHCP Windows server te zetten.

Probleem dat zich nu voordoet is wanneer de stroom uitvalt in site A. Op dat moment heeft site C geen DHCP meer, want daar staat enkel de relay geconfigureerd.

Mijn idee:
1) Daily export job als taak in Windows, die de dhcp config naar een TXT file dumpt
2) Rsync die deze file in sync houd op de Debian box
3) container met DHCP server, config van Windows server, cronjob voor daily restart na sync
4) container met DHCP relay naar AD Master
5) container die DHCP failover voorziet tussen 4 & 3 en dan ook een IP heeft, zodat de 2 andere containers niet exposed zijn (gebruik MetalLB als loadbalancer, single node cluster).

Dat zou in principe moeten werken, maar het lijkt me een slordige setup. Misschien heeft iemand een betere suggestie?

Een andere oplossing is om gewoon failover te doen met een 2e DHCP relay naar de AD DHCP Slave server in site B. Maar dat is iets minder robuust, stel dat zowel site A én B onbereikbaar zijn, dan is DHCP in site C nog steeds down.

Blokker_1999 schreef op zaterdag 11 januari 2025 @ 12:15:
Je kan zoveel DHCP servers neerzetten in je omgeving als je wenst, wat je niet kunt doen is een failover opzetten voor een range tussen meer dan 2 servers. Je kan dus perfect in elk datacenter een DHCP server zetten, zorgen dat elk datacenter zijn eigen ranges heeft en dan zeggen dat de scopes van A gerepliceerd worden met B, de scopes van B met C en die van C met A. Al ga je dan vermoedelijk wel bijkomende DHCP servers moeten opzetten (alweer jaren geleden dat ik nog eens een failover cluster heb opgezet).

Ik wist niet dat dat kon! Dus je kan de scopes laten replicaten zonder failover te configureren? Ik vind niet meteen online hoe je dat kan doen, heb je misschien een link?

Blokker_1999 schreef op zaterdag 11 januari 2025 @ 12:15:
Maar als je slechts 2 DHCP servers wenst, want niet elke fysieke locatie moet een DHCP server hebben, kan je je netwerk in datacenter C ook zo inrichten dat je subnets 2 relays kunnen doen, zodat ze een request naar zowel A als B sturen. Dat kan perfect. Geen idee wat je gebruikt voor routering tussen subnets, maar je router moet perfect in staat zijn om de DHCP request door te geven aan beide servers.

Pfsense draait als router maar de DHCP relay implementatie op Pfsense zelf stuurt nooit requests uit over de ipsec interface. Dat is een bekend 'issue' las ik, easy fix was om zelf een relay op te zetten. Maar eigenlijk stom dat ik er niet aan gedacht heb dat je 2 servers kan zetten in je DHCP relay config

Dat gaat nog de eenvoudigste oplossing zijn

Blokker_1999 schreef op zaterdag 11 januari 2025 @ 12:15:
Merk ook op dat de DHCP service volledig los staat van je AD en de service zeker en vast niet hoort te draaien op je domain controllers!

Ik dacht dat het een voordeel had als de DHCP server op een domain controller draaide omdat hij dan automatisch alle AD dns records onderhoud. Maar dat werkt ook als een standalone Windows DHCP server deel uitmaakt van AD dan?