Windows 2003 DHCP 伺服器 - 填充了錯誤的地址條目
我們的 WIndows Server 2003 DHCP 範圍被 BAD ADDRESS 租約填充。這發生在我們開始將 Vista 部署到域之後。當使用者斷開其有線連接並重新插入備用位置時,這種情況最為普遍。
我在 DHCP 伺服器上執行了 wireshark,可以看到客戶端機器拒絕 DHCP 地址。客戶端請求 DHCP 地址,如 Wireshark 日誌中的 DHCP REQUEST 條目所證明的,並且緊隨其後的是 DHCP DECLINED 條目。受此影響的筆記型電腦數量有限(目前只有 Vista,但當我們的地址用完時,它確實會影響我們的 XP 和其他筆記型電腦)它拒絕的地址是有效的並且目前未使用。
我已經關閉了 DHCP 伺服器上的衝突檢測,但它仍然用 BAD ADDRESS 條目填充它。在這些情況下,使用者無法獲得 IP 地址。
另一個可能相關的問題是有幾個使用者在他們的筆記型電腦和工作站上報告 IP 地址衝突消息。這些都由同一個 DHCP 伺服器提供服務。當他們斷開有線或無線連接或讓他們的機器退出休眠模式時,問題最為明顯。
我認為這是由 Vista 中的某些問題引起的,但尚未通過部署 SP2 解決。使用者報告這兩個問題(無法獲得地址,IP 地址衝突)的所有機器都在執行 Vista,而執行 XP 的機器只收到 IP 地址衝突消息。
DHCP 租用時間為 3 天。這應該減少嗎?我應該重新啟用衝突檢測嗎?或者我應該把 XP SP3 放在我可以的機器上?
有 2 台 DHCP 伺服器在執行,它們共享相同的範圍但相互排斥,這是為了在發生故障時按照 80:20 規則覆蓋我們。問題發生在我添加第二個 DHCP 伺服器之前。
我已經掃描了網路中的惡意 DHCP 伺服器,我還禁用了我們的 DHCP 伺服器(當時只有一個)並請求了一個 DHCP 地址,但沒有收到。
此外,大多數受影響的機器都在執行虛擬 PC 或虛擬伺服器。
我們的問題源於一組特定的情況。Vista SP1 + SP2
“移動”使用者
無線覆蓋不完整,切換不佳
使用者將他們的機器進入休眠狀態,然後在網路上移動它們
這導致 Symantec Endpoint Protection,特別是網路威脅防護組件出現故障。禁用此組件,問題不再出現。我有 99% 的信心是 symantec,因為我們在當天部署了 symantec 的另一個站點上遇到了完全相同的問題。
解決此問題的方法是重新啟動有問題的機器並禁用網路威脅防護。我們與賽門鐵克記錄了電話,以查看這是一個已知問題還是潛在的錯誤配置。我強烈考慮建議從賽門鐵克撤出並選擇趨勢作為我們的 A/V 提供商。
BAD_ADDRESS 是 IP 地址衝突,因此 DHCP 伺服器在嘗試 ping 這些地址時顯然會得到回复。您是否嘗試過從 DHCP 伺服器手動使用 ping?您還可以嘗試查看 arp 記憶體(命令行 shell 中的 arp -a)。