laster
Goto Top

DHCP Server wird mit BAD-ADDRESS geflutet

Guten Morgen,

habe auf einem Windows Server 2012 R2 Standard folgendes Problem.
Der Server ist DC, DNS und seit gestern DHCP (nicht optimal - weiß ich).
Der DHCP-Bereich (255 IP Adressen innerhalb eines LAN/16).
Es werden innerhalb kurzer Zeit viele Einträge erstellt.

Client-IP-Adresse: 10.1.2.14
Name: BAD_ADDRESS
Eindeutige ID: 0e02010a
Beschr.: Diese Adresse wird bereits verwendet

Client-IP-Adresse: 10.1.2.15
Name: BAD_ADDRESS
Eindeutige ID: 0f02010a
Beschr.: Diese Adresse wird bereits verwendet

...

Die Eindeitige ID ist ja die IP-Adresse (umgekehrt als Hex).

Wie kann ich das Problem beheben?

vG
LS

Content-ID: 427760

Url: https://administrator.de/forum/dhcp-server-wird-mit-bad-address-geflutet-427760.html

Ausgedruckt am: 25.12.2024 um 02:12 Uhr

certifiedit.net
certifiedit.net 13.03.2019 um 10:09:22 Uhr
Goto Top
Hallo,

würde sagen schlechte Netzplanung oder kein Netzverständnis (oder beides).


Warum ein 16er Netz?

VG
laster
laster 13.03.2019 aktualisiert um 10:12:06 Uhr
Goto Top
Warum ein 10er Netz?
Weil es so existiert.

Ist das der Grund für das beschriebene Problem??

vG
LS
certifiedit.net
certifiedit.net 13.03.2019 um 10:22:43 Uhr
Goto Top
u.a weil du offensichtlich kein Überblick über das Netz hast.
laster
laster 13.03.2019 um 10:29:40 Uhr
Goto Top
Oh, entschuldigung für die von mir gestellte Frage.

Wie kann ich sie löschen?
maddig
maddig 13.03.2019 um 10:33:42 Uhr
Goto Top
Hi,

die typische Reaktion von Level 5 Forum Mitgliedern eben....

Hast du Dot1x im Einsatz? Welche Switch Marke verwendest du?

mfg
maddig
emeriks
emeriks 13.03.2019 um 10:35:15 Uhr
Goto Top
Hi,
Beschr.: Diese Adresse wird bereits verwendet
Das ist doch eindeutig!
Der DHCP-Server soll für einen bestimmten Adressbereich Adressen ausstellen. Aber es gibt offenbar Geräte, die mit Adressen aus diesem Bereich statisch konfiguriert sind oder - ich hoffe mal nicht! - diese von einem anderen DHCP-Server erhalten haben.

Statisch vergebene Adressen auf dem DHCP-Server im Bereich als "Reservierung" anlegen. Dann weiß der DHCP-Server, dass er diese Adresse nur an eine bestimmte MAC-Adresse liefern darf. Da sich diese aber nie melden wird (der Host ist ja statisch konfiguriert) wird er diese Adresse also nie ausliefern. Die Lease bleibt dann immer "inaktiv").

E.
emeriks
emeriks 13.03.2019 um 10:36:41 Uhr
Goto Top
Zitat von @maddig:
die typische Reaktion von Level 5 Forum Mitgliedern eben....
Ja, ganz typisch, Dein Kommentar. Für Level-1-Mitglieder. Oder?
Was ich selbst denk' und tu, .....
maddig
maddig 13.03.2019 aktualisiert um 10:41:23 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @maddig:
die typische Reaktion von Level 5 Forum Mitgliedern eben....
Ja, ganz typisch, Dein Kommentar. Für Level-1-Mitglieder. Oder?
Was ich selbst denk' und tu, .....


Ich habe schon so oft von keine-ahnung oder Pjordorf solche dummen Antworten bekommen, die einfach nur dazu dienen jemanden der eine Frage stellt bloß zu stellen. Der einzige der immer nett und hilfsbereit ist, ist aqui. Tut mir leid so ist meine Wahrnehmung dieses Forums mittlerweile.

Und du weißt ja: Die Deutschen können eines am besten: Alle über einen Kamm scheren ;)

mfg
maddig
laster
laster 13.03.2019 um 10:43:57 Uhr
Goto Top
hallo maddig, danke, dass Du mir den Glauben an das Forum wieder gestärkt hast face-smile

Dot.Net ab 2.0 (bis 4.5)
Switche: D-Link DGS-1210

vG
LS
emeriks
emeriks 13.03.2019 um 10:43:59 Uhr
Goto Top
Zitat von @maddig:
Der einzige der immer nett und hilfsbereit ist, ist aqui.
Manche können einfach nichts für Ihre gute Erziehung.
certifiedit.net
certifiedit.net 13.03.2019 um 10:47:11 Uhr
Goto Top
Gratuliere, du bist deutscher. (übrigens halt ich selbst diese Aussage für schlichtweg falsch, wenn man das insbesondere auf deutsche bezieht.)

Aber ist natürlich einfacher sich auf dem Forum auszuruhen, als selbst Know How aufzubauen. Übrigens ist sein Problem hier schon zigtausend mal behandelt worden. Sogar inkl. der Variable - ich bau total unsinnigerweise größer 24er Netze auf, damit ich ja nie in die Gefahr komme, mich in Hinsicht auf Routings fortbilden zu müssen.

Übrigens, deine Aussage hilft überhaupt nicht.

Aber ist bezeichnend, dass du von einem Arzt, der nur sein eigenes kleines Netz wartet als Administrator belehrt werden kannst/musst.

..vielleicht geht's dabei aber auch nur um Preisdumping?

Viele Grüße
certifiedit.net
certifiedit.net 13.03.2019 um 10:48:33 Uhr
Goto Top
@laster

Dot.Net ab 2.0 (bis 4.5)

komplett falsches Pferd.
SachsenHessi
SachsenHessi 13.03.2019 um 10:50:40 Uhr
Goto Top
Hallo,

achte darauf, dass die ranges von statischen und DHCP sich nicht überschneiden.
Falls Ihr Clients über Image erstellt habt, wurde mit prepare gearbeitet (sonst doppelte SSID, hat den gleichen Effekt usw.) ?

SH
laster
laster 13.03.2019 um 10:55:39 Uhr
Goto Top
hallo certifiedit,

Aber ist natürlich einfacher sich auf dem Forum auszuruhen, als selbst Know How aufzubauen.
Übrigens ist sein Problem hier schon zigtausend mal behandelt worden.

Danach hatte ich zuerst gesucht, aber nix gefunden.
Falls es Deine Zeit erlaubt und Du Dich auf solch eine verachtenswerte Stufe hinabbegeben würdest, könntest Du eventuell einen kleinen Tipp zur Lösung meines Problems geben (z.B. einen der zigtausend Beiträge als Link) - aber NEIN, entschuldige, ich kann natürlich selbst suchen face-smile
emeriks
emeriks 13.03.2019 aktualisiert um 10:57:31 Uhr
Goto Top
Zitat von @laster:
Falls es Deine Zeit erlaubt und Du Dich auf solch eine verachtenswerte Stufe hinabbegeben würdest, könntest Du eventuell einen kleinen Tipp zur Lösung meines Problems geben (z.B. einen der zigtausend Beiträge als Link) - aber NEIN, entschuldige, ich kann natürlich selbst suchen face-smile
Warum sollte er? Das habe ich doch bereits getan.
kaalax
kaalax 13.03.2019 um 10:57:42 Uhr
Goto Top
Hallo laster,


Statisch vergebene Adressen auf dem DHCP-Server im Bereich als "Reservierung" anlegen. Dann weiß der DHCP-Server, dass er diese Adresse nur an eine bestimmte MAC-Adresse liefern darf. Da sich diese aber nie melden wird (der Host ist ja statisch konfiguriert) wird er diese Adresse also nie ausliefern. Die Lease bleibt dann immer "inaktiv").

Ich denke auch das dies die Lösung ist, da ich selbst einmal ein fremdes Konstrukt übernommen und mit dem gleichem Fehlerbild gekämpft habe.
laster
laster 13.03.2019 um 10:59:09 Uhr
Goto Top
hallo emeriks,

Das ist doch eindeutig!
nein.
Es sind keine statischen IP-Adr. im benannten Bereich vorhanden.
Es gibt keine Reservierungen.
Es gibt nur einen DHCP Server im LAN.

vG
LS
Archeon
Archeon 13.03.2019 aktualisiert um 11:02:58 Uhr
Goto Top
Mahlzeit,

hast du den Beitrag von @emeriks gelesen?
Der DHCP-Server soll für einen bestimmten Adressbereich Adressen ausstellen. Aber es gibt offenbar Geräte, die mit Adressen aus diesem Bereich statisch konfiguriert sind oder - ich hoffe mal nicht! - diese von einem anderen DHCP-Server erhalten haben.
Wie sieht es damit aus? In diese Richtung würde ich auch als erstes suchen.

Edit:
Ah da haben wir wohl zeitgleich geschrieben face-smile
Das bedeutet, die IP ist auch nicht erreichbar wenn der DHCP versucht sie zu vergeben das aber scheitert?
emeriks
emeriks 13.03.2019 aktualisiert um 11:01:55 Uhr
Goto Top
Zitat von @laster:
Es sind keine statischen IP-Adr. im benannten Bereich vorhanden.
Gut. Diese Info haben wir jetzt.

Dann stellt sich aber die Frage, warum der DHCP-Server bei seiner Prüfung, ob diese Adresse noch frei ist, eine Antwort bekommt. Wer antwortet da? Kann man diese Adresse anpingen und kommt dort ne Antwort? Wenn ja, dann ist sie vergeben. Und wann das zutrifft, wie, zum Geier, wenn nicht statisch oder per DHCP?
certifiedit.net
certifiedit.net 13.03.2019 um 11:03:52 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @laster:
Falls es Deine Zeit erlaubt und Du Dich auf solch eine verachtenswerte Stufe hinabbegeben würdest, könntest Du eventuell einen kleinen Tipp zur Lösung meines Problems geben (z.B. einen der zigtausend Beiträge als Link) - aber NEIN, entschuldige, ich kann natürlich selbst suchen face-smile

Warum sollte er? Das habe ich doch bereits getan.

er steht auf ABM und mutet Sie auch gerne anderen zu (anstatt know how aufzubauen und selbst zu können).
kaalax
kaalax 13.03.2019 um 11:05:50 Uhr
Goto Top
Welche Art von Geräte bzw. Betriebssysteme sind betroffen?
laster
laster 13.03.2019 um 11:07:52 Uhr
Goto Top
Wer antwortet da?
keine Ahnung

Kann man diese Adresse anpingen und kommt dort ne Antwort?
da antwortet keiner.
Die angeblichen IP-Adressen sind auch zusammenhängend, also 10.1.2.15, 10.1.2.16, 10.1.2.17, 10.1.2.18, ... bis zum Ende des Bereiches.
lcer00
Lösung lcer00 13.03.2019 um 11:09:50 Uhr
Goto Top
Hallo

da das Niveau gerade sinkt, fangen wir mit den Basics an:

Hast Du den alten DHCP abgeschaltet?

Hast Du irgendeine Art Multicast-Routing aktiviert?

Hast Du geprüft, ob es keine statischen IPs nicht gibt, oder glaubst Du das nur?

Wie war die lease-Zeit der Geräte am alten dhcp? Ist die schon abgelaufen? Wenn nein, alle Geräte einmal neu starten,

Grüße

lcer
emeriks
emeriks 13.03.2019 um 11:18:48 Uhr
Goto Top
Zitat von @laster:
Kann man diese Adresse anpingen und kommt dort ne Antwort?
da antwortet keiner.
Nicht bloß einfach Ping versuchen.
areanod
Lösung areanod 13.03.2019 aktualisiert um 11:24:48 Uhr
Goto Top
Drei Gedanken dazu:

(1) Ich hab sowas immer wieder mal gehabt bei Non-PC-Devices, wo der TCP/IP Stack schlampig bzw. zu User-freundlich implementiert ist; dies sind (erfahrungsgemäß) Drucker (im speziellen mit Marken Konica, Ricoh und Brother habe ich diese Erfahrung gemacht), die 1x via DHCP eine IP bekommen haben und diese bis zum St.Nimmerleinstag behalten, ohne (z.B. bei Neustart des Geräts) einen neuen Request beim DHCP machen.

(2) Wenn die Adressen bereits vergeben sind, find einfach mal heraus, welche Geräte diese Adresse haben. Ich kenn' den von dir genannten Switch nicht, wenn's jedoch ein managbarer Switch ist, solltest du (in der Regel) hier zumindest einen ARP Table haben, der dir MAC Adressen pro Port anzeigt. Danach könntest du schauen welches Gerät an dem betreffenden Port hängt und entsprechende Maßnahmen setzen.

Wenn du keinen smarten Switch hast kannst du entweder (A) via Windows ARP-table herausfinden, welche MAC Adresse dieser IP Adresse zugewiesen ist oder (B) mittels Wireshark den DHCP Handshake mitloggen und auswerten.
Variante (A) ist (wenn du von Wireshark keine Ahnung hast) die einfachere, hier machst du schlicht und ergreifend einen kurzen Ping auf eine der bad-addresses (damit holst du dir die ARP Infos auf den lokalen Rechner) und schaust dir dann den ARP Table via
arp -a
an.
Mit der MAC Adresse kannst du dann (wenn du Glück hast) z.B. via macvendors.com nachschauen, welcher Herstellerfirma die MAC zugewiesen wurde.

(3) Wenn es keinen echten, zwingenden Grund gibt, ein /16 zu betreiben (z.B. irgendwelche dummen Hausautomationsgeräte *seufz*) würde ich dir dringend raten das lokale Subnetz zu verkleinern und ggf. in mehrere Subnetze zu unterteilen. Dies hat mehrere sicherheitstechnische, administrative und auch netzwerktechnische Hintergründe; auf lange Sicht lebst du besser wenn du deine Broadcast Domains auf das absolute Minimum beschränkst.
Solltest du die Geräte, die BAD ADRESSes auf dem DHCP generieren NICHT finden, ist das abändern des Subnetzes auch eine großartige Möglichkeit die betreffenden Geräte zu finden; User werden sich dann nämlich relativ schnell bei dir beschweren, dass ihr Notebook, Drucker oder IoT-Kaffeetassenwärmer nicht mehr funktioniert...

Alle Angaben unter Haftungsausschluss und ohne Gewähr! ;)

lG
Areanod

EDIT: Zu lange an einer Antwort geschrieben, deswegen etwas aus dem Kontext des letzten Kommentars gefallen ;)
laster
laster 13.03.2019 um 11:22:55 Uhr
Goto Top
hallo lcer,

Hast Du den alten DHCP abgeschaltet?
klar

Hast Du irgendeine Art Multicast-Routing aktiviert?
nein, ausser die Windows-Standard ( Ziel: 224.0.0.0, MASK: 240.0.0.0, GW: Auf Verbindung)

Hast Du geprüft, ob es keine statischen IPs nicht gibt, oder glaubst Du das nur?
bin mir sicher, hab's geprüft

Wie war die lease-Zeit der Geräte am alten dhcp? Ist die schon abgelaufen?
war 1 Tag, ist abgelaufen (waren auch ca. 10 Leases).
laster
laster 13.03.2019 um 11:25:25 Uhr
Goto Top
hallo Areanod,

die aufgeführten Eindeutige ID's sind normalerweise die MAC-Adressen. In meinem Fall sind das KEINE MAC-Adressen, sondern die IP-Adresse in Hex-Form und reverse.

vG
LS
SlainteMhath
Lösung SlainteMhath 13.03.2019 um 11:39:13 Uhr
Goto Top
Moin,

häng doch mal einen Wireshark ran, und schau was auf dem Interface genau passiert.

lg,
Slainte
laster
laster 13.03.2019 um 11:41:54 Uhr
Goto Top
Hallo Slainte,

Wireshark ist seit kurzem am werkeln...
emeriks
Lösung emeriks 13.03.2019 aktualisiert um 13:06:02 Uhr
Goto Top
Zitat von @laster:
die aufgeführten Eindeutige ID's sind normalerweise die MAC-Adressen. In meinem Fall sind das KEINE MAC-Adressen, sondern die IP-Adresse in Hex-Form und reverse.
Meines Wissens ist das das normale Verhalten eines Windows DHCP-Servers bei "BAD_ADDRESS".
Stefan007
Stefan007 13.03.2019 um 13:04:52 Uhr
Goto Top
Zitat von @maddig:

Zitat von @emeriks:

Zitat von @maddig:
die typische Reaktion von Level 5 Forum Mitgliedern eben....
Ja, ganz typisch, Dein Kommentar. Für Level-1-Mitglieder. Oder?
Was ich selbst denk' und tu, .....


Ich habe schon so oft von keine-ahnung oder Pjordorf solche dummen Antworten bekommen, die einfach nur dazu dienen jemanden der eine Frage stellt bloß zu stellen. Der einzige der immer nett und hilfsbereit ist, ist aqui. Tut mir leid so ist meine Wahrnehmung dieses Forums mittlerweile.

Und du weißt ja: Die Deutschen können eines am besten: Alle über einen Kamm scheren ;)

mfg
maddig


Hi Maddig, da schließe ich mich an. Ist leider wirklich der Fall.
lcer00
lcer00 13.03.2019 um 13:38:41 Uhr
Goto Top
Hallo
Zitat von @laster:

hallo lcer,

Hast Du den alten DHCP abgeschaltet?
klar

Hast Du irgendeine Art Multicast-Routing aktiviert?
nein, ausser die Windows-Standard ( Ziel: 224.0.0.0, MASK: 240.0.0.0, GW: Auf Verbindung)

Hast Du geprüft, ob es keine statischen IPs nicht gibt, oder glaubst Du das nur?
bin mir sicher, hab's geprüft

Wie war die lease-Zeit der Geräte am alten dhcp? Ist die schon abgelaufen?
war 1 Tag, ist abgelaufen (waren auch ca. 10 Leases).

Ok. Gibt es irgendwelche anderen verbundenen Netze? Also ein Router, der (ohne NAT) irgendwohin routed?

Welche Bereiche sind aktiv, welche Ausschlüsse sind konfiguriert?

Wer war denn vorher DHCP Server?

Hat da irgendwer andere Geräte ins Netz gehängt?

Grüße

lcer
SlainteMhath
SlainteMhath 13.03.2019 um 13:40:23 Uhr
Goto Top
@lcer00
Also ein Router, der (ohne NAT) irgendwohin routed?
Du bist raus!!
SachsenHessi
SachsenHessi 13.03.2019 aktualisiert um 14:12:45 Uhr
Goto Top
Mmmm.... ich hatte mal so ein komisches IoT-Zeugs mit nem integrierten DHCP, der mir in die Suppe gespuckt hat.
Vielleicht sowas ? Ein DHCP, wo man ihn nicht vermutet ?

SH
NoHopeNoFear
NoHopeNoFear 13.03.2019 um 16:01:44 Uhr
Goto Top
Ich hatte das Gleiche Verhalten mal durch einen WLAN Repeater von AVM. Ursache hat sich mir nie erschlossen aber sobald der Repeater eingesteckt war hat er den DHCP Server mit BAD-ADRESS Einträgen geflutet. Habe damals testweise den DHCP deaktiviert und am Router aktiviert - mit ähnlichem Ergebnis. Aufklärung sollte hier tatsächlich Wireshark bringen wenn du rausfinden kannst welche MAC Adresse den Mist auslöst.
laster
laster 13.03.2019 aktualisiert um 16:04:09 Uhr
Goto Top
so, Gerät gefunden, Dienstleister kümmert sich drum ....
(ein DELL Switch)
lcer00
lcer00 13.03.2019 aktualisiert um 16:05:28 Uhr
Goto Top
Zitat von @SlainteMhath:

@lcer00
Also ein Router, der (ohne NAT) irgendwohin routed?
Du bist raus!!
Nee wieso? Wenn ein Router multicastpakete zwischen 2 Netzen durchreicht (was er nur tut, wenn er es kann und soll) können je nach Konfiguration auch dhcp-Pakete aus dem Nachbarnetz weitergereicht werden. Das wäre aber für das typische NAT zur Internetanbindung kaum zutreffend. Und da wir hier zum Szenario keine Infos haben, frage ich nach.

Grüße

lcer
emeriks
emeriks 13.03.2019 um 16:05:53 Uhr
Goto Top
Zitat von @laster:
so, Gerät gefunden, Dienstleister kümmert sich drum ....
Dieser hat DHCP-Dienst aktiviert? Oder einen DHCP-Helper? Oder was?
laster
laster 13.03.2019 um 16:14:43 Uhr
Goto Top
@icer00
Router ist nicht der Verursacher, das kann ich sicherstellen.

@emeriks
KAnn ich noch nicht sagen, das der DL sich noch nicht gemeldet hat (er betreut das SAN / iSCSI, da könnte das Problem herkommen).

vG
LS
certifiedit.net
certifiedit.net 13.03.2019 um 16:18:10 Uhr
Goto Top
hast du dem nicht vorhin vehement widersprochen? Aber warum gibst du den Task dann nicht direkt dem Dienstleister ab?
laster
laster 13.03.2019 um 17:12:29 Uhr
Goto Top
hallo certifiedit,

Aber warum gibst du den Task dann nicht direkt dem Dienstleister ab?

das habe ich getan, allerdings nicht sofort, weil ich die Möglichkeit einer einfachen Lösung für möglich hielt.

vG
Freak-On-Silicon
Freak-On-Silicon 14.03.2019 um 15:09:10 Uhr
Goto Top
Bitte schreib dann was es wirklich war.