12.07.2022, aktualisiert um 11:29:58 Uhr

5315

DHCP immer voll

Moin Moin zusammen,

es geht um ein Netzwerk mit einem DC inkl. DHCP Server und das ganze mit einem Subnetz von 255.255.255.0 . Im Netzwerk sind rund 100 Geräte mit festen IP Adressen somit sind also noch rund 150 Adressen für den DHCP frei. Jetzt gibt es im Netz IP-Telefone, Handys, Tabletts usw. Das Leas ist mittlerweile auf 1 Minute eingestellt und trotzdem läuft der DHCP immer voll. Es scheint, als würde das Leas nicht geleert.
Wie würdet Ihr hier vorgehen? Netzwerk einfach erweitern auf z.B. 255.255.254.0?
Oder gibt es eine Möglichkeit den DHCP vollständig zu bereinigen in einem gewissen zeitlichen Abstand?

Dank und Gruß HeinrichM

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 3318557230

Url: https://administrator.de/contentid/3318557230

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

23 Kommentare

Neuester Kommentar

Wer macht denn im Moment den DHCP und was ist dort eingestellt?

Auf dem DC ist der DHCP installiert Server 2019 Standard. Eingestellt ist, dass er die Adressen von 1-254 mit Ausnahme von 100-200 verteilen darf, was er auch tut.

~~Warum steht so eine Frage in der Foren Rubrik "Off Topic" ???~~

Gibt ja nur 2 Möglichkeiten.

A: Netz vergrößern
B: Zweites Netz schaffen.

Gruss

Morgen,

Und über die Lease-Tabelle des DHCP-Servers solltest du eigentlich sehen, wer die Adressen bekommt.

Der erste grundlegende Schritt wäre das Netzwerk sauber zu segmentieren.
Wenn das Firmen-Handys/Tablets sind, dann sollten die ja auch über ein MDM verwaltet werden. Dort im WLAN-Profil die Mac-Randomization für das Firmennetz ausschalten.
Private Geräte müssen sowieso in ein eigenes Netz
IP-Telefone ebenso

Gruß

Moin,
segmentieren, d.h. IP-Telefone, Handys, Tabletts usw. in ein eigenes Netz packen. Du kannst ja sehen wer sich immer eine (neue) IP holt.

Zitat von @HeinrichM:

Auf dem DC ist der DHCP installiert Server 2019 Standard. Eingestellt ist, dass er die Adressen von 1-254 mit Ausnahme von 100-200 verteilen darf, was er auch tut.

WS hat tolle Logs.
Was ist die Erkenntnis bei auswerten der Logs?

Es gibt einige Lösungsansätze, die aber von eurer Infrastruktur abhängig sind. Ein LAN durch die Maske zu erweitern wäre eine Option. Ist aber mMn nicht optimal, da die Gefahr groß ist, dass man dann ein großes Netz für alles hat.

Wie oben einige schreiben, wäre eine Segmentierung, physisch oder virtuell (VLAN) je nach Switch/Firewall möglich. Prinzipiell bei 100+ Netzwerkgeräten verschiedener Art sollte man das schon allein aus Sicherheitsgründen machen.

DHCP kann ja weiterhin auf dem DC bleiben und verschiedene Zonen und Netze versorgen. L2/L3 DHCP Relay bzw. Option 82 helfen hier weiter.

Moin,

Ganz einfach: Wenn die Tabelle immer voll ist, hast Du zuviele Geräte in dem Segment. Schau wer alles eine Adresse will und segmentiere Dein Netz sinnvoll. Dann löst sich das Problem in Luft auf.

lks

PS: wenn Du schon 100 Geräte mit statischen IP-Adressen in Deinem Netz drin hast, ist das schon mehr als genug. Da wird es höchste Zeit, zu Segmentieren.

Hello

Zitat von @HeinrichM:
Jetzt gibt es im Netz IP-Telefone, Handys, Tabletts usw.

Wieviele? 200? 😂

Solange ein Gerät eingeschalten ist, wird die IP nicht freigegeben. Schau einfach nach, welche Geräte gleichzeitig eine IP haben.

vlans?!

Hallo,

Warum steht so eine Frage in der Foren Rubrik "Off Topic" ???

Naja dann kann man hinterher sagen "Stand ja auch bzw. sowieso im "Off Topic!"

vlans?!

Warum das Fragezeichen? Nicht so schüchtern!

In VLANs segmentieren wäre hier die Lösung.
- VLAN0 Admin - 192.168.1.0/24
- VLAN1 PCs - 192.168.2.0/24 statische IPs
- VLAN2 Server - 192.168.3.0/24 statische IPs
- VLAN3 Drucker - 192.168.4.0/24 statische IPs
- VLAN4 WLAN (Firma) - 192.168.5.0/24 statische IPs
- VLAN5 WLAN Gäste - 192.168.6.0/24 dynamische IPs
- VLAN6 VOIP - 192.168.7.0/24 statische IPs
- VLAN7 Kameras - 192.168.8.0/24 statische IPs

Statische IPs entweder händisch oder per DHCP (Klient bekommt immer wieder die selbe IP)
oder aber via Radius Zertifikat wenn denn so herum möglich.

Per LDAP und/oder Radius Server mit Zertifikaten die dann den Klienten in das "richtige" VLAN "packen"
würde ich hier mal raten wollen. Es sei denn die Switche ermöglichen das nicht oder sind zu schwach.

Dobby

In VLANs segmentieren wäre hier die Lösung.

Generell richtig!
Intelligenter ist es dann aber bei einem /24er Prefix die VLAN ID ins 3te Byte zu "kodieren". Das erleichtert das Management...

- VLAN1 PCs - 192.168.1.0/24 statische IPs
- VLAN2 Server - 192.168.2.0/24 statische IPs
- VLAN3 Drucker - 192.168.3.0/24 statische IPs usw.
VLAN ID 0 gibt es nicht bzw. ist nicht definiert genau wie die IDs über 4090 sind das funktionale IDs die Tabu sind.
Segementieren in VLANs ist aber generell der richtige Weg. Kollege @itisnapanto hat es schon gesagt. Goldene Netzwerker Regel die jeder kennt: In einer L2 Broadcast Domain sollten nie mehr als max. 150 Client (plus/minus) sein!
Wenn der TO nicht mehr als diese 200 Adressen benötigt sollte er die Lease Time auf max. 12 Stunden stellen so werden ungenutzte IPs nach einem Arbeitstag sofort in den Pool der freien Adressen zurückgegeben.

Hast du den DHCP mit einem FailoverServer? Vielleicht verbraucht der deine Adressen denn der behält sich auch 5-10%.

Sicher das du keine Netzbereiche ausgeschlossen hast?

Du könntest die Datenbank sichern und wiederherrstellen hat bei mir schon mal geholfen.

Hallo,

dass Netzwerksegmentierung sinnvoll ist, darauf haben die Kollegen weiter oben schon mehrfach hingewiesen. Dieses macht aus netzwerktechnischer ("Faustregel: nicht mehr als 100-150 Geräte pro Netzwerksegment", um den Broadcast niedrig zu halten) wie sicherheitstechnischer Sicht (der BSI-Grundschutz spricht sinngemäß davon Geräte mit ähnlichem Schutzniveau in separate (V)LANs zu stecken; also bspw. kein Rechner mit Personaldaten im gleichen Netzwerk wie ein Drucker oder BYOD) Sinn.

Zu deinem eigentlichen Problem:

Gibt es in der Adressleases-Tabelle doppelte Einträge bei "Client-IP-Adresse", "Name" oder "Eindeutige ID" (aka MAC-Adresse)? Sollte nicht sein. Wenn dir die Tabelle zu unübersichtlich/unhandlich ist, kannst du sie exportieren ("weitere Aktionen") und mit dem Werkzeug deiner Wahl beackern. (z. B. mit Excel nach Spalten sortieren, doppelte Einträge hervorheben, etc.)
Sind Reservierungen vorgenommen worden und die Geräte existieren vielleicht nicht mehr? Diese nicht mehr verwendeten Reservierungen reduzieren die im Pool zur Verfügung stehenden IPs.
Ist der Haken bei "A- und PTR-Einträge beim Löschen der Lease verwerfen" auf den Reitern DNS gesetzt?

Auch würde ich die Lease-Zeit von 1 Minute (das ist sicherlich nur zum Test, um den Fehler einzugrenzen) überdenken, da schon nach Hälfte der Zeit, also alle 30 Sekunden, der Client einen DHCP-Refresh anfordert. Viel DHCP-Traffic. Kann natürlich auch für den Moment Sinn machen, um ein gewünschtes Verhalten zu provozieren, wenn beispielsweise Wireshark was aufzeichnen soll und man nicht den ganzen Tag darauf warten kann.

Grüße
TA

Zitat von @TwistedAir:

Ist der Haken bei "A- und PTR-Einträge beim Löschen der Lease verwerfen" auf den Reitern DNS gesetzt?

Ja der ist gesetzt.

Danke für die vielen Antworten. Ich denke wir werden das mit dem VLAN mal verfolgen um das ganze Netzt zu entzerren.

Gruß HeinrichM

Guten Morgäähhhn

Ich würde trotzdem schauen, warum die Leases nicht freigegeben werden. Sonst laufen Dir auch VLANs voll. Zuviele Clients und zuwenig IPs? .... oder werden die IPs nicht freigeben, wenn es den Client nicht (mehr) gibt? .... oder .....

Zitat von @Franz-Josef-II:

Guten Morgäähhhn

Ich würde trotzdem schauen, warum die Leases nicht freigegeben werden. Sonst laufen Dir auch VLANs voll. Zuviele Clients und zuwenig IPs? .... oder werden die IPs nicht freigeben, wenn es den Client nicht (mehr) gibt? .... oder .....

Ja klar muss ich auch machen. Jetzt müssen wir uns aber erstmal um das VLAN kümmern. Da gibt es ja auch viele Beiträge hier im Forum und viel was man falsch machen kann. Muss mich da mal einlesen.

Gruß HeinrichM