Nutzen Sie DHCP-Logging-Techniken zum Troubleshooting

Wie funktioniert DHCP?

Die Verwaltung von IP-Adressen ist eine wichtige, aber unkomplizierte Aufgabe für Administratoren. Es gibt zwei Möglichkeiten, einem System im Netzwerk IP-Adresseinstellungen zuzuweisen:

• statische IP-Adressierung: Ein Administrator gibt Werte manuell ein, einschließlich IP-Adresse, Subnetzmaske, Standard-Gateway und DNS-Server. Dieser Ansatz ist bei Servern und Netzwerkgeräten üblich.
• dynamische IP-Adressierung: Ein Administrator richtet einen Pool von IP-Adressen und zugehörigen Einstellungen auf einem DHCP-Server ein, und Client-Computer leasen während des Startvorgangs eine IP-Adresskonfiguration. Die meisten Client-Geräte sind dynamisch konfiguriert.

Die statische Adressierung ist ein manueller Prozess, während die dynamische Adressierung auf DHCP-Servern basiert. In der Praxis kombinieren viele Netzwerke beide Ansätze für maximale Flexibilität.

Die Vorteile einer dynamischen Konfiguration sind Einfachheit und Konsistenz. Bei der statischen IP-Adressierung besteht das Risiko von Tippfehlern und doppelten Adressen, aber es werden feste IP-Adressen für Netzwerkgeräte bereitgestellt.

Der Windows-DHCP-Dienst kann Clients IPv4- und IPv6-Adressen und -Optionen anbieten. Der Dienst unterscheidet zwischen den beiden mithilfe separater Bereiche und spezifischer Protokollierung. Moderne Windows-DHCP-Server unterstützen zudem Stateful und Stateless DHCPv6, um den Anforderungen dualer Netzwerke gerecht zu werden.

In diesem Artikel wird der Protokollierungsmechanismus des Windows-DHCP-Servers untersucht, der vom DHCP-Dienst verwaltet wird. Er speichert Informationen über Client-Lease-Versuche und den Dienststatus und führt so ein nützliches Protokoll für Troubleshooting und Prüfung.

Lease-Erstellung

Der DHCP-Lease-Erstellungsprozess umfasst vier Schritte. Der Austausch wird vom Client-Gerät initiiert:

1. Der Client sucht nach einem DHCP-Server: Client > DHCPDiscover > DHCPServer.

2. Der Server antwortet dem Client: DHCPServer > DHCPOffer > Client.

3. Der Client akzeptiert das Angebot: Client > DHCPRequest > DHCPServer.

4. Der Server schließt den Lease ab: DHCPServer > DHCPAck > Client.

Der Client beginnt die Interaktion mit einer DHCPDiscover-Übertragung, die die Verfügbarkeit des DHCP-Servers im Netzwerk überprüft. Der DHCP-Server empfängt die Abfrage und antwortet mit einem DHCPOffer, das eine verfügbare IP-Adresskonfiguration enthält. Der Client nimmt das Angebot mit DHCPRequest an. Der Server schließt den Austausch ab, indem er die Anfrage mit DHCPAcknowledge bestätigt.

Das Client-Gerät verfügt nun über eine vollständige IP-Adresskonfiguration – in der Regel eine IP-Adresse, eine Subnetzmaske, ein Standard-Gateway und zwei DNS-Server. Administratoren bezeichnen diesen Prozess als DORA: Discover, Offer, Request, Acknowledge.

Erneuerung des Leasings

Der Lease ist zeitlich begrenzt und muss in regelmäßigen Abständen erneuert werden. Der Client beginnt die Erneuerung mit einem DHCPRequest. Der Client fordert die Verwendung der aktuellen Konfiguration an, und der Server bestätigt die Anforderung normalerweise mit DHCPAck und erneuert den Lease. Der Erneuerungsprozess erfolgt in zwei Phasen: T1 (50 Prozent der Lease-Dauer) und T2 (87,5 Prozent der Lease-Dauer). Wenn die Erneuerung bei T1 fehlschlägt, versucht der Client es bei T2 erneut.

Wenn sich die IP-Adresseinstellungen des DHCP-Servers für DHCP geändert haben, schlägt die Anfrage fehl und der Client muss den DORA-Prozess neu starten. Der Client erhält dann die aktualisierten IP-Adresseinstellungen.

Die Standard-Leasing-Zeit auf einem Windows-DHCP-Server beträgt acht Tage, und die Erneuerung erfolgt nach vier Tagen.

Einführung in die DHCP-Protokollierung

Die Konfiguration des IP-Adress-Pools des DHCP-Servers ist nicht schwierig, erfordert aber Sorgfalt, um Tippfehler bei der Eingabe der Werte zu vermeiden. Die meisten Client-Geräte sind standardmäßig als DHCP-Clients konfiguriert, so dass es hier kaum etwas zu tun gibt.

Probleme sind selten, aber Protokolle helfen bei der Fehlersuche in Bezug auf DHCP. Event Viewer zeichnet wichtige DHCP-Ereignisse auf, die den Dienst betreffen. Schrittweise DHCP-Lease-Ereignisse werden in speziellen, von Event Viewer unabhängigen DHCP-Protokolldateien gespeichert. Der Protokollierungsmechanismus identifiziert DHCP-Probleme zwischen den Clients und dem DHCP-Dienst.

Zu den Protokolleinträgen gehören die folgenden:

• erfolgreiche Client-Leases, Verlängerungen und Freigaben
• fehlgeschlagene Lease-Versuche
• Ereignisse zum Starten und Stoppen des Protokolls
• verwendete IP-Adressen
• Erschöpfung des Pools (volle Auslastung)
• DNS-Aktualisierungsereignisse

Windows aktiviert die DHCP-Protokollierung standardmäßig, so dass Sie keine zusätzliche Konfiguration für den Dienst vornehmen müssen. Der Dienst verwaltet die Aufzeichnungen, indem er für jeden Austausch mit einem Client-Computer einen Eintrag in der entsprechenden Protokolldatei vornimmt.

Bedeutung der DHCP-Protokolle

Verwenden Sie diese Protokolleinträge zum Troubleshooting in Situationen, in denen Clients eine Konfiguration nicht erfolgreich leasen, die Konfiguration falsch ist oder der DHCP-Server nicht wie erwartet antwortet. Anhand der Protokolle können Sie auch die Verfügbarkeit von Diensten im Rahmen von Service Level Agreements überprüfen. Schließlich können Sie diese Protokolle im Rahmen eines Sicherheits-Audits überprüfen, um festzustellen, ob alle angeschlossenen Clients die erwarteten Geräte sind.

So aktivieren Sie die DHCP-Protokollierung für Audits

Die DHCP-Verwaltungskonsole steuert die DHCP-Protokollierung.

Gehen Sie im Server Manager zu Extras\DHCP, um die Konsole zu öffnen. Gehen Sie bis zum Knoten IPv4. Klicken Sie mit der rechten Maustaste auf den IPv4-Knoten und wählen Sie Eigenschaften\Erweitert (Properties\Advanced). Der Eintrag Pfad der Audit-Protokolldatei (Audit log file path) definiert den Speicherort der Protokolldatei.

Standardmäßig befindet sich der Speicherort des DHCP-Serverprotokolls im Ordner C:\Windows\system32\dhcp.

Windows speichert die DHCP-Serverprotokolle jeden Wochentag in einer separaten Datei. Jede Protokolldatei wird an dem entsprechenden Wochentag überschrieben, so dass der Administrator die DHCP-Funktionen eine Woche zurückverfolgen kann. Die Protokolle sind spezifisch für die IP-Version. Das Format für IPv4-Protokolle lautet DhcpV6SrvLog-<DAY>.log, während das Format für IPv6-Protokolle DhcpV6SrvLog-<DAY>.log lautet.

So arbeiten Sie mit DHCP-Protokolldateien

Öffnen Sie die Protokolldateien mit einem normalen Texteditor. Das Protokoll beginnt mit einer Erläuterung der Ereignis-IDs. Diese Kategorien erleichtern das Auffinden der gesuchten Informationen.

Windows speichert DHCP-Server-Protokolldateien mit der Dateierweiterung .log im kommagetrennten Format, das Sie in Microsoft Excel öffnen können, um eine benutzerfreundlichere Ansicht zu erhalten.

Zu den interessanten Ereignissen für Administratoren gehören alle Fehlereinträge, wie zum Beispiel diese Ereignis-IDs und ihre Beschreibung:

• 13: Eine IP-Adresse wurde im Netzwerk verwendet.
• 14: Eine Lease-Anfrage konnte nicht erfüllt werden, da der Adresspool des Bereichs erschöpft war.
• 15: Eine Lease wurde abgelehnt.

Diese Einträge weisen darauf hin, dass ein Client versucht hat, eine Konfiguration zu leasen, der Server die Anfrage jedoch nicht erfüllen konnte.

Die am häufigsten referenzierten Felder in der Protokolldatei sind ID, Datum, Uhrzeit, Beschreibung, IP-Adresse, Hostname, MAC-Adresse (Media Access Control) und Benutzername.

Das Feld ID bezieht sich auf die Tabelle der Ereignis-IDs und fasst den allgemeinen Ereignistyp zusammen. Als Nächstes folgen Datum und Uhrzeit des Ereignisses sowie eine eventuell vorhandene Beschreibung. Wenn möglich, werden IP-Adresse, Hostname, MAC-Adresse und Benutzername aufgeführt. Nicht jedes Ereignis hat einen Eintrag in der Feldüberschrift, aber die häufigsten Einträge sind IP- und MAC-Adresse.

So überprüfen Sie DHCP-Protokolle zum Troubleshooting

Hier finden Sie einige praktische Beispiele und Methoden zur Verwendung von DHCP-Protokollen zur Identifizierung häufiger Netzwerkereignisse. Diese gelten für IPv4- und IPv6-DHCP-Bereiche.

Erfolgreiche Prozesse

Die folgenden Ereignis-IDs unterstützen den Troubleshooting-Prozess, indem sie anzeigen, dass DHCP-Client-Ereignisse erfolgreich aufgetreten sind:

• 10: Eine neue IP-Adresse wurde an einen Client geleast.
• 11: Eine Lease wurde von einem Client verlängert.
• 12: Eine Lease wurde von einem Client freigegeben.

Die meisten Einträge sollten eine erfolgreiche Lease mit der Ereignis-ID 10 anzeigen. Die Ereignis-ID 11 sollte ebenfalls häufig vorkommen und anzeigen, dass Clients ihre aktuelle Konfiguration erfolgreich wiederhergestellt haben. Rechnen Sie mit vielen dieser Ereignisse, da die meisten Systeme ihre IP-Einstellungen über einen langen Zeitraum beibehalten.

In regelmäßigen Abständen geben Client-Computer ihre IP-Konfiguration an den Server zurück. Netzwerk-Troubleshooter können das manuell mit dem Befehl ipconfig /release tun, normalerweise als Vorstufe zum Befehl ipconfig /renew, der den DORA-Prozess manuell initiiert. Diese Freigaben werden durch die Ereignis-ID 12 identifiziert.

Doppelte IP-Adressen

Administratoren müssen darauf achten, dass sie in einem Netzwerk keine identischen IP-Adressen verwenden. Die meisten Windows-Systeme entfernen sich selbst aus dem Netzwerk, wenn sie feststellen, dass ihre IP-Adresse bereits verwendet wird. Das wird mit der folgenden Ereignis-ID gemeldet:

• 13: Eine IP-Adresse wurde im Netzwerk als verwendet erkannt.

Bei ordnungsgemäßer Konfiguration werden von DHCP keine doppelten IP-Adressen vergeben. Das Problem tritt in der Regel auf, wenn Administratoren keine genauen Aufzeichnungen über statische Adresszuweisungen führen. Es ist gängige Praxis, Servern und Netzwerkgeräten statische IP-Adressen zuzuweisen, während Windows-Client-Systeme ihre IP-Einstellungen vom DHCP-Server erhalten. Wenn der DHCP-Bereich statische IP-Adressen umfasst, hat der DHCP-Server keine Möglichkeit, das zu erkennen, und vergibt verwendete Adressen.

Auf dem betroffenen Windows-Gerät wird eine Fehlermeldung angezeigt, aber es ist einfacher, die doppelte IP-Adresse durch Überprüfung der Protokolle zu ermitteln.

Verwenden Sie das in Kombination mit der Einstellung Konflikterkennungsversuche (Conflict detection attempts), die eine Adresse anpingt, bevor sie zur Vermietung angeboten wird. Wenn auf den Ping eine Antwort erfolgt, wird die Adresse verwendet.

Bereichserschöpfung (Scope Exhaustion)

Der DHCP-Bereich besteht aus dem Bereich der verfügbaren IP-Adressen. Der Bereich muss genügend Adressen enthalten, um alle Clients zu unterstützen, die eine Konfiguration benötigen. Es ist möglich, dass die Anzahl der Clients im Segment die Anzahl der verfügbaren Adressen überschreitet und die folgende Ereignis-ID angezeigt wird:

• 14: Eine Lease-Anforderung konnte nicht erfüllt werden, da der Adresspool des Bereichs erschöpft war.

Es ist zwar nicht zu erwarten, dass alle Clients gleichzeitig im Netzwerk sind, aber kurze Lease-Laufzeiten können dazu verwendet werden, nicht genutzte Adressen schnell freizugeben.

Die Anzahl der verfügbaren und belegten Adressen lässt sich leicht in der DHCP-Konsole überprüfen, aber die Protokolldatei zeigt auch einen Eintrag an, wenn ein Lease-Versuch aufgrund von Bereichserschöpfung fehlschlägt.

So archivieren Sie DHCP-Protokolle

Die Namen der DHCP-Protokolldateien verwenden abgekürzte Tagesnamen. Jede Woche überschreibt das System das entsprechende Protokoll mit einem neuen Protokoll desselben Namens, so dass der IT-Abteilung nur die sieben jüngsten Protokolldateien zur Überprüfung zur Verfügung stehen. Wenn Sie diese nicht archivieren, sind Ihre DHCP-Aufzeichnungen relativ unvollständig, was bei der Bestätigung von Service Levels oder bei der Untersuchung von Sicherheitsereignissen ein Problem darstellen kann.

Um Protokolle länger als eine Woche aufzubewahren, kopieren Sie die aktuelle Protokolldatei oder benennen Sie sie um. Kopieren Sie die Datei und hängen Sie das Kalenderdatum an den Dateinamen an, damit Sie es leichter finden. Wenn Ihr Protokoll den Namen DhcpSrvLog-Sun.log trägt, kopieren Sie es nach DhcpSrvLog-Sun-01-14-2025.log, um es zu erhalten.

Um die Protokollarchivierung zu automatisieren, verwenden Sie PowerShell. Der folgende Code kopiert die Sonntagsprotokolldatei mit einem Dateinamen, der das Datum enthält:

Copy-Item "C:\Windows\system32\dhcp\*Sun.log" "C:\Windows\system32\dhcp\archive\dhcplog-Sun-$(Get-Date -UFormat %d-%m-%Y).log"

Kopieren Sie das Protokoll in einen Archivordner. Der Zielpfad ist hier in C:\Windows\system32\dhcp\archive\ geändert. Verwenden Sie das, was für Ihre Organisation sinnvoll ist.

Was sind die besten Praktiken für die DHCP-Protokollierung?

Verwenden Sie die folgenden Richtlinien und Empfehlungen, um die DHCP-Protokollierung zu optimieren und diese Protokolle effektiv zu verwalten und zu nutzen:

• Überprüfen Sie die DHCP-Protokolle proaktiv auf Umfangs- und Client-Informationen.
• Pflegen Sie DHCP, um Troubleshooting zu vermeiden.
• Implementieren Sie eine Automatisierung zur Archivierung der Protokolle für das Troubleshooting und die Prüfung.

Ein solides DHCP-Design umfasst Folgendes:

• Konfigurieren Sie die Bereichsoptionen genau.
• Erstellen Sie ausreichend viele IP-Adressen für die erwartete Anzahl von Clients.
• Legen Sie eine Lease-Dauer fest, die der Netzwerkaktivität der Clients entspricht.
• Konfigurieren Sie die DHCP-Failover für Windows-basierte DHCP-Server.
• Autorisieren Sie Windows-basierte DHCP-Server im AD.
• Verwenden Sie DHCP-Listener, wenn sich die Clients in verschiedenen Segmenten von DHCP-Servern befinden.

Verwenden Sie DHCP-Protokolle, wenn Sie das nächste Mal Ihren DHCP-Einsatz untersuchen oder Fehler beheben.