Mithilfe dieses Verfahrens können Sie die DHCP-Serverprotokollierung (Dynamic Host Configuration-Protokoll) aktivieren.
Sie müssen mindestens Mitglied der Gruppe Administratoren oder DHCP-Administratoren sein, um dieses Verfahren ausführen zu können.
So aktivieren Sie die DHCP-Serverprotokollierung |
Öffnen Sie das MMC-Snap-In (Microsoft Management Console) DHCP.
Klicken Sie in der Konsolenstruktur auf den DHCP-Server, den Sie konfigurieren möchten.
Klicken Sie im Menü Aktion auf Eigenschaften.
Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen DHCP-Überwachungsprotokollierung aktivieren, und klicken Sie dann auf OK.
Analysieren von Serverprotokolldateien
In Windows Server 2008 sind DHCP-Serverprotokolldateien so konfiguriert, dass standardmäßig die Vergrößerung der Protokolldateien verwaltet und die Datenträgerressourcen geschont werden. DHCP-Überwachungsprotokolle sind standardmäßig im Verzeichnis %windir%\System32\Dhcp gespeichert.
Im folgenden Abschnitt wird das Format dieser Protokolldateien erläutert und wie damit weitere Informationen zu Vorgängen im Zusammenhang mit dem DHCP-Serverdienst im Netzwerk erfasst werden können.
Format der DHCP-Serverprotokolldateien
DHCP-Serverprotokolle sind durch Kommas getrennte Textdateien, wobei jeder Protokolleintrag eine einzelne Textzeile darstellt. Es folgen die Felder (und deren Reihenfolge) in einem Protokolldateieintrag:
ID, Datum, Uhrzeit, Beschreibung, IP-Adresse, Hostname, MAC-Adresse
Jedes dieser Felder wird in der folgenden Tabelle ausführlich beschrieben:
Feld | Beschreibung |
---|---|
ID |
Eine ID für das DHCP-Serverereignis. |
Datum |
Das Datum, an dem dieser Eintrag auf dem DHCP-Server protokolliert wurde. |
Uhrzeit |
Die Uhrzeit, zu der dieser Eintrag auf dem DHCP-Server protokolliert wurde. |
Beschreibung |
Eine Beschreibung dieses DHCP-Serverereignisses. |
IP-Adresse |
Die IP-Adresse des DHCP-Clients. |
Hostname |
Der Hostname des DHCP-Clients. |
MAC-Adresse |
Die MAC-Adresse (Media Access Control), die vom Netzwerkadapter des Clients verwendet wird. |
DHCP-Serverprotokoll: Allgemeine Ereigniscodes
DHCP-Server-Überwachungsprotokolldateien verwenden reservierte Ereignis-IDs, um Informationen zur Art der protokollierten Serverereignisse oder -aktivitäten bereitzustellen. In der folgenden Tabelle werden diese Ereignis-IDs ausführlicher beschrieben.
Ereignis-ID | Beschreibung |
---|---|
00 |
Das Protokoll wurde gestartet. |
01 |
Das Protokoll wurde beendet. |
02 |
Das Protokoll wurde aufgrund von unzureichendem Speicherplatz temporär angehalten. |
10 |
Eine neue IP-Adresse wurde an einen Client verleast. |
11 |
Eine Lease wurde von einem Client erneuert. |
12 |
Eine Lease wurde von einem Client freigegeben. |
13 |
Es wurde ermittelt, dass eine IP-Adresse im Netzwerk verwendet wird. |
14 |
Eine Leaseanforderung konnte nicht erfüllt werden, da der Adresspool des Bereichs erschöpft war. |
15 |
Eine Lease wurde verweigert. |
20 |
Eine BOOTP-Adresse wurde an einen Client verleast. |
dynamische DNS-Updateereignisse
Wenn der DHCP-Server so konfiguriert ist, dass dynamische DNS-Updates (Domain Name System) im Auftrag von DHCP-Clients ausgeführt werden, können Sie mithilfe der DHCP-Überwachungsprotokolle Updateanforderungen des DHCP-Servers für den DNS-Server sowie erfolgreiche bzw. fehlgeschlagene DNS-Datensatzaktualisierungen überwachen. Die folgenden Ereignis-IDs werden für dynamische DNS-Updateereignisse verwendet:
Ereignis-ID | Beschreibung |
---|---|
30 |
Dynamische DNS-Updateanforderung |
31 |
Fehler bei dynamischem DNS-Update |
32 |
Erfolgreiches dynamisches DNS-Update |
Die IP-Adresse des DHCP-Clientcomputers ist im DHCP-Überwachungsprotokoll enthalten, damit Sie die Quelle im Falle eines Denial-of-Service-Angriffs nachverfolgen können.
DHCP-Serverprotokolle: Serverautorisierungsereignisse
Es gibt die folgenden zusätzlichen Ereignis-IDs und Beschreibungen für Serverprotokolle. Diese Ereignisse können in Protokollen vorhanden sein, die von DHCP-Servern unter Windows Server 2008 erstellt werden. Sie gehören zum jeweiligen DHCP-Server und dessen Autorisierungsstatus, wenn er in Umgebungen mit Active Directory-Domänendiensten (AD DS) bereitgestellt wird.
Ereignis-ID | Beschreibung |
---|---|
50 |
Unerreichbare Domäne Der DHCP-Server konnte die Domäne für die konfigurierte Active Directory-Installation nicht finden. |
51 |
Autorisierung erfolgreich Der DHCP-Server war autorisiert, im Netzwerk gestartet zu werden. |
52 |
Aktualisiert auf ein Windows Server 2008-Betriebssystem Der DHCP-Server wurde kürzlich auf ein Windows Server 2008-Betriebssystem aktualisiert. Deshalb wurde das Feature zur Erkennung von nicht autorisierten DHCP-Servern (mit dem bestimmt wird, ob der Server in den Active Directory-Domänendiensten autorisiert wurde) deaktiviert. |
53 |
Zwischengespeicherte Autorisierung Der DHCP-Server war autorisiert, mithilfe zuvor zwischengespeicherter Informationen gestartet zu werden. Active Directory-Domänendienste wurden nicht gefunden, als der Server im Netzwerk gestartet wurde. |
54 |
Fehler bei der Autorisierung Der DHCP-Server war nicht autorisiert, im Netzwerk gestartet zu werden. Wenn dieses Ereignis auftritt, wird wahrscheinlich anschließend der Server beendet. |
55 |
Autorisiert (Dienst gestartet) Der DHCP-Server wurde erfolgreich autorisiert, im Netzwerk gestartet zu werden. |
56 |
Autorisierung fehlgeschlagen. Dienst wurde beendet Der DHCP-Server war nicht autorisiert, im Netzwerk gestartet zu werden, und wurde vom Betriebssystem heruntergefahren. Sie müssen zuerst den Server in den Active Directory-Domänendiensten autorisieren, bevor Sie ihn erneut starten. |
57 |
Server wurde in der eigenen Domäne gefunden Ein anderer DHCP-Server ist vorhanden und ist für dieselbe Domäne autorisiert. |
58 |
Domäne wurde nicht gefunden Die angegebene Domäne wurde vom DHCP-Server nicht gefunden. |
59 |
Netzwerkfehler Ein netzwerkbezogener Fehler verhinderte die Feststellung, ob der Server autorisiert ist. |
60 |
Kein Verzeichnisdienst für Domänencontroller aktiviert Es wurde kein Domänencontroller gefunden, auf dem Windows Server 2008 ausgeführt wird. Um festzustellen, ob der Server autorisiert ist, ist ein für Active Directory-Domänendienste aktivierter Domänencontroller erforderlich. |
61 |
Server wurde gefunden, der einer Verzeichnisdienstdomäne angehört Ein anderer DHCP-Server wurde im Netzwerk gefunden, der der Active Directory-Domäne angehört. |
62 |
Anderer Server gefunden Ein anderer DHCP-Server wurde im Netzwerk gefunden. |
63 |
Rogue-Erkennung wird neu gestartet Der DHCP-Server versucht erneut zu bestimmen, ob er autorisiert ist, gestartet und im Netzwerk zur Verfügung gestellt zu werden. |
64 |
Keine DHCP-fähigen Schnittstellen Für den DHCP-Server sind die Dienstbindungen oder Netzwerkverbindungen so konfiguriert, dass von dem Server keine Dienste angeboten werden können. In diesem Fall trifft eine der folgenden Aussagen zu:
|
Beispiel: Auszug aus einem Beispiel für ein DHCP-Server-Überwachungsprotokoll
Es folgt ein kurzer Auszug mit Beispielprotokollierungsaktivitäten aus einem vom DHCP-Serverdienst generierten Überwachungsprotokoll:
ID Date,Time,Description,IP Address,Host Name,MAC Address 00,04/19/99,12:43:06,Started,,, 60,04/19/99,12:43:21,No DC is DS Enabled,,MYDOMAIN, 63,04/19/99,12:43:28,Restarting rogue detection,,, 01,04/19/99,13:11:13,Stopped,,, 00,04/19/99,12:43:06,Started,,, 55,04/19/99,12:43:54,Authorized(servicing),,MYDOMAIN,
In diesem Beispiel war der DHCP-Server nicht autorisiert, als er gestartet wurde, und wurde danach beendet. Nach der Autorisierung kann der Server erneut gestartet und Clients zur Verfügung gestellt werden.
Weitere Verweise
Eine Liste mit Hilfethemen mit entsprechenden Informationen finden Sie unter Empfohlene Aufgaben für die DHCP-Serverrolle.
Aktualisierte detaillierte Informationen zu DHCP für IT-Spezialisten finden Sie in der Dokumentation zu Windows Server 2008 auf der