[an error occurred while processing this directive] Дополнительные сведения о ведении журнала аудита и событий DHCP

[an error occurred while processing this directive]

Эту процедуру можно использовать, чтобы включить ведение журнала DHCP-сервера.

Минимальным требованием для выполнения этой процедуры является членство в группе «Администраторы» или «Администраторы DHCP».

Включение ведения журнала DHCP-сервера
  1. Откройте оснастку DHCP MMC-консоли.

  2. В дереве консоли выберите DHCP-сервер, который требуется настроить.

  3. В меню Действие выберите команду Свойства.

  4. На вкладке Общие выберите Вести журнал аудита DHCP, а затем нажмите кнопку ОК.

Анализ файлов журнала сервера

В Windows Server 2008 файлы журнала DHCP-сервера по умолчанию настроены для управления ростом файла журнала и экономии дисковых ресурсов. Журналы аудита DHCP по умолчанию размещаются в папке %windir%\System32\Dhcp.

В следующем разделе описывается формат этих файлов журнала и метод их использования для сбора дополнительной информации о работе службы DHCP-сервера в сети.

Формат файла журнала DHCP-сервера

Журналы DHCP-сервера - это текстовые файлы с разделением запятой, где каждая запись представляет одну строку текста. Далее указаны поля (и порядок их появления) в записи файла журнала:

Идентификатор, дата, время, описание, IP-адрес, имя узла, MAC-адрес

Все эти поля подробно описаны в следующей таблице.

Поле Описание

Идентификатор

Идентификатор события DHCP-сервера.

Дата

Дата внесения этой записи в журнал DHCP-сервера.

Время

Время внесения этой записи в журнал DHCP-сервера.

Описание

Описание события DHCP-сервера.

IP-адрес

IP-адрес клиента DHCP.

Имя узла

Имя узла клиента DHCP.

MAC-адрес

MAC-адрес, используемый сетевым адаптером клиента.

Журнал DHCP-сервера: стандартные коды событий

Файлы журнала аудита DHCP-сервера используют зарезервированные коды идентификаторов для предоставления сведений о типе события или действия сервера в журнале. В следующей таблице идентификаторы событий описываются более подробно.

Код события Описание

00

Начато ведение журнала.

01

Ведение журнала закончено.

02

Ведение журнала временно приостановлено из-за недостаточного места на диске.

10

Клиенту выделен новый IP-адрес.

11

Выделенный адрес обновлен клиентом.

12

Выделенный адрес освобожден клиентом.

13

IP-адрес уже используется в сети.

14

Запрос на выделение адреса не удовлетворен, так как пул адресов диапазона исчерпан.

15

Запрос на выделение адреса отклонен.

20

Клиенту выделен BOOTP-адрес.

События динамического обновления DNS

Если DHCP-сервер настроен для выполнения динамических обновлений DNS со стороны клиентов DHCP, можно использовать журналы аудита DHCP для анализа запросов обновления DHCP-сервера к DNS-серверу, успешных и неудачных обновлений DNS. Следующие коды событий используются для событий динамического обновления DNS.

Код события Описание

30

Запрос динамического обновления DNS

31

Ошибка динамического обновления DNS

32

Успешное динамическое обновление DNS

IP-адрес клиентского компьютера DHCP включается в журнал аудита DHCP, поэтому есть возможность отслеживать источник в случае атаки типа «отказ в обслуживании».

Журналы DHCP-сервера: события авторизации сервера

Далее указаны дополнительные коды событий журнала сервера и их описание. Эти события появляются в журналах, созданных DHCP-серверами под управлением Windows Server 2008. Они применяются к определенному DHCP-серверу и его состоянию авторизации при развертывании сред доменных служб Active Directory (AD DS).

Код события Описание

50

Домен недостижим.

DHCP-сервер не выделил определенный домен для настроенной установки Active Directory.

51

Авторизация выполнена успешно.

DHCP-сервер авторизован для запуска в сети.

52

Обновлено до операционной системы Windows Server 2008.

DHCP-сервер был обновлен до операционной системы Windows Server 2008, и поэтому возможность обнаружения неавторизованного DHCP-сервера (используется для определения того, был ли сервер авторизован в AD DS) отключена.

53

Кэшированная авторизация.

DHCP-сервер авторизован для запуска с помощью ранее кэшированных данных. Не удалось найти службы AD DS во время запуска сервера в сети.

54

Ошибка авторизации.

DHCP-сервер не авторизован для запуска в сети. После этого события зачастую следует остановка сервера.

55

Авторизация (обслуживание).

DHCP-сервер успешно авторизован для запуска в сети.

56

Ошибка авторизация, обслуживание прекращено.

DHCP-сервер не авторизован для запуска в сети, и его работа завершена операционной системой. Перед повторным запуском сервера его нужно авторизовать в службах AD DS.

57

Сервер найден в домене.

Другой DHCP-сервер существует и авторизован для службы в том же домене.

58

Сервер не найден в домене.

DHCP-серверу не удалось найти указанный домен.

59

Сбой сети.

Из-за сбоя сети сервер не смог определить свое состояние авторизации.

60

Ни один контроллер домена не включен в службе каталогов.

Не найден ни один контроллер домена под управлением Windows Server 2008. Для получения сведений о состоянии авторизации сервера необходим контроллер домена, включенный для служб AD DS.

61

Найден сервер, принадлежащий домену DS.

В сети найден другой DHCP-сервер, принадлежащий домену Active Directory.

62

Найден другой сервер.

В сети найден другой DHCP-сервер.

63

Повторный запуск обнаружения мошенников.

DHCP-сервер пытается еще раз определить, авторизован ли он для запуска и обслуживания в этой сети.

64

Отсутствуют интерфейсы с поддержкой DHCP.

У DHCP-сервера настроены привязки службы или сетевые подключения, поэтому он не может осуществлять обслуживание. Это обычно означает следующее:

  • Сетевые подключения сервера не установлены или не подключены к сети.

  • На сервере не настроен хотя бы один статический IP-адрес для одного из установленных активных сетевых подключений.

  • Все статические настроенные сетевые подключения для сервера отключены.

Пример. Отрывок из журнала аудита DHCP-сервера

Далее приведен краткий отрывок из журнала аудита, созданного службой DHCP-сервера.

ID Date,Time,Description,IP Address,Host Name,MAC Address
00,04/19/99,12:43:06,Started,,,
60,04/19/99,12:43:21,No DC is DS Enabled,,MYDOMAIN,
63,04/19/99,12:43:28,Restarting rogue detection,,,
01,04/19/99,13:11:13,Stopped,,,
00,04/19/99,12:43:06,Started,,,
55,04/19/99,12:43:54,Authorized(servicing),,MYDOMAIN,

В этом примере DHCP-сервер не был авторизован при первоначальном запуске и впоследствии был остановлен. После его авторизации сервер можно перезапустить и возобновить обслуживание клиентов.

Дополнительные ресурсы

Список разделов справки, содержащих связанные с данным разделом сведения, см. в статье Рекомендованные задачи для роли DCHP-сервера.

Обновленные профессиональные сведения о DHCP см. в документации Windows Server 2008 на веб-сайте Microsoft TechNet (на английском языке).


[an error occurred while processing this directive]