Журнал dhcp сервера windows
Добрый день! Уважаемые читатели и гости одного из популярнейших IT блогов Pyatilistnik.org. В прошлый раз мы с вами разобрали тему по отключению защитника Windows 8.1. Сегодня мы разберем интересную тему по системному администрированию, а именно, как и где посмотреть историю аренды IP-адресов на сервере DHCP в Windows. Я расскажу вам сценарии, при которых эти знания окажутся для вас весьма полезными и необходимыми, да и вообще инженеры очень редко смотрят и изучают логи DHCP сервера.
Постановка задачи
И так у вас развернут DHCP сервер на Windows. В какой-то момент вам потребовалось выяснить, кем был зарезервирован IP-адрес, например несколько дней назад. Когда у вас время аренды большое, это сделать проще, если настроено резервирование, то это еще проще, но мы рассмотрим, что у вас время аренды, пусть будет сутки и резервирования нет. Благодаря моей инструкции вы сможете вычислить компьютер и mac-адрес устройства, кто получал нужный нам ip-адрес.
Как найти историю аренды ip-адресов DHCP
Откройте оснастку DHCP, и откройте свойства вашего пула IPV6 или IPV6. Убедитесь, что у вас включена функция «Вести журнал аудита DHCP«, если нет то включаем ее.
На вкладке «Дополнительно» вы можете посмотреть куда сохраняется журнал с событиями сервера. По умолчанию, это C:\Windows\system32\dhcp.
Переходим в каталог C:\Windows\system32\dhcp. Тут будут нужные нам файлы DhcpSrvLog.log. таких файлов будет 7, на каждый день недели.
Открыв файл вам сразу выскочит подсказка по кодам событий:
- 00 Ведение журнала начато.
- 01 Ведение журнала остановлено.
- 02 Ведение журнала временно приостановлено из-за нехватки места на диске.
- 10 Клиенту выдан новый IP-адрес.
- 11 Аренда продлена клиентом.
- 12 Аренда отменена клиентом.
- 13 IP-адрес уже используется в сети.
- 14 Запрос на аренду не может быть удовлетворен, так как исчерпан пул адресов этой области.
- 15 В аренде отказано.
- 16 Аренда удалена.
- 17 Срок аренды истек, а DNS-записи для истекших аренд не удалены.
- 18 Срок аренды истек, и DNS-записи удалены.
- 20 Клиенту выдан BOOTP-адрес.
- 21 Клиенту выдан динамический BOOTP-адрес.
- 22 Не удалось удовлетворить запрос на выдачу BOOTP-адреса, так как исчерпан пул адресов для BOOTP.
- 23 IP-адрес BOOTP удален, так как он не используется.
- 24 Начата очистка IP-адресов.
- 25 Статистика очистки IP-адресов.
- 30 Запрос на обновление DNS к именованному DNS-серверу.
- 31 Сбой обновления DNS.
- 32 Успешное обновление DNS.
- 33 Пакет отброшен в соответствии с политикой NAP.
- 34 Сбой запроса на обновление DNS. Превышено ограничение для очереди запросов на обновление DNS.
- 35 Сбой запроса на обновление DNS.
- 36 из-за несоответствия хэша ИД клиента или того, что сервер находится в режиме ожидания обработки отказа.
- 50+ Коды выше 50 используются для сведений о выявленных неавторизованных серверах.
- 11000 Обращение DHCPv6.
- 11001 Объявление DHCPv6.
- 11002 Запрос DHCPv6.
- 11003 Подтверждение DHCPv6.
- 11004 Обновление DHCPv6.
- 11005 Повторная привязка DHCPv6.
- 11006 Отклонение DHCPv6.
- 11007 Освобождение DHCPv6.
- 11008 Запрос информации DHCPv6.
- 11009 Заполнение области DHCPv6.
- 11010 Запуск DHCPv6.
- 11011 Остановка DHCPv6.
- 11012 Приостановка журнала аудита DHCPv6.
- 11013 Файл журнала DHCPv6.
- 11014 Недопустимый DHCPv6-адрес.
- 11015 DHCPv6-адрес уже используется.
- 11016 DHCPv6-клиент удален.
- 11017 DNS-запись DHCPv6 не удалена.
- 11018 Срок действия DHCPv6 истек.
- 11019 Устаревшие и удаленные аренды DHCPv6.
- 11020 Начало очистки базы данных DHCPv6.
- 11021 Окончание очистки базы данных DHCPv6.
- 11022 Запрос обновления DNS для IPv6.
- 11023 Сбой обновления DNS для IPv6.
- 11024 Успешное обновление DNS для IPv6.
- 11028 Сбой запроса обновления DNS для IPv6. Превышен предел очереди запросов на обновление DNS.
- 11029 Сбой запроса обновления DNS для IPv6.
- 11030 Записи DHCPv6-клиента без отслеживания состояния очищены.
- 11031 Запись DHCPv6-клиента без отслеживания состояния очищена, так как для нее истек интервал очистки.
- 11032 Запрос информации DHCPV6 с IPv6-клиента без отслеживания состояния.
Вот для примера, как выглядит продление аренды адреса.
Энциклопедия Windows
Все об использовании и настройке Windows
Журнал аудита DHCP
При включении журнал аудита предоставляет самую подробную информацию об ошибках в работе службы DHCP. Хотя журнал аудита по умолчанию включен, для проверки его включения можно выполнить такую последовательность действий.
1. Откройте оснастку DHCP.
2. Кликните правой кнопкой мыши на объекте сервера DHCP и выберите Свойства (Properties) из контекстного меню.
3. На вкладке Общие (General) проверьте состояние флажка Включить журнал аудита DHCP (Enable DHCP Audit Logging).
4. Перейдите на вкладку Дополнительно (Advanced) и обратите внимание на путь к файлу журнала.
5. Закройте окно свойств сервера DHCP.
Как только будет получена информация о расположении файла журнала аудита, можно просмотреть журнал на предмет ошибок. Далее описаны возможные идентификаторы событий, которые отображаются в журнале аудита, а так же соответствующие им сообщения об ошибке и действия по исправлению ошибки.
Общие события аудита
Сообщение об ошибке
Возможная ошибка и действие по ее исправлению
Включен журнал аудита. Нет проблем
Отключен журнал аудита. Это предполагает завершение диагностики. Если администратор не отключал журнал аудита, необходимо выяснить, кто это сделал!
Журнал был временно приостановлен из-за недостатка дискового пространства
Объем свободного дискового пространства стал меньше 20Мбайт (объем, принятый по умолчанию) или другого настроенного значения. Освободите дисковое пространство на сервере, удалив ненужные файлы и папки.
Клиенту выдан новый адрес IP
Новый клиент запросил и получил новый адрес IP
Клиент возобновил аренду
Клиент успешно возобновил аренду. Нет проблем.
Клиент освободил аренду
Клиент успешно освободил аренду. Нет проблем.
Адрес IP уже используется в сети
В процессе обнаружения конфликтов оказалось, что адрес IP, который сервер планировал выдать клиенту, уже находится в сети. Следовательно адрес не был выдан клиенту и использован другой адрес. Если сообщение появляется после восстановления базы данных DHCP, то это нормальное поведение, так как некоторые аренды могли выдаваться после выполнения резервного копирования. Если это не так, то необходимо найти клиентскую систему с этим адресом IP, так как скорее всего этот адрес был введен вручную в виде статического. Просмотрите динамические регистрации в доменной зоне DNS и найдите клиентский компьютер, которому соответствует этот адрес IP.
Запрос аренды не может быть выполнен из-за недостатка адресов в области
В области закончились свободные адреса IP. Для решения проблемы можно или увеличить количество адресов IP в данной области или уменьшить длительность аренды.
В аренде отказано
Клиент запросил возобновить аренду и ему было отказано. Обычно это связано с тем, что адрес IP уже связан с адресом MAC другой системы. Этот тип конфликта обычно связан с восстановлением базы данных DHCP из резервной копии.
Клиенту был выдан адрес BOOTP
Клиент получил адрес IP в аренду по протоколу BOOTP от маршрутизатора или агента ретрансляции DHCP. Это может означать нормальное поведение или отказ сервера DHCP в локальной подсети.
События аудита динамического обновления
Сообщение об ошибке
Возможная ошибка и пути ее устранения
Запрос на динамическое обновление DNS
Сервер DHCP отправил запрос на динамическое обновление данных зоны DNS. Нет проблем.
Отказ в динамическом обновлении DNS
Динамическое обновление завершилось неудачно. Убедитесь, что динамические обновления в соответствующей зоне включены. Убедитесь, что учетная запись компьютера, выполняющего роль сервера DHCP, входит в глобальную группу DnsUpdateProxy.
Динамическое обновление DNS завершено успешно
Динамическое обновление успешно завершено. Нет проблем.
События аудита неудачной авторизации
Сообщение об ошибке
Возможная ошибка и пути ее устранения
Сервер DHCP не в состоянии найти контроллер домена в своем домене. Проверьте наличие проблем в работе сети или доступность контроллеров домена.
Авторизация успешно завершена
Сервер DHCP получил разрешение на запуск в сети. Нет проблем.
Обновление до Windows Server 2003
Сервер обновлен до Windows Server 2003 и возможность обнаружения неавторизованных серверов DHCP была отключена. Нет проблем.
Серверу DHCP разрешен запуск на основе кэшированной информации авторизации. Проверьте наличие контроллеров домена или сетевого подключения к контроллерам домена.
Авторизация завершилась неудачно
Сервер DHCP не был авторизован членом группы Администраторы предприятия (Enterprise Administrators)
Сервер DHCP был успешно авторизован. Нет проблем.
Авторизация неудачна, обслуживание прекращено
Служба DHCP не была авторизована на запуск и остановлена операционной системой. Член группы Администраторы предприятия должен выдать авторизацию на запуск сервера DHCP
В домене найден сервер
В домене существует еще один авторизованный сервер DHCP. Нет проблем.
Сервер не может найти домен
Сервер DHCP не в состоянии найти свой домен. Проверьте подключение к сети контроллера домена и состояние контроллеров домена.
Сервер DHCP не в состоянии определить авторизацию из-за отказа сети.
Нет включенных контроллеров доменов с поддержкой службы каталогов
Сервер DHCP в состоянии найти контроллер домена, например, Windows NT BDC, но не может найти ни одного контроллера домена с поддержкой Active Directory. Проверьте сетевое подключение контроллера домена на основе операционной системы Windows 2000 или Windows Server 2003 (сервер DHCP требует наличия таких контроллеров домена для проверки авторизации).
Найден сервер, принадлежащий домену службы каталогов
В сети найден еще один сервер, который принадлежит тому же домену Active Directory. Нет проблем.
В сети найден еще один сервер DHCP
Это может быть сервер злоумышленников. Найдите этот сервер и при необходимости отключите.
Перезапуск обнаружения злоумышленника
Сервер DHCP пытается установить контакт с контроллером домена для проверки авторизации. Нет проблем.
Нет интерфейсом с поддержкой DHCP
Сетевые устройства отсутствуют или не подключены к сети. Убедитесь, что сетевой адаптер отображается в списке устройств Диспетчера устройств (Device Manager). Кроме этого, для сетевого адаптера должен быть установлен и настроен протокол TCP/IP с указанием статического адреса IP. После этого необходимо проверить соединение с концентратором или маршрутизатором.
Журнал dhcp сервера windows
Сообщения: 6
Благодарности: 1
Та информация которая там отображается, это отбор событий системного журнала с фильтром DHCP-Server, поэтому посмотри свойства системного лога, возможно он переполнен, или слишком мал, а DHCP сервер работает в нормальном режиме и никаких событий туда не пишет, или же они перезатираются. Если же требуется детальная информация о работе DHCP то решение здесь
Чтобы включить ведение журнала DHCP-сервера
1. Откройте консоль DHCP.
2. В дереве консоли щелкните соответствующий DHCP-сервер.
Где?
* DHCP/подходящий_DHCP-сервер
3. В меню Действие выберите команду Свойства.
4. На вкладке Общие установите флажок Вести журнал аудита DHCP и нажмите кнопку ОК.
* Чтобы открыть компонент «DHCP», нажмите кнопку Пуск, выберите команды Настройка и Панель управления, дважды щелкните значок Администрирование, а затем дважды щелкните значок DHCP.
