标签: dhcp-server

在过去的 3-4 周里，我一直试图在我的网络上找到一个流氓 DHCP 服务器，但被难住了！它提供的 IP 地址不适用于我的网络，因此任何需要动态地址的设备都会从 Rogue DHCP 获取动态地址，然后该设备停止工作。我需要帮助才能找到并摧毁这东西！我认为它可能是某种木马。

我的主路由器是唯一有效的 DHCP 服务器，它是 192.168.0.1，它提供 192.160.0.150-199 的范围，我在我的 AD 中将此配置为已授权。这个 ROGUE DHCP 声称来自 192.168.0.20 并提供 10.255.255.* 范围内的 IP 地址，除非我为其分配静态 IP 地址，否则这会弄乱我网络上的所有内容。192.168.0.20 在我的网络上不存在。

我的网络是 Windows 2008R2 上的单个 AD 服务器、3 个其他物理服务器（1-2008R2 和 2 个 2012R2），大约 4 个管理程序 VM、3 台笔记本电脑和一个 Windows 7 机器。

我无法ping通流氓192.160.0.20 IP，并且在ARP -A输出中也看不到它，因此我无法获取其MAC地址。我希望阅读这篇文章的人以前遇到过这个问题。

计算机如何知道要查询网络上的哪个设备？默认网关如何影响这个？几乎，当计算机尝试使用 DHCP 获取 IP 地址时发生的事件链是什么？

我问的原因是因为我试图弄清楚如何最好地设置冗余 DHCP 服务器，以防原始服务器因任何原因失败。

我们有一个演示的网络设置，持续大约 1500 万。我们的 DHCP 服务器配置为分配约 100 个地址（最大同时连接数或我们的 AP）...其他人来连接。

最初我想租用时间短至 25 秒，考虑到演示很短，并且确保没有 IP 会被 DHCP 服务器“滥用”保留......但是，我害怕几个事物。

第一，对网络负载的影响。

其次，我在这里和那里都读过，时间租约低于 1 分钟可能存在一些“奇怪”的问题（例如，什么是好的 DHCP 租约超时配置）。

有人知道使用如此短的租期会有什么不同的问题吗？对网络有什么影响？什么是短暂但安全的租赁期限？

设想

将其简化为最简单的示例：

我有一个带有 DHCP 服务器角色的 Windows 2008 R2 标准 DC​​。它通过各种 IPv4 范围分发 IP，没有问题。

我喜欢什么

我想要一种在设备获得 DHCP 地址租约并且该设备不是Active Directory 中加入域的计算机时创建通知/事件日志条目/类似的方法。是否是自定义Powershell等对我来说无关紧要。

底线 =我想要一种方法来知道非域设备何时在网络上而不使用 802.1X。 我知道这不会考虑静态 IP 设备。我确实有可以扫描网络并查找设备的监控软件，但它的细节并不是那么精细。

研究完成/考虑的选项

我没有看到内置日志记录的任何此类可能性。

是的，我知道 802.1X 并且有能力在这个位置长期实施它，但我们离这样的项目还有一段时间，虽然这可以解决网络身份验证问题，但这对我在外面仍然有帮助802.1X 目标。

我环顾四周寻找一些可能证明有用的脚本位等，但我发现的东西让我相信我的 google-fu 目前让我失望。

我相信下面的逻辑是合理的（假设没有一些现有的解决方案）：

1. 设备接收 DHCP 地址
2. 记录事件日志条目（DHCP 审核日志中的事件 ID 10 应该可以工作（因为我最感兴趣的是新租约，而不是续订）：http : //technet.microsoft.com/en-us/library /dd759178.aspx )
3. 在这一点上，某种脚本可能必须接管下面剩余的“步骤”。
4. 以某种方式查询这些事件 ID 10 的 DHCP 日志（我喜欢推送，但我猜拉是这里唯一的资源）
5. 解析被分配新租约的设备名称的查询
6. 向 AD 查询设备名称
7. 如果在 AD 中未找到，请发送通知电子邮件

如果有人对如何正确执行此操作有任何想法，我将不胜感激。我不是在寻找“gimme the codez”，但很想知道是否有上述列表的替代方案，或者如果我没有想清楚并且存在另一种收集这些信息的方法。如果您有想要共享的代码片段/PS 命令来帮助完成此任务，那就更好了。

我有一个运行 Windows 2008 R2 的小环境，其中域控制器上的 DHCP 服务每两周失败一次。

最明显的错误是Event ID 1059，事件查看器消息是：

"The DHCP service failed to see a directory server for authorization."

该设置具有两个域控制器以及常用的服务和角色（文件、打印、交换）。由于各种原因，重新启动服务失败。我在不同时间收到以下消息：

• “没有足够的存储空间来完成此操作”。
• “无法确定服务器 192.168.xx 的 DHCP 服务器版本”
• “DHCP 服务检测到它正在 DC 上运行，并且没有配置凭据以用于由 DHCP 服务启动的动态 DNS 注册。”

重新启动域控制器可以解决大约 2 周的问题。这些系统是虚拟化的，不存在网络连接问题。

关于这里发生了什么的任何想法？

编辑 - 解决方案似乎是修复行为不端的域控制器。

我们有培训室，通常安装 Windows XP（通过 PXE）。“正常”的 DNS/DHCP 基础结构是 Windows 服务器。培训室有自己的 VLAN（与 Windows 服务器不同），因此最有可能在 Cisco 路由器上有一个用于 DHCP 请求的 IP 帮助程序，该房间的所有 PC 都连接到该路由器。

现在我们想将一些 PC 转换为 Linux。这个想法是：将我们自己的带有 DHCP 服务器的笔记本电脑放入房间的 VLAN 中，并覆盖“正常”的 DHCP 响应。这个想法应该可以工作，因为该 VLAN 中直接连接的 DHCP 服务器的响应时间应该比位于该 VLAN 一些跃点之外的“正常”DHCP 服务器的响应时间更快。

事实证明这是行不通的。我们必须手动释放原始 DHCP 服务器上的租约才能使其正常工作。

在笔记本电脑上，我们确实看到客户端请求 IP 并且“我们的”dhcp 正在向 Windows IP 请求发送 NACK，在此之前我们确实提供了我们自己的响应。

老问题：为什么这没有按预期进行？是什么让 PC 重新获得旧租约？

2012-08-08更新：