Эту процедуру можно использовать, чтобы включить ведение журнала DHCP-сервера.
Минимальным требованием для выполнения этой процедуры является членство в группе «Администраторы» или «Администраторы DHCP».
Включение ведения журнала DHCP-сервера |
-
Откройте оснастку DHCP MMC-консоли.
-
В дереве консоли выберите DHCP-сервер, который требуется настроить.
-
В меню Действие выберите команду Свойства.
-
На вкладке Общие выберите Вести журнал аудита DHCP, а затем нажмите кнопку ОК.
Анализ файлов журнала сервера
В Windows Server 2008 файлы журнала DHCP-сервера по умолчанию настроены для управления ростом файла журнала и экономии дисковых ресурсов. Журналы аудита DHCP по умолчанию размещаются в папке %windir%\System32\Dhcp.
В следующем разделе описывается формат этих файлов журнала и метод их использования для сбора дополнительной информации о работе службы DHCP-сервера в сети.
Формат файла журнала DHCP-сервера
Журналы DHCP-сервера - это текстовые файлы с разделением запятой, где каждая запись представляет одну строку текста. Далее указаны поля (и порядок их появления) в записи файла журнала:
Идентификатор, дата, время, описание, IP-адрес, имя узла, MAC-адрес
Все эти поля подробно описаны в следующей таблице.
Поле | Описание |
---|---|
Идентификатор |
Идентификатор события DHCP-сервера. |
Дата |
Дата внесения этой записи в журнал DHCP-сервера. |
Время |
Время внесения этой записи в журнал DHCP-сервера. |
Описание |
Описание события DHCP-сервера. |
IP-адрес |
IP-адрес клиента DHCP. |
Имя узла |
Имя узла клиента DHCP. |
MAC-адрес |
MAC-адрес, используемый сетевым адаптером клиента. |
Журнал DHCP-сервера: стандартные коды событий
Файлы журнала аудита DHCP-сервера используют зарезервированные коды идентификаторов для предоставления сведений о типе события или действия сервера в журнале. В следующей таблице идентификаторы событий описываются более подробно.
Код события | Описание |
---|---|
00 |
Начато ведение журнала. |
01 |
Ведение журнала закончено. |
02 |
Ведение журнала временно приостановлено из-за недостаточного места на диске. |
10 |
Клиенту выделен новый IP-адрес. |
11 |
Выделенный адрес обновлен клиентом. |
12 |
Выделенный адрес освобожден клиентом. |
13 |
IP-адрес уже используется в сети. |
14 |
Запрос на выделение адреса не удовлетворен, так как пул адресов диапазона исчерпан. |
15 |
Запрос на выделение адреса отклонен. |
20 |
Клиенту выделен BOOTP-адрес. |
События динамического обновления DNS
Если DHCP-сервер настроен для выполнения динамических обновлений DNS со стороны клиентов DHCP, можно использовать журналы аудита DHCP для анализа запросов обновления DHCP-сервера к DNS-серверу, успешных и неудачных обновлений DNS. Следующие коды событий используются для событий динамического обновления DNS.
Код события | Описание |
---|---|
30 |
Запрос динамического обновления DNS |
31 |
Ошибка динамического обновления DNS |
32 |
Успешное динамическое обновление DNS |
IP-адрес клиентского компьютера DHCP включается в журнал аудита DHCP, поэтому есть возможность отслеживать источник в случае атаки типа «отказ в обслуживании».
Журналы DHCP-сервера: события авторизации сервера
Далее указаны дополнительные коды событий журнала сервера и их описание. Эти события появляются в журналах, созданных DHCP-серверами под управлением Windows Server 2008. Они применяются к определенному DHCP-серверу и его состоянию авторизации при развертывании сред доменных служб Active Directory (AD DS).
Код события | Описание |
---|---|
50 |
Домен недостижим. DHCP-сервер не выделил определенный домен для настроенной установки Active Directory. |
51 |
Авторизация выполнена успешно. DHCP-сервер авторизован для запуска в сети. |
52 |
Обновлено до операционной системы Windows Server 2008. DHCP-сервер был обновлен до операционной системы Windows Server 2008, и поэтому возможность обнаружения неавторизованного DHCP-сервера (используется для определения того, был ли сервер авторизован в AD DS) отключена. |
53 |
Кэшированная авторизация. DHCP-сервер авторизован для запуска с помощью ранее кэшированных данных. Не удалось найти службы AD DS во время запуска сервера в сети. |
54 |
Ошибка авторизации. DHCP-сервер не авторизован для запуска в сети. После этого события зачастую следует остановка сервера. |
55 |
Авторизация (обслуживание). DHCP-сервер успешно авторизован для запуска в сети. |
56 |
Ошибка авторизация, обслуживание прекращено. DHCP-сервер не авторизован для запуска в сети, и его работа завершена операционной системой. Перед повторным запуском сервера его нужно авторизовать в службах AD DS. |
57 |
Сервер найден в домене. Другой DHCP-сервер существует и авторизован для службы в том же домене. |
58 |
Сервер не найден в домене. DHCP-серверу не удалось найти указанный домен. |
59 |
Сбой сети. Из-за сбоя сети сервер не смог определить свое состояние авторизации. |
60 |
Ни один контроллер домена не включен в службе каталогов. Не найден ни один контроллер домена под управлением Windows Server 2008. Для получения сведений о состоянии авторизации сервера необходим контроллер домена, включенный для служб AD DS. |
61 |
Найден сервер, принадлежащий домену DS. В сети найден другой DHCP-сервер, принадлежащий домену Active Directory. |
62 |
Найден другой сервер. В сети найден другой DHCP-сервер. |
63 |
Повторный запуск обнаружения мошенников. DHCP-сервер пытается еще раз определить, авторизован ли он для запуска и обслуживания в этой сети. |
64 |
Отсутствуют интерфейсы с поддержкой DHCP. У DHCP-сервера настроены привязки службы или сетевые подключения, поэтому он не может осуществлять обслуживание. Это обычно означает следующее:
|
Пример. Отрывок из журнала аудита DHCP-сервера
Далее приведен краткий отрывок из журнала аудита, созданного службой DHCP-сервера.
ID Date,Time,Description,IP Address,Host Name,MAC Address 00,04/19/99,12:43:06,Started,,, 60,04/19/99,12:43:21,No DC is DS Enabled,,MYDOMAIN, 63,04/19/99,12:43:28,Restarting rogue detection,,, 01,04/19/99,13:11:13,Stopped,,, 00,04/19/99,12:43:06,Started,,, 55,04/19/99,12:43:54,Authorized(servicing),,MYDOMAIN,
В этом примере DHCP-сервер не был авторизован при первоначальном запуске и впоследствии был остановлен. После его авторизации сервер можно перезапустить и возобновить обслуживание клиентов.
Дополнительные ресурсы
Список разделов справки, содержащих связанные с данным разделом сведения, см. в статье Рекомендованные задачи для роли DCHP-сервера.
Обновленные профессиональные сведения о DHCP см. в документации Windows Server 2008 на веб-сайте Microsoft TechNet (на английском языке).