срок аренды dhcp какой ставить
Как связаны длительность аренды DHCP и процесс сбора мусора в DNS
Привет всем, меня зовут Шон Айви и я US PFE (Premier Field Engineer). Моя специализация — операционная система Windows и службы Active Directory. Проще говоря, я специализируюсь на Active Directory и связанных с ней сетевых службах. Недавно, у трёх разных клиентов, я помогал SCCM администраторами, у которых была проблема с установкой SCCM агента. В логе ccm.log значилась ошибка Failed to get token for current process (5). Мы обнаружили, что проблема была не в SCCM, а во взаимодействии DNS и DHCP. Как оказалось, другие службы тоже испытывали связанные с этим проблемы, просто либо демонстрировали иные симптомы, либо не демонстрировали их совсем. Давайте поговорим о том почему так получалось и как это можно предотвратить!
Рассмотрим следующий сценарий:
Пока всё хорошо. Это довольно типовой сценарий работы DHCP сервера и всё происходит именно так, как мы ожидаем. Давайте теперь добавим сюда DNS сервер.
Рисунок 1
Итак, у нас в DNS есть два разных имени, ссылающихся на одинаковый IP адрес. И, скорее всего, всё именно так и останется еще минимум 6 дней, пока не истекут описанные выше интервалы. Какие проблемы это может вызвать? Давайте посмотрим.
Проблема
Я уже упомянул, что симптомом этой ситуации была проблема с установкой SCCM клиента, но, на самом деле, мы можем использовать для демонстрации более простой пример — доступ к общей папке. Принцип один и тот же.
Давайте представим, что мне нужно получить доступ к общей папке на Клиенте А. Для примера, возьмём одну из административных папок общего доступа.
Рисунок 2
А вот это уже интересно. Во первых, клиент А даже не включен… но мы получаем ответ от его имени. И это ошибка аутентификации! Некоторые из вас уже догадались, что это происходит, когда вы посылаете сеансовый ключ Kerberos предназначенный для одного компьютера другому, но давайте по порядку.
Мы видим, что наш компьютер (Infra-App1) посылает в DNS запрос на имя client-a.corp.contoso.com. В ответ он получает IP адрес 10.0.0.100.
Рисунок 3
Насколько знает DNS, так оно и есть. Клиент А действительно имеет адрес 10.0.0.100, но точно такой же адрес имеет Клиент Б.
Отлично, теперь мы получаем сеансовый ключ Kerberos. Вот только DNS запрос был на имя Клиента А, так что ответ от службы Kerberos также будет на имя клиента А.
Рисунок 4 
Рисунок 5
Мы видим запрос на Рисунке 4 и ответ контроллера домена на Рисунке 5.
Теперь, получив ключ, мы можем попытаться подключиться, к тому, что мы считаем Клиентом А.
Рисунок 6
Здесь мы видим сеансовый ключ Kerberos.
И, наконец, мы видим сообщение об ошибке от Клиента А. Почему? Потому, что клиент А это не Клиент А, а Клиент Б.
Рисунок 7
Всё это только подтверждает то, что вы, вероятно, и так знали. Для того чтобы Kerberos отработал нормально, вы должны обратиться с правильным сеансовым ключом к правильному адресату (Если вы хотите узнать больше о Kerberos, почитайте блог Роба Грина «Kerberos для занятых админов» Примечание: аналогичного материала на русском я не нашёл, но с общими сведениями можно ознакомиться вот здесь).
Конечно, всё отлично сработает, если вместо FQDN имени мы обратимся по IP адресу. Почему? Потому, что в этому случае вместо Kerberos будет использована аутентификация NTLM. Используя IP адрес, мы не делаем никаких предположений о том, к какому клиенту мы подключаемся. Мы просто подключаемся по определённому IP адресу. Некоторые из вас могут подумать, что и для FQDN должно сработать. В конце концов, получив ошибку при использовании Kerberos, мы должны переключиться на NTLM, верно? Не совсем. Я не буду углубляться в детали, но мы переключимся на NTLM, только если мы не смогли договориться об использовании Kerberos. Вы можете прочитать об этом подробнее здесь. В любом случае, Kerberos не возвращал нам ошибки, он штатно ответил нам сеансовым ключом.
Как предотвратить
Теперь, когда мы выяснили, что проблема вызвана устаревшими записями в DNS давайте обсудим, как мы можем предотвратить такую ситуацию. Есть несколько разных способов как это сделать. Давайте обсудим каждый из них.
Примечание: я рекомендую уменьшить интервал очистки для каждого из этих способов до 1-3 дней. Интервал в 7 дней, используемый по умолчанию, позволяет проблемным записям оставаться в DNS чересчур долго.
Попробуйте поэкспериментировать с интервалами обновления и блокирования и длительностью аренды DHCP. Вы можете обнаружить, что изменение интервалов по умолчанию благотворно сказывается на работе ваших сетевых служб. Короткий срок аренды DHCP часто используются для беспроводных сетей. В то же время, не забывайте о дополнительной нагрузке, которую вы возлагаете на сервер, особенно если вы настраиваете частую (раз в несколько часов) очистку для очень большой DNS зоны.
Поиск DNS записей с одинаковыми IP адресами
Почти всё! Теперь мы понимаем, почему происходит такая ситуация, когда возникает проблема и как её предотвратить. Но как нам легко и быстро найти такие записи, если беда уже случилась? Вы можете легко найти такие парные записи в DNS используя несложный PowerShell скрипт (это, конечно же, не единственный способ).
Ниже приведён образец вывода этого скрипта:
Рисунок 8
Заключение
Есть очень много статей о настройке интеграции DHCP и DNS. Цель этой — обобщить сведения о том, как эти две службы работает вместе, чтобы вам было проще это понять. Подведём итог:
Надеюсь, что статья была вам полезна! Правильная настройка интеграции DNS и DHCP избавит вас от такого рода проблем в вашей сети!
DHCP: можно ли изменить время аренды?
Что за время аренды DHCP?
Компьютеры, ноутбуки, смартфоны, принтеры и другие подобные устройства, подключенные к локальной сети (LAN), должны иметь IP-адрес, чтобы иметь возможность общаться друг с другом, а также подключаться к Интернету.
Если ваша сеть использует DHCP (протокол динамической конфигурации хоста) для автоматического назначения IP-адресов, они не назначаются вашим устройствам навсегда. Вместо этого DHCP назначает IP-адреса только временно на фиксированные периоды времени, в зависимости от того, как он настроен.
Как узнать время аренды DHCP на ПК с Windows 10
Lease Expires сообщает, когда ваш ПК или устройство под управлением Windows 10 должно освободить свой текущий IP-адрес и запросить у маршрутизатора новый.
Как продлить срок аренды DHCP на ПК с Windows 10
Дождитесь, пока команда выполнит свою работу, и после ее завершения она должна отобразить некоторую информацию о ваших сетевых адаптерах. Теперь выполните команду ipconfig /all еще раз. Проверьте текстовые строки Lease Getsed и Lease Expires вашего сетевого адаптера, и вы должны увидеть, что они оба были обновлены.
Теперь давайте посмотрим, как установить время аренды DHCP на что угодно:
Как изменить время аренды DHCP в Windows 10
В веб-интерфейсе вашего маршрутизатора найдите категорию расширенных настроек под названием LAN и получите к ней доступ.
На странице конфигурации локальной сети маршрутизатора выберите вкладку DHCP-сервер (или раздел).
Если вы хотите изменить время аренды DHCP вашего маршрутизатора, введите желаемое время в секундах. Например, если вы хотите изменить время аренды DHCP на неделю вместо дня, установите для него значение 604800 (604800 секунд = 7 дней).
Обязательно сохраните новые настройки, нажав «Применить», «Сохранить» или «ОК». Обратите внимание, что при этом маршрутизатору может потребоваться перезагрузка, чтобы установить новое время аренды DHCP.
Почему вы хотели изменить время аренды DHCP?
Было ли это из-за того, что ваше время аренды DHCP было слишком коротким, и это нарушало ваши загрузки или игровые сессии? У тебя были другие причины? Мы хотели бы знать, почему вы хотите это сделать, поэтому не стесняйтесь комментировать ниже.
Что такое хорошая конфигурация тайм-аута аренды DHCP
Я обычно видел, что время аренды DHCP довольно долго (день плюс) на большинстве значений по умолчанию. У меня есть клиент, который, кажется, имеет следующую проблему. У них есть DHCP-сервер в маршрутизаторе, который почти насыщен (скажем, в обычный рабочий день используется 80-85% потенциальных IP-адресов). Иногда они перезагружают свой маршрутизатор. Когда это происходит, кажется, что маршрутизатор теряет свою таблицу назначенных IP-адресов, поэтому он назначает IP-адреса заново (конечно).
Проблема заключается в том, что довольно часто в локальной сети есть клиент, у которого уже есть IP-адрес, и он будет удерживать его в течение дня (текущее время ожидания), что вызывает конфликт IP-адресов и проблемы с подключением для этих двух машин.
Очевидное решение состоит в том, чтобы сделать очень короткий срок аренды, но так как я всего лишь хобби, когда дело доходит до сетей, в DHCP может быть что-то еще, чего я не понимаю.
Является ли вышеизложенное разумной оценкой ситуации (по крайней мере, для более дешевого оборудования) и имеет ли смысл в этом случае меньшее время аренды (например, полчаса)?
Вам следует подумать о замене DHCP-сервера, так как он явно сломан. DHCP-серверы должны хранить информацию об аренде между перезапусками и, предпочтительно, также проверять адреса, прежде чем выпускать их в пул, чтобы избежать дублирования адресов.
Если это не вариант, вы можете отказаться от срока аренды. Пока DHCP-сервер может обрабатывать отток, он должен работать, но короткая аренда приведет к небольшому увеличению объема широковещательного трафика в вашей сети.
Windows Server поставляется с DHCP-сервером. Любая платформа * nix может использовать ISC DHCPd. Оба являются довольно хорошим выбором и легко выполнят вышеуказанные требования.
У нас есть аренда DHCP, установленная на 8 дней для IPv4 и 2 недели для IPv6. Независимо от того, что вы установили, помните, что клиенты будут обновляться через половину времени, поэтому, если вы установите его на 8 часов, он будет обновляться каждые 4 часа (продолжая с двойным уменьшением времени при неудачных запросах).
Реализация DHCP-сервера на вашем маршрутизаторе может выполнять «Обнаружение конфликтов DHCP». Проверьте это и включите, если это возможно. Это самое простое решение.
Более короткие сроки аренды определенно помогут, но не являются 100% гарантией. Я не пошел бы ниже 1 часа, хотя. По моему опыту, многим сетевым программам не очень нравится, что компьютер повторно получает DHCP во время работы программы (например, Outlook2003 печально известен этим, 2007 выглядит лучше). Делать это каждые 5 минут может быть весьма заметно для пользователей.
Если у вас есть другой DHCP-сервер (Windows / Linux или другой маршрутизатор) в вашей глобальной сети, который может обнаруживать конфликты, вы можете рассмотреть возможность добавления этой локальной сети в качестве дополнительной области DHCP и переконфигурировать сайт-маршрутизатор для переадресации DHCP на этот.
Если ничего не помогает, вам придется настроить отдельный DHCP-сервер. Для примерно 200 пользователей вам на самом деле не нужен большой сервер Windows или Linux. Вы можете получить что-то вроде TFTPD32, которое бесплатное, простое в настройке и будет также обнаруживать столкновения. (И он будет работать на настольной ОС, если возникнут проблемы. Если у вас есть ПК, который можно оставить «всегда включенным»). (И, см. Предыдущий параграф, это может быть расположено на другом сайте.)
Что такое время аренды DHCP и как его изменить
Когда вы подключаетесь к локальной сети через WiFi или Ethernet, сервер DHCP (протокол динамической конфигурации хоста) на вашем сетевом маршрутизаторе выдаст вашему устройству IP-адрес. Это дает вашему устройству идентификатор, который позволяет другим устройствам находить его и подключаться к нему. Обычно этот IP-адрес действует около 24 часов до истечения срока его действия.
Это связано со временем аренды DHCP. Это позволяет локальной сети перераспределять IP-адреса с устройств, которые были отключены на некоторое время, другим устройствам, освобождая IP-адреса для других устройств, которые могут подключаться (если вы не дадите им Статический IP).
Что такое время аренды DHCP и нужно ли его менять?
Если не указано иное, типичный сетевой маршрутизатор предполагает, что любое соединение с ним является временным. Вашему устройству назначается IP-адрес DHCP-сервером с привязанным сроком аренды. Если ваше устройство не отображается по истечении этого периода, срок аренды истекает, и IP-адрес освобождается для использования другими устройствами.
Время аренды DHCP — это время, в течение которого аренда остается активной до истечения ее срока. Как мы уже упоминали, 24 часа — это обычное время аренды, выдаваемое сетями для подключенных устройств, но это стандартное значение, которое может не подходить для вашей сети.
Однако вы можете изменить это значение. Если вы используете открытую или общедоступную сеть, к которой могут подключаться другие пользователи, вы можете ожидать большого количества краткосрочных подключений. Именно здесь имеет смысл сократить время аренды, сохраняя пополнение пула бесплатных IP-адресов и позволяя новым устройствам подключаться.
Срок аренды зависит от ваших потребностей. Например, вы можете использовать час для сети Wi-Fi в ресторане и 12 часов для сети гостевого офиса.
Вам понадобится административный доступ к вашему сетевому маршрутизатору, чтобы иметь возможность изменять эти настройки. Хотя вы можете просмотреть текущее время аренды DHCP на вашем ПК или Mac, для его изменения потребуется доступ к вашему маршрутизатору.
Как просмотреть время аренды DHCP в Windows 10
Вы можете просмотреть время аренды DHCP для ПК с Windows с помощью Windows PowerShell, заменяющей командную строку в Windows 10.
По этой информации вы можете определить срок аренды. В приведенном выше примере срок истечения срока аренды составляет ровно 24 часа после того, как аренда была впервые оформлена. Этот период может быть короче или длиннее для вашего подключения, в зависимости от вашей конфигурации сети.
Как просмотреть время аренды DHCP в macOS
На Mac вы можете просмотреть время аренды DHCP с помощью встроенного приложения «Терминал».
Время аренды DHCP будет отображаться здесь в виде шестнадцатеричного значения с основанием 16. Вам нужно будет преобразовать эти значения к стандартному десятичному числу. Например, указанное выше соединение имеет шестнадцатеричное значение аренды DHCP 0x15180. Это преобразуется в 86400, продолжительность аренды в секундах, что эквивалентно 24 часам.
Изменение времени аренды DHCP в локальной сети
Невозможно изменить время аренды DHCP в сетевых настройках вашего устройства, так как это контролируется DHCP-сервером, который выделяет IP-адреса, которым обычно является ваш сетевой маршрутизатор. Чтобы это изменить, вам потребуется административный доступ к маршрутизатору.
Обычно вы можете подключиться к сетевому маршрутизатору, набрав http://192.168.1.1 или http://192.168.0.1 в веб-браузере при подключении к сети. Возможно, вам придется проверить руководство для своего маршрутизатора, чтобы определить, является ли это правильным способом подключения, а также определить имя пользователя и пароль администратора для входа в систему.
После того, как вы вошли в систему, вам нужно будет найти соответствующие настройки сети / LAN или настройки DHCP в меню настроек вашего маршрутизатора. Если вы не можете его найти, обратитесь к руководству пользователя за дополнительными советами.
Значение аренды DHCP называется по-разному. Например, на маршрутизаторе TP-Link это значение называется временем аренды адреса. Вы можете установить это значение в минутах для этого типа маршрутизатора, максимум до 2880 (эквивалент 48 часов). У других маршрутизаторов максимальный срок аренды будет длиннее или короче.
Измените значение соответствующим образом, затем сохраните настройки. После изменения значения аренды DHCP для ваших устройств будет соответственно выдано новое время аренды.
Как продлить аренду DHCP
Если вы изменили время аренды DHCP, вы можете заставить любые подключенные устройства освободить существующую аренду IP и продлить ее. Это позволит немедленно применить любые изменения в вашей информации об аренде DHCP.
Это займет несколько секунд. После завершения ваш IP-адрес обновится, чтобы подтвердить ваш IP-адрес, но вам нужно будет запустить ipconfig getpacket en0 (заменив en0 вашим собственным подключением) из приложения Terminal, чтобы проверить текущее время аренды.
Правильное управление сетью в Windows 10
Время аренды DHCP, выделенное устройствам в сети, является важным компонентом работы вашей сети. Если вы боретесь с Конфликты IP-адресоводнако вы можете обнаружить, что лучше назначить статический IP-адрес устройствам которые вы используете регулярно.
Многие из этих параметров необходимо настроить на вашем сетевом маршрутизаторе, но Windows позволит вам изменять сетевые настройки самостоятельно — будьте готовы к конфликтам, если ваши настройки не соответствуют вашему маршрутизатору. Это может помешать вам видеть другие компьютеры в вашей сети, поэтому обязательно сначала дважды проверьте все изменяемые вами настройки.
Как связаны длительность аренды DHCP и процесс сбора мусора в DNS
В качестве предисловия. При общении с коллегами, отвечая на их вопросы о совместной настройке DNS и DHCP, часто отсылаю их к замечательной статье Шона Айви на Technet. К сожалению, аналогичного материала на русском языке я не находил. В очередной раз, устно переведя её знакомому, я решил оформить письменный перевод, чтобы иметь возможность отсылать к нему.
Привет всем, меня зовут Шон Айви и я US PFE (Premier Field Engineer). Моя специализация — операционная система Windows и службы Active Directory. Проще говоря, я специализируюсь на Active Directory и связанных с ней сетевых службах. Недавно, у трёх разных клиентов, я помогал SCCM-администраторам, у которых была проблема с установкой SCCM агента. В логе ccm.log значилась ошибка Failed to get token for current process (5). Мы обнаружили, что проблема была не в SCCM, а во взаимодействии DNS и DHCP. Как оказалось, другие службы тоже испытывали связанные с этим проблемы, просто либо демонстрировали иные симптомы, либо не демонстрировали их совсем. Давайте поговорим о том почему так получалось и как это можно предотвратить!
Рассмотрим следующий сценарий:
Пока всё хорошо. Это довольно типовой сценарий работы DHCP сервера и всё происходит именно так, как мы ожидаем. Давайте теперь добавим сюда DNS сервер.
Рисунок 1
Итак, у нас в DNS есть два разных имени, ссылающихся на одинаковый IP адрес. И, скорее всего, всё именно так и останется еще минимум 6 дней, пока не истекут описанные выше интервалы. Какие проблемы это может вызвать? Давайте посмотрим.
Проблема
Я уже упомянул, что симптомом этой ситуации была проблема с установкой SCCM клиента, но, на самом деле, мы можем использовать для демонстрации более простой пример — доступ к общей папке. Принцип один и тот же.
Давайте представим, что мне нужно получить доступ к общей папке на Клиенте А. Для примера, возьмём одну из административных папок общего доступа.
Рисунок 2
А вот это уже интересно. Во первых, клиент А даже не включен… но мы получаем ответ от его имени. И это ошибка аутентификации! Некоторые из вас уже догадались, что это происходит, когда вы посылаете сеансовый ключ Kerberos предназначенный для одного компьютера другому, но давайте по порядку.
Мы видим, что наш компьютер (Infra-App1) посылает в DNS запрос на имя client-a.corp.contoso.com. В ответ он получает IP адрес 10.0.0.100.
Рисунок 3
Насколько знает DNS, так оно и есть. Клиент А действительно имеет адрес 10.0.0.100, но точно такой же адрес имеет Клиент Б.
Отлично, теперь мы получаем сеансовый ключ Kerberos. Вот только DNS запрос был на имя Клиента А, так что ответ от службы Kerberos также будет на имя клиента А.
Рисунок 4 
Рисунок 5
Мы видим запрос на Рисунке 4 и ответ контроллера домена на Рисунке 5.
Теперь, получив ключ, мы можем попытаться подключиться, к тому, что мы считаем Клиентом А.
Рисунок 6
Здесь мы видим сеансовый ключ Kerberos.
И, наконец, мы видим сообщение об ошибке от Клиента А. Почему? Потому, что клиент А это не Клиент А, а Клиент Б.
Рисунок 7
Всё это только подтверждает то, что вы, вероятно, и так знали. Для того чтобы Kerberos отработал нормально, вы должны обратиться с правильным сеансовым ключом к правильному адресату (Если вы хотите узнать больше о Kerberos, почитайте блог Роба Грина «Kerberos для занятых админов» Примечание: аналогичного материала на русском я не нашёл, но с общими сведениями можно ознакомиться вот здесь).
Конечно, всё отлично сработает, если вместо FQDN имени мы обратимся по IP адресу. Почему? Потому, что в этому случае вместо Kerberos будет использована аутентификация NTLM. Используя IP адрес, мы не делаем никаких предположений о том, к какому клиенту мы подключаемся. Мы просто подключаемся по определённому IP адресу. Некоторые из вас могут подумать, что и для FQDN должно сработать. В конце концов, получив ошибку при использовании Kerberos, мы должны переключиться на NTLM, верно? Не совсем. Я не буду углубляться в детали, но мы переключимся на NTLM, только если мы не смогли договориться об использовании Kerberos. Вы можете прочитать об этом подробнее здесь. В любом случае, Kerberos не возвращал нам ошибки, он штатно ответил нам сеансовым ключом.
Как предотвратить
Теперь, когда мы выяснили, что проблема вызвана устаревшими записями в DNS давайте обсудим, как мы можем предотвратить такую ситуацию. Есть несколько разных способов как это сделать. Давайте обсудим каждый из них.
Примечание: я рекомендую уменьшить интервал очистки для каждого из этих способов до 1-3 дней. Интервал в 7 дней, используемый по умолчанию, позволяет проблемным записям оставаться в DNS чересчур долго.
Попробуйте поэкспериментировать с интервалами обновления и блокирования и длительностью аренды DHCP. Вы можете обнаружить, что изменение интервалов по умолчанию благотворно сказывается на работе ваших сетевых служб. Короткий срок аренды DHCP часто используются для беспроводных сетей. В то же время, не забывайте о дополнительной нагрузке, которую вы возлагаете на сервер, особенно если вы настраиваете частую (раз в несколько часов) очистку для очень большой DNS зоны.
Поиск DNS записей с одинаковыми IP адресами
Почти всё! Теперь мы понимаем, почему происходит такая ситуация, когда возникает проблема и как её предотвратить. Но как нам легко и быстро найти такие записи, если беда уже случилась? Вы можете легко найти такие парные записи в DNS используя несложный PowerShell скрипт (это, конечно же, не единственный способ).
Ниже приведён образец вывода этого скрипта:
Рисунок 8
Заключение
Есть очень много статей о настройке интеграции DHCP и DNS. Цель этой — обобщить сведения о том, как эти две службы работает вместе, чтобы вам было проще это понять. Подведём итог:
Надеюсь, что статья была вам полезна! Правильная настройка интеграции DNS и DHCP избавит вас от такого рода проблем в вашей сети!