Etiquetas

WS2025 - RRAS FAILOVER

 

INTRODUCCIÓN

En esta práctica, se implementará una configuración de alta disponibilidad en una infraestructura de red con dos controladores de dominio, DC-ASIR-01 y DC-ASIR-02. El objetivo es garantizar la continuidad del servicio de enrutamiento y de asignación de parámetros de red mediante el rol de DHCP Failover. En caso de que DC-ASIR-01 deje de funcionar por cualquier motivo (fallo de hardware, mantenimiento, o pérdida de conexión), DC-ASIR-02 asumirá automáticamente las funciones de enrutamiento y asignación de direcciones IP, permitiendo que los equipos cliente sigan operando sin interrupciones.

Objetivo General

El propósito principal de esta práctica es asegurar que, en caso de una caída de DC-ASIR-01, el servidor secundario DC-ASIR-02 pueda asumir el rol de enrutador y servidor DHCP, permitiendo a los dispositivos cliente acceder a los recursos de la red y a Internet sin intervención manual. La práctica se enfocará en la configuración de enrutamiento y en el establecimiento de una relación de failover entre los dos servidores DHCP, de manera que el servidor DC-ASIR-02 pueda automáticamente proporcionar su dirección IP como puerta de enlace cuando detecte que DC-ASIR-01 no está disponible.    

Objetivos Específicos

  1.     Implementar el Rol de Enrutamiento en DC-ASIR-02: Se configurará DC-ASIR-02 para actuar como enrutador, permitiendo que maneje el tráfico de red hacia Internet en caso de una falla en DC-ASIR-01.
  2.     Configurar DHCP Failover en Modo Espera Activa: Se establecerá una relación de failover entre los servicios DHCP de DC-ASIR-01 y DC-ASIR-02 en modo Espera Activa (Hot Standby). En esta configuración, DC-ASIR-01 será el servidor activo que asigna las direcciones IP y parámetros de red en condiciones normales, mientras que DC-ASIR-02 permanecerá en espera y tomará el control únicamente si el servidor activo deja de estar disponible.
  3.     Asignación Automática de Puerta de Enlace en Caso de Falla: La configuración de failover del DHCP se ajustará para que, al momento de asumir el control, DC-ASIR-02 proporcione automáticamente su propia dirección IP como parámetro de puerta de enlace predeterminada a los clientes, permitiendo que el tráfico de red de los clientes sea enrutado a través de DC-ASIR-02 cuando DC-ASIR-01 no esté disponible.

Descripción General del Proceso

  1.     Configuración de Enrutamiento en DC-ASIR-02: Se agregará el rol de enrutamiento en DC-ASIR-02 y se configurarán las interfaces de red de manera que pueda redirigir el tráfico hacia Internet. Este paso es esencial para asegurar que DC-ASIR-02 esté listo para asumir el enrutamiento cuando se presente una falla en DC-ASIR-01.
  2.     Establecimiento de una Relación de Failover en el Servicio DHCP: En ambos controladores de dominio (DC-ASIR-01 y DC-ASIR-02) se configurará el servicio DHCP en modo failover. La relación de failover se definirá en modo Espera Activa (Hot Standby), de modo que DC-ASIR-01 actúe como servidor DHCP principal y DC-ASIR-02 permanezca en espera, listo para tomar el control cuando detecte la indisponibilidad de DC-ASIR-01.
  3.     Configuración de Parámetros de DHCP para Cambio Automático de Puerta de Enlace: Al establecer la relación de failover, se configurará el ámbito DHCP de DC-ASIR-02 para que, al momento de tomar el control, asigne automáticamente su propia dirección IP como puerta de enlace predeterminada para los clientes. Esto permite que los equipos cliente puedan redirigir su tráfico hacia Internet a través de DC-ASIR-02 sin necesidad de intervención manual o reconfiguración.

Resultados Esperados

Al finalizar esta práctica, se espera que el entorno de red cumpla con las siguientes características:

  •     En condiciones normales, DC-ASIR-01 actúa como el servidor DHCP principal y como la puerta de enlace para los clientes de la red.
  •     Si DC-ASIR-01 deja de funcionar, DC-ASIR-02 asume automáticamente el rol de servidor DHCP y proporciona su dirección IP como puerta de enlace predeterminada.
  •     Los clientes de la red continuarán recibiendo sus configuraciones de red (dirección IP, máscara de subred, puerta de enlace y DNS) de forma automática, incluso durante la transición de un servidor DHCP a otro.
  •     DC-ASIR-02 enrutará el tráfico de los clientes hacia Internet en caso de falla de DC-ASIR-01, garantizando la continuidad en la conectividad.

Beneficios de la Configuración

Esta configuración ofrece una solución de alta disponibilidad para los servicios de enrutamiento y DHCP, mejorando la resiliencia de la red ante fallos. Los usuarios de la red no experimentarán interrupciones en sus conexiones debido a la caída de uno de los servidores, ya que el servidor en espera puede asumir el control de forma rápida y transparente. Este enfoque es ideal para entornos empresariales y de producción donde la estabilidad de la red es esencial.

Consideraciones Finales

Para asegurar el éxito de esta práctica, es importante que los dos servidores (DC-ASIR-01 y DC-ASIR-02) tengan configuradas correctamente sus interfaces de red, y que el rol de enrutamiento y acceso remoto esté correctamente instalado y configurado en DC-ASIR-02. Además, la relación de failover en DHCP debe ser probada y monitoreada para verificar que los cambios de rol se realicen sin problemas en situaciones de falla. Con esta configuración, se asegura que la infraestructura de red sea robusta y esté preparada para enfrentar eventualidades sin afectar la experiencia de los usuarios.

RRAS

RRAS (Routing and Remote Access Service) es un servicio de Windows Server que permite a un servidor funcionar como un enrutador y servidor de acceso remoto para redes corporativas. Su principal función es gestionar el tráfico de red y habilitar el acceso remoto, proporcionando a los usuarios internos y externos opciones para conectarse y navegar en la red de forma segura. RRAS se utiliza en entornos empresariales para funciones críticas como enrutamiento, traducción de direcciones de red (Network Address Translation, NAT), y como servidor VPN (Virtual Private Network).

Funcionalidades Principales de RRAS

  1.     Enrutamiento: Permite que el servidor actúe como un enrutador, dirigiendo el tráfico de red entre diferentes subredes. Esto es útil en redes que están segmentadas o en redes que requieren una conexión segura entre varios sitios.
  2.     Traducción de Direcciones de Red (NAT): Con NAT, RRAS puede asignar direcciones IP privadas a dispositivos dentro de la red mientras utiliza una sola dirección IP pública para el tráfico externo. Esto ayuda a ahorrar direcciones IP y aumenta la seguridad al mantener las direcciones IP internas ocultas desde internet.
  3.     Servidor VPN (Red Privada Virtual): RRAS permite configurar una VPN, que proporciona acceso remoto seguro a la red desde ubicaciones externas. Esto es útil para los empleados que necesitan acceder a recursos de la red desde fuera de la oficina de forma segura.
  4.     Control de Acceso Remoto: RRAS facilita el acceso remoto de dispositivos mediante tecnologías como Dial-Up y VPN, proporcionando una forma segura de conectarse a la red de la empresa sin importar la ubicación física del usuario.
  5.     Redundancia y Alta Disponibilidad: Al configurar múltiples servidores con RRAS, se puede garantizar que, si un servidor falla, otro servidor pueda manejar el tráfico, asegurando que el acceso a la red y los servicios permanezcan activos.

Escenarios Comunes para el Uso de RRAS

  •     Conectividad de Red en Sucursales: RRAS permite a las organizaciones conectar oficinas remotas mediante enrutamiento o VPN. Esto crea una red unificada donde los usuarios pueden acceder a los recursos corporativos de manera segura sin importar en qué oficina se encuentren.
  •     Acceso Remoto Seguro para Empleados: Con RRAS, las organizaciones pueden permitir que los empleados se conecten de forma remota desde cualquier lugar, manteniendo la seguridad de los datos y cumpliendo con las políticas de seguridad de la empresa.
  •     Optimización de Recursos de Red: Al utilizar NAT, RRAS ayuda a reducir el número de direcciones IP públicas necesarias y simplifica la administración del tráfico de red, haciendo que los recursos de red sean más eficientes.

Ventajas de Usar RRAS

  •     Seguridad Mejorada: Con el uso de VPN y NAT, RRAS añade una capa de protección a la red corporativa, controlando y encriptando el tráfico que entra y sale de la red.
  •     Ahorro de Costos: NAT permite usar una sola dirección IP pública para toda la red, reduciendo la necesidad de múltiples direcciones IP y simplificando la gestión de la red.
  •     Flexibilidad y Escalabilidad: RRAS facilita la expansión de la red a nuevas ubicaciones y soporta el crecimiento de la organización al permitir la incorporación de más usuarios y dispositivos de forma segura.
  •     Redundancia y Continuidad del Negocio: Al implementar múltiples servidores RRAS, se asegura que la red sea tolerante a fallos y mantenga su funcionalidad incluso en caso de problemas con algún servidor.

RRAS es una solución integral para redes empresariales que requieren enrutamiento, acceso remoto seguro y una gestión eficiente de sus recursos de red.

Configuración de ADC para redundancia de puerta de enlace

La implementación de un Controlador de Dominio Adicional (ADC) junto con RRAS tiene el objetivo de asegurar que los equipos de la red puedan conectarse a internet y acceder a los recursos de red de manera ininterrumpida, incluso si uno de los servidores principales falla. Con esta configuración:

  1.     Alta disponibilidad del servicio de Directorio Activo (Active Directory): Tener un ADC significa que, en caso de caída del Controlador de Dominio Principal, el ADC puede asumir sus funciones. Esto garantiza que la autenticación y los servicios de directorio para los usuarios y dispositivos de la red sigan funcionando.
  2.     Redundancia en la conexión de internet: Al configurar ambos servidores con el servicio RRAS, cada uno actúa como puerta de enlace y enrutador. De esta forma, los equipos de la red pueden conectarse al segundo servidor cuando el primero deja de estar disponible, minimizando la interrupción del acceso a internet.

Ventajas de Implementar RRAS en un ADC

  1.     Continuidad del servicio: Al implementar un ADC y habilitar RRAS en ambos servidores, garantizas que la red tenga múltiples caminos para acceder a recursos internos y externos (como el acceso a internet), incluso cuando un servidor esté inactivo.
  2.     Redundancia y alta disponibilidad: La configuración de un ADC con RRAS permite que, si uno de los servidores de dominio falla, el otro tome su lugar automáticamente sin que los usuarios noten una interrupción en sus servicios. Este enfoque es crucial en entornos de misión crítica, donde la disponibilidad del servicio es fundamental.
  3.     Balanceo de carga: Con el servicio de enrutamiento, puedes distribuir el tráfico de red entre ambos servidores para evitar sobrecargas y mejorar el rendimiento general. En caso de que ambos servidores estén disponibles, el tráfico puede dividirse para que cada uno maneje una parte, reduciendo tiempos de respuesta y aumentando la eficiencia.
  4.     Escalabilidad y seguridad en el acceso remoto: Si tu organización necesita ofrecer acceso remoto seguro a la red corporativa, RRAS puede configurarse como un servidor VPN en ambos controladores de dominio. De este modo, los usuarios externos pueden conectarse desde ubicaciones remotas a través de una VPN segura, con la opción de cambiar automáticamente al segundo servidor en caso de problemas en el primero.
  5.     Facilidad en la Gestión de Redes y Control del Tráfico: Con la funcionalidad NAT de RRAS, puedes gestionar el tráfico entre la red interna y el internet de manera centralizada y eficiente. Esto ayuda a controlar y monitorizar el acceso a internet y, además, facilita la administración de las direcciones IP dentro de la red local.
  6.     Reducción del Tiempo de Recuperación: En caso de fallos, la conmutación de una puerta de enlace a otra es rápida y automática. Esto significa que el tiempo de recuperación ante fallos se minimiza, evitando pérdidas de productividad.

RRAS en un ADC para redundancia de puerta de enlace

  •    Sincronización de Datos: Los dos controladores de dominio deben estar constantemente sincronizados para evitar discrepancias en la base de datos de Directorio Activo y en las configuraciones de red.
  •     Mantenimiento y Monitoreo: Es esencial monitorear ambos servidores para garantizar que ambos estén funcionando correctamente y que la conmutación se realice sin inconvenientes en caso de fallo.
  •     Seguridad: Como RRAS también puede actuar como servidor VPN, es importante tener políticas de seguridad estrictas y actualizaciones al día para proteger el acceso remoto y prevenir accesos no autorizados.

En resumen, la combinación de un ADC con RRAS permite no solo asegurar la autenticación y la disponibilidad del Directorio Activo, sino también proveer una conexión de respaldo al internet y otros recursos de red. Esta implementación es altamente ventajosa en redes que dependen de la conectividad continua, ofreciendo resiliencia, flexibilidad y un alto nivel de disponibilidad para servicios esenciales.

DHCP FAILOVER

El DHCP Failover es una funcionalidad que permite que dos servidores DHCP compartan información sobre las concesiones de direcciones IP (leases) para ofrecer redundancia y alta disponibilidad en la red. Cuando se configuran en modo failover, ambos servidores tienen conocimiento de las concesiones actuales y pueden proporcionar direcciones IP a los clientes de la red en caso de que uno de ellos falle.

Existen dos modos principales de DHCP Failover:

  1.      Balanceo de carga (Load Balancing): ambos servidores DHCP se mantienen activos y dividen las solicitudes de clientes según un porcentaje definido.
  2.      Espera activa (Hot Standby): uno de los servidores es el principal y maneja todas las solicitudes, mientras que el otro permanece en espera y toma el control solo si el servidor principal falla.

¿Qué es el Modo Espera Activa (Hot Standby)?

En el modo Espera Activa, también conocido como Hot Standby, uno de los servidores DHCP está configurado para ser el servidor activo y procesar todas las solicitudes DHCP, mientras que el otro servidor se encuentra en espera y no responde a las solicitudes de los clientes a menos que el servidor activo falle.

  •     Servidor Activo: Es el servidor DHCP principal que atiende todas las solicitudes de los clientes y asigna direcciones IP en condiciones normales.
  •     Servidor en Espera (Standby): Es el servidor de respaldo que no responde a los clientes en condiciones normales, pero que tomará el control automáticamente si el servidor activo se vuelve inalcanzable.

¿Cómo Funciona el Modo Espera Activa?

Cuando configuras dos servidores DHCP en modo espera activa, los siguientes procesos tienen lugar:

  1.      Sincronización de concesiones: Ambos servidores se sincronizan periódicamente para mantener un registro actualizado de las concesiones de IP (leases) asignadas a los clientes. Esto permite que el servidor en espera esté listo para asumir el rol de servidor activo con la misma información de concesiones que el servidor principal.
  2.     Reservas de direcciones IP para el servidor en espera: Aunque el servidor activo es quien asigna la mayoría de las direcciones IP, el servidor en espera suele reservar un pequeño porcentaje de la dirección del ámbito DHCP para poder atender a los clientes temporalmente mientras detecta que el servidor activo no está disponible. Por lo general, esta reserva es del 5-10% del total de direcciones disponibles.
  3.     Intervalo de cambio de estado: Los servidores DHCP monitorean su conectividad de forma continua. Si el servidor en espera detecta que el servidor activo no responde en el intervalo configurado (por ejemplo, 60 segundos), el servidor en espera tomará el rol de servidor activo y comenzará a asignar direcciones IP a los clientes de la red.
  4.     Regreso del servidor activo: Si el servidor activo vuelve a estar disponible, los servidores pueden reiniciar la sincronización, y el rol de servidor activo puede restaurarse automáticamente. La transición de regreso depende de la configuración de failover.

Configuración de DHCP Failover en Modo Espera Activa

Para configurar DHCP failover en modo espera activa, se deben seguir estos pasos:

  1.     Instalación del Rol de DHCP en Ambos Servidores: Asegúrate de que tanto el servidor activo como el servidor en espera tengan el rol de DHCP instalado y autorizado en Active Directory.
  2.     Configuración de un Ámbito Compartido: Crea el ámbito DHCP en el servidor activo, configurando la red, las exclusiones y otros parámetros. Este ámbito se replicará en el servidor en espera durante la configuración de failover.
  3.     Creación de la Relación de Failover:
    •     Abre la consola de administración de DHCP y selecciona el ámbito que deseas configurar con failover.
    •   Selecciona Configurar Failover y elige el servidor DHCP secundario para establecer la relación de failover.
    •     Define un nombre de relación (por ejemplo, “DC1-DC2-failover”) y configura el Modo de failover como Espera Activa (Hot Standby).
  4.      Configuración del Rol de Servidor:
    •     Establece el Rol de Servidor Activo para el servidor primario, y selecciona el rol de Espera (Standby) para el servidor secundario.
    •     Define el porcentaje de direcciones IP reservadas para el servidor en espera, generalmente entre 5% y 10% del total de direcciones IP del ámbito.
  5.      Intervalo de Cambio de Estado: Configura el intervalo en el cual el servidor en espera verifica el estado del servidor activo. Un valor típico es de 60 segundos.
  6.      Autenticación de Mensajes (Opcional): Puedes habilitar la autenticación de mensajes DHCP utilizando un secreto compartido para asegurar la comunicación entre los dos servidores.
  7.      Finalizar la Configuración: Una vez que completes estos pasos, el servidor secundario estará listo para asumir el control si el servidor primario deja de funcionar.

Ventajas del Modo Espera Activa

El modo espera activa es ideal en situaciones donde quieres garantizar la continuidad del servicio DHCP con una transición rápida y sin conflictos, especialmente en entornos donde la estabilidad de red es crítica. Algunas de sus ventajas son:

  •     Alta disponibilidad: Asegura que el servicio DHCP esté siempre disponible, incluso si uno de los servidores falla.
  •     Transición automática: El servidor en espera detecta la falla del servidor activo y toma el control sin intervención manual.
  •    Sin conflictos de concesión: Como ambos servidores mantienen una copia sincronizada de las concesiones, no se generan conflictos de IP cuando el servidor en espera toma el rol activo.

Limitaciones del Modo Espera Activa

Algunas consideraciones o limitaciones del modo espera activa incluyen:

  •     Reserva de direcciones IP: En este modo, se reserva un pequeño porcentaje de direcciones IP exclusivamente para el servidor en espera, lo cual reduce la cantidad de direcciones disponibles para el servidor activo.
  •      Uso de solo un servidor a la vez: A diferencia del modo de balanceo de carga, el modo espera activa no utiliza ambos servidores en paralelo, lo que puede ser menos eficiente en redes de alta demanda.
  •     Complejidad en el regreso al estado original: Si el servidor activo vuelve a estar disponible, es necesario que ambos servidores vuelvan a sincronizar las concesiones. Esto puede generar breves interrupciones.

Ejemplo de Funcionamiento

Estableciendo una red en la que los servidores DHCP DC1 y DC2 están configurados en modo espera activa:

  1.     En condiciones normales, DC1 es el servidor activo y maneja todas las solicitudes de DHCP de los clientes. DC2 está en modo de espera y no responde a las solicitudes de los clientes.
  2.      Si DC1 falla (por ejemplo, debido a una caída de energía o un fallo de hardware), DC2 detecta la falta de respuesta de DC1 en el intervalo configurado y automáticamente asume el rol activo.
  3.     Los clientes de la red ahora recibirán direcciones IP y otros parámetros de red desde DC2, sin interrupciones visibles en el servicio DHCP.
  4.     Cuando DC1 se restablece y vuelve a estar en línea, DC2 y DC1 sincronizan las concesiones de IP, y DC1 puede volver a ser el servidor activo, si así se configura.

El DHCP Failover en modo espera activa es una solución poderosa para garantizar la continuidad del servicio DHCP en entornos empresariales. Al permitir que un servidor DHCP secundario tome el control en caso de una falla del servidor principal, se asegura que los clientes de la red puedan seguir recibiendo direcciones IP y configuraciones esenciales sin interrupciones. Este modo es ideal para redes donde la estabilidad y disponibilidad son críticas, como en redes de empresas grandes o en entornos donde una interrupción en el servicio DHCP podría causar problemas operativos significativos.

La estructura de red empleada hasta ahora es la siguiente.

 La estructura de red que vamos a emplear es la siguiente.



 

 

 

 

 

Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares