Разное

2019 r2 служба dhcp не смогла обнаружить папку для авторизации сервера: Указанные серверы уже существуют в службе каталогов

Содержание

Указанные серверы уже существуют в службе каталогов

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз я вам рассказывал, как устанавливается и что из себя представляет DHCP сервер, на чем его можно организовывать. Уверен, что у каждого на предприятии используется данный сервис. В сегодняшней публикации я хочу вам показать решение по ошибке авторизации DHCP в Active Directory и звучит она вот так "Указанные серверы уже существуют в службе каталогов (The specified servers are already present in the directory service)".

Описание ситуации

Есть лес Active Directory, в одном из доменов была установлена служба DHCP, которая исправно работала. На данном контроллере в какой-то момент служба DHCP остановилась и пул адресов перестал быть активным, в интерфейсе было видно, что сервис запущен, но не авторизован в AD. При попытке его авторизации выскакивало окно:

Указанные серверы уже существуют в службе каталогов

или

The specified servers are already present in the directory service

Я вам уже подробно описывал процесс авторизации DHCP в Active Directory, там я рассмотрел:

  • Где прописывается запись авторизации, как ее удалить или создать заново
  • Как дать права на авторизацию
  • Устранение проблем

Как починить авторизацию DHCP

Для начала я первым делом полез в логи Windows, чтобы посмотреть что там происходит, для этого можно воспользоватся просмотром событий или утилитой Windows Admin Center. Там я нашел ошибку 1035 и 1036:

Ошибка ID 1035 и 1036: The DHCP service was unable to create or lookup the DHCP Users local group on this computer. The error code is in the data. (Службе DHCP не удалось создать или выполнить поиск локальной группы пользователей DHCP на этом компьютере. Код ошибки находится в данных.)

А так же ошибка ID 1046:

Ошибка ID 1046: The DHCP/BINL service on the local machine, belonging to the Windows Administrative domain root.pyatilistnik.org, has determined that it is not authorized to start. It has stopped servicing clients. The following are some possible reasons for this:
This machine is part of a directory service enterprise and is not authorized in the same domain. (See help on the DHCP Service Management Tool for additional information).

This machine cannot reach its directory service enterprise and it has encountered another DHCP service on the network belonging to a directory service enterprise on which the local machine is not authorized.

Some unexpected network error occurred.

(Служба DHCP/BINL на локальном компьютере, принадлежащем административному домену Windows root.pyatilistnik.org, определила, что она не авторизована для запуска. Он прекратил обслуживание клиентов. Ниже приведены некоторые возможные причины этого:
Этот компьютер является частью службы каталогов и не авторизован в том же домене. (Для получения дополнительной информации см. Справку в инструменте управления службами DHCP).

Эта машина не может связаться со своей службой каталогов, и в сети обнаружена другая служба DHCP, принадлежащая службе каталогов, на котором локальный компьютер не авторизован.

Произошла непредвиденная ошибка сети.)

Как видно из описанных выше ошибок нам нужно проверить:

  1. Сетевые настройки на интерфейсе, а именно DNS сервера
  2. Проверить нет ли блокировок со стороны антивирусных решений
  3. Нет ли старых записей авторизации в базе Active Directory
  4. Нет ли повреждений со стороны базы данных DHCP

Если обратиться к решению ошибки ID 1036 и 1035, то Microsoft советует произвести перезапуск службы:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc726946(v=ws.10)

Для этого полностью остановите службу DHCP, через все задачи "Остановить".

или можете через PowerShell:

Get-Service Dhcp | Stop-Service -Force

После этого запустите службу, через графический интерфейс или через команду:

Get-Service Dhcp | Start-Service

Проверьте появилась ли возможность авторизовать вашу службу. Если ошибка "Указанные серверы уже существуют в службе каталогов (The specified servers are already present in the directory service)" осталась, и вы в логах видите так же события ID 1046, то нужно проверить сетевые настройки. Для этого откройте окно выполнить и введите в нем ncpa.cpl, чтобы вызвать сетевые настройки.

Проверяем, что у вас не прописаны внешние DNS сервера.

Если были внесены изменения, то пробует проверить снова. Следующим, этапом я бы порекомендовал открыть командную строку от имени той учетной записи или запустите PowerShell, это не принципиально, у которой есть права "

Администратора предприятия (Enterprise Admin)", именно у него есть права на авторизацию сервиса. Далее введите команду для авторизации:

netsh dhcp add server dc01.root.pyatilistnik.org 192.168.31.3

Если все хорошо, то должно активироваться, но у меня выскочила ошибка:

Указанные серверы уже существуют в службе каталогов (The specified servers are already present in the directory service)

Помня в голове про ошибку 1046, я понимал, что либо была повреждена база данных, либо была кривая запись в контейнере Services. Давайте начнем с контейнера, напоминаю, что вам необходимо открыть утилиту ADSIEdit.msc и перейти в раздел конфигурации, там далее CN=Services,CN=Configuration,DC=root,DC=pyatilistnik,DC=org, не забудьте поменять данные на свой домен. В итоге я вижу запись dhcpServer: CN=dc01.root.pyatilistnik.org,CN=NetServices,CN=Services,CN=Configuration,DC=root,DC=pyatilistnik,DC=org

В итоге попробуйте удалить старую запись, для этого просто через контекстное меню выберите соответствующий пункт.

Обязательно произведите выключение и включение DHCP службы, как я описывал выше

Теперь пробуйте авторизовать роль, мне помогло и ошибка "Указанные серверы уже существуют в службе каталогов (The specified servers are already present in the directory service)" исчезла, запись в контейнере CN=Services,CN=Configuration,DC=root,DC=pyatilistnik,DC=org так же была пересоздана.

Переустановка роли из-за поврежденной базы

Ошибка может оставаться и проблема тут к сожалению связана с поврежденной базой данных роли. Если у вас есть бэкап, то попробуйте восстановить из него, например в случае если у вас это виртуальная машина. По умолчанию встроенное резервное копирование делается в папку:

C:\Windows\System32\dhcp\backup

Пробуем удалить и заново установить роль DHCP. Проще всего, это сделать через PowerShell

Remove-WindowsFeature DHCP -IncludeManagementTools или Uninstall-WindowsFeature DHCP -IncludeManagementTools

Первый является псевдонимом для второго. Далее перезагрузите сервер, если старая база вам не нужна зачистите все в папке C:\Windows\System32\dhcp

Install-WindowsFeature -Name DHCP -IncludeAllSubFeature

После переустановки DHCP я снова проверил с помощью BPA роль DHCP.
На этот раз было опубликовано предупреждение о том, что группа безопасности DHCP будет отсутствовать. Я использовал команду netsh для добавления группы безопасности dhcp.

C:\Windows\system32 netsh dhcp add securitygroups

Затем остановка и повторный запуск службы DHCP и другое сканирование с помощью инструмента BPA больше не отображали никаких предупреждений или ошибок. И новый идентификатор 1035/1036 больше не виден в средстве просмотра событий.

Дополнительные решения

  1. Попробуйте отключить на сервере DCHP если это Windows встроенный брандмауэр
  2. Если на сервере есть антивирус, то так же на время выключите его

Надеюсь, что вам удалось решить проблему с авторизацией DHCP сервера, на этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Устранение неполадок на клиенте DHCP

  • Чтение занимает 2 мин

В этой статье

В этой статье описывается, как устранять неполадки, возникающие на DHCP-клиентах.This article discusses how to troubleshoot problems that occur on DHCP clients.

Контрольный список по устранению неполадокTroubleshooting checklist

Проверьте следующие устройства и параметры:Check the following devices and settings:

  • Кабели подключены и работают.Cables are connected and working.

  • Фильтрация MAC включена для коммутаторов, к которым подключен клиент.MAC filtering is enabled on the switches to which the client is connected.

  • Сетевой адаптер включен.The network adapter is enabled.

  • Установлен и обновлен правильный драйвер сетевого адаптера.The correct network adapter driver is installed and updated.

  • Служба DHCP-клиента запущена и запущена.The DHCP Client service is started and running. Чтобы проверить это, выполните команду net start и найдите DHCP-клиент.To check this, run the net start

    command, and look for DHCP Client.

  • На клиентском компьютере нет портов блокировки брандмауэра 67 и 68.There is no firewall blocking ports 67 and 68 UDP on the client computer.

Журналы событийEvent logs

Изучите журналы событий администратора Microsoft-Windows-DHCP Client Events/Operation и Microsoft-Windows-DHCP Client Events.Examine the Microsoft-Windows-DHCP Client Events/Operational and Microsoft-Windows-DHCP Client Events/Admin event logs. Все события, связанные со службой клиента DHCP, отправляются в эти журналы событий.All events that are related to the DHCP client service are sent to these event logs. События клиента Microsoft-Windows-DHCP находятся в Просмотр событий в разделе журналы приложений и служб.The Microsoft-Windows-DHCP Client Events are located in the Event Viewer under Applications and Services Logs.

Команда PowerShell Get-NetAdapter-Инклудехидден предоставляет необходимые сведения для интерпретации событий, перечисленных в журналах.The "Get-NetAdapter -IncludeHidden" PowerShell command provides the necessary information to interpret the events that are listed in the logs. Например, идентификатор интерфейса, MAC-адрес и т. д.For example, Interface ID, MAC address, and so on.

Сбор данныхData collection

При возникновении проблемы рекомендуется одновременно выполнять одновременное получение данных как на клиенте DHCP, так и на стороне сервера.We recommend that you collect data simultaneously on both the DHCP client and server side when the problem occurs. Однако в зависимости от фактической проблемы можно начать исследование, используя один набор данных на DHCP-клиенте или DHCP-сервере.However, depending on the actual problem, you can also start your investigation by using a single data set on either the DHCP client or DHCP server.

Чтобы получить данные с сервера и затронутого клиента, используйте Wireshark.To collect data from the server and affected client, use Wireshark. Начните сбор в то же время на DHCP-клиенте и на компьютерах DHCP-сервера.Start collecting at the same time on the DHCP client and the DHCP server computers.

На клиенте, на котором возникла проблема, выполните следующие команды:Run the following commands on the client that is experiencing the problem:

ipconfig /release
ipconfig /renew

Затем Wireshark на клиенте и сервере.Then, stop Wireshark on the client and server. Проверьте созданные трассировки.Check the generated traces. Они должны, по крайней мере, сообщать о том, на каком этапе прекращается обмен данными.These should, at least, tell you at which stage the communication stops.

Рекомендация - Отключите или удалите службу DHCP Server, установленную на любых контроллерах доменов

  • Чтение занимает 2 мин

В этой статье

Почему это достойно внимания

Служба DHCP-сервера выполняет конфигурацию TCP/IP для клиентов DHCP, включая динамические назначения IP-адресов, спецификацию DNS-серверов и имена DNS, связанные с подключением. Контроллеры домена не требуют работы службы DHCP-сервера, а для повышения безопасности и аппаратной защиты серверов рекомендуется не устанавливать роль DHCP-сервера на контроллеры домена.

Посмотрите, как инженер по работе с клиентами объясняет проблему

Контекст и рекомендации

Dynamic Host Configuration Protocol (DHCP) — это протокол клиент/сервер, который автоматически предоставляет хост Интернет-протокола (IP) с его IP-адресом и другой соответствующей информацией о конфигурации, такой как маска подсети и шлюз по умолчанию. DHCP позволяет хостам получать необходимую информацию о конфигурации TCP/IP с сервера DHCP. DHCP также может обновлять записи DNS от имени своих клиентов.

Контроллеры домена не требуют работы службы DHCP-сервера, а для повышения безопасности и аппаратной защиты серверов рекомендуется устанавливать роль DHCP-сервера не на контроллеры домена, а на серверы-члены.

Рекомендуемые действия

Для решения этой проблемы выполните следующие действия:

  1. Остановите службу DHCP Server и отключите ее на всех затронутых контроллерах доменов.
    1. Нажмите Пуск , введите Выполнить , введите services.msc , а затем нажмите OK.
    2. В списке служб ищите службу под названием DHCP Server.
    3. Если она есть, дважды щелкните на DHCP Server.
    4. На вкладке Общие под типом Запуск выберите Отключено.
    5. Если Состояние службы "Запущена", нажмите Остановить.
    6. Нажмите кнопку ОК.
    7. Повторите эти действия для всех затронутых контроллеров доменов.
  2. Если вы подтвердили, что контроллеры домена не нуждаются в сервисах DHCP, установленных на них, вы также можете дополнительно удалить роль DHCP Server с контроллеров домена в Диспетчере серверов.
    1. В диспетчере серверов нажмите Управлять , а затем нажмите Удалить роли и функции.
    2. Нажмите кнопку Далее.
    3. Выберите локальный сервер и нажмите Далее.
    4. На странице Удалить сервер , снимите флажок DHCP-сервер.
    5. Нажмите Удалить компоненты , а затем нажмите Далее.
    6. На странице Удалить , нажмите Далее.
    7. Нажмите Удалить
    8. Когда удаление будет завершено, нажмите Закрыть.
    9. Повторите эти действия для всех затронутых контроллеров доменов.

Примечание. Удаление роли DHCP-сервера также удаляет службу DHCP-сервера из списка служб.

Чтобы оставить отзыв по Services Hub или содержимому в целом, отправьте свой отклик через UserVoice. По конкретным запросам и обновлениям контента, касающимся Services Hub, пожалуйста, свяжитесь в нашей командой поддержки, чтобы отправить обращение.

DHCP не включен на сетевом адаптере в Windows 10 и Windows 7

Самая популярная проблема при подключении ПК или ноутбука к интернету, это когда вроде бы все подключили, но интернет не работает. В этом случае может быть очень много разных симптомов, причин и решений. Первым делом нужно выяснить в чем причина. Рекомендую ориентироваться на ошибки, которые отображаются в Windows. Мало кто сразу запускает диагностику неполадок. А зря, ведь если само средство диагностики и устранения неполадок не сможет все исправить, то хотя бы сообщит нам об ошибке и подскажет где и как искать проблему. Как в нашем случае с ошибкой "DHCP не включен на сетевом адаптере...", которую можно увидеть в Windows 10, Windows 7 и т. д.

Когда после подключения кабеля, или после подключения к Wi-Fi сети (или попытки подключения) вы видите ошибку "Неопознанная сеть", "Подключение к интернету отсутствует", "Нет подключения. Вы не подключены ни к одной сети", "Без доступа к интернету" и т. д., то запустите диагностику неполадок.

Вполне возможно, что в процессе диагностики появится ошибка "DHCP не включен на сетевом адаптере Беспроводная сеть" (при подключении по Wi-Fi):

Или "DHCP не включен на сетевом адаптере Ethernet" (это в Windows 10, при подключении к интернету с помощью сетевого кабеля). В Windows 7 будет указан адаптер Подключение по локальной сети, или Беспроводное сетевое соединение.

При этом в самой системе (в моем случае в Windows 10) статус подключения к сети будет выглядеть примерно вот так (может немного отличаться в зависимости от способа подключения):

Если у вас все примерно так же, то вы зашли по адресу. Сейчас покажу, как можно решить эту проблему. Но сначала несколько слов о том, почему появляется эта ошибка, и почему этот DHCP не включен на сетевом адаптере.

Если просто и коротко, то DHCP позволяет Windows автоматически получать IP-адреса от роутера, или оборудования вашего интернет-провайдера. А эта ошибка появляется тогда, когда DHCP не может автоматически получит адреса, или не может получить те адреса, которые прописаны вручную. Чаще всего это происходит после того, как сам пользователь, или какой-то софт меняет настройки DHCP в свойствах адаптера "Беспроводная сеть", или "Ethernet". Это в Windows 10. А в Windows 7 это адаптеры "Беспроводное сетевое соединение" и "Подключение по локальной сети".

Как исправить ошибку "DHCP не включен на сетевом адаптере..." в Windows 10?

Для Windows 8 и Windows 7 эти рекомендации так же должны подойти. Некоторые пункты меню и настройки могут немного отличатся. Я буду показывать все на примере Windows 10.

Решение №1: через диагностику сетей Windows

Если вам повезет, то сразу после запуска средства диагностики появится следующее сообщение: "Автоматически обновлять параметры сети. В системе поддерживается автоматическое определение параметров сети". Не задумываясь нажимайте на "Внести это исправление".

Или после того, как будет обнаружена проблема, например, "DHCP не включен на сетевом адаптере Беспроводная сеть" нажмите на пункт "Попробуйте выполнить восстановление от имени администратора".

Если системе удастся автоматически решить эту проблему, то напротив обнаруженной проблемы появится надпись "Исправлено" и интернет заработает.

Если не получится с первого раза, то перезагрузите компьютер и запустите диагностику неполадок повторно.

Решение №2: проверяем настройки DHCP вручную

Первым делом нам нужно открыть окно "Сетевые подключения". Сделать это можно с помощью команды ncpa.cpl. Нажмите сочетание клавиш Win+R, скопируйте эту команду в поле "Открыть" и нажмите "Ok".

Дальше нужно нажать правой кнопкой мыши и открыть "Свойства" того адаптера, при подключении через который у вас возникла эта ошибка. В случае с Windows 10: "Ethernet" – это подключение по кабелю, а "Беспроводная сеть" – подключение по Wi-Fi.

Дальше выделяем протокол "IP версии 4 (TCP/IPv4)" и нажимаем на кнопку "Свойства". Выставляем автоматическое получение IP и DNS адресов, как показано на скриншоте ниже и нажимаем "Ok".

Если подключение к интернет не появится и статус "Неопознанная сеть" возле адаптера не пропадает, то убедитесь, что вы меняли настройки именно того адаптера, через который выполняете подключение. Так же выполните перезагрузку компьютера.

Выше я показал два основных решения, с помощью которых чаще всего удается избавится от этой ошибки. Если у вас ничего не получилось – смотрите другие решения.

Дополнительные решения и подсказки

  1. Сделайте сброс настроек сети. Здесь инструкция для Windows 10, а здесь для Windows 7 и Windows 8.
  2. Если подключение через роутер – перезагрузит его. Проверьте, работает ли интернет на других устройствах (через этот же роутер). Чтобы выяснит в чем причина, можете почитать статью Роутер перестал раздавать интернет. Как найти причину и устранить ее.
  3. Если кабель к компьютеру подключен напрямую от интернет-провайдера, то отключите его и подключите заново. Перезагрузите компьютер. Так же желательно позвонить в поддержку провайдера и выяснить, нет ли неполадок на их стороне. Или попробовать подключить интернет к другому компьютеру.
  4. Вспомните, что вы делали на компьютере перед появлением ошибки "DHCP не включен на сетевом адаптере". Возможно таким образом получится найти причину и устранить ее. Если перед этим вы что-то устанавливали или меняли настройки, и не знаете как все вернуть обратно – напишите в комментариях.
  5. Еще одна похожая ошибка: Сетевой адаптер не имеет допустимых параметров настройки IP. Посмотрите, возможно это ваш случай.
  6. Попробуйте прописать настройки IP вручную. Как это сделать, я показывал в этой статье.
  7. На всякий случай попробуйте полностью остановить работу антивируса. Если он установлен на вашем компьютере.
  8. Желательно выполнить переустановку сетевого адаптера. Для этого нужно зайти в диспетчер устройств и удалить сетевую карту, или Wi-Fi адаптер (в зависимости от того, с каким адаптером у вас проблемы).
    После удаления и перезагрузки компьютера может понадобится повторная установка драйвера. Здесь вам может пригодится инструкция по установке драйвера для сетевой карты и инструкция по установке (обновлению) драйвера Wi-Fi адаптера.
  9. Не лишней будет проверка компьютера на разного рода вирусы и вредоносное ПО с помощью специальных антивирусных утилит. Можно использовать AdwCleaner, Dr.Web CureIt!, Kaspersky AVP Tool, CrystalSecurity, AVZ и другие.

Вы всегда можете написать мне в комментариях ниже. Зачем? Например, чтобы подробно рассказать о своей проблеме (по теме этой статьи). Возможно я смогу заметить то, что не заметили вы и подсказать вам какое-то решение. Или же вы можете поделиться своим решением, если его нет в статье. Или просто написать, каким способом вам удалось избавится от ошибки с отключенным DHCP на сетевом адаптере.

Служба DHCP-клиента выдает ошибку «Отказано в доступе» в Windows 10

Протокол динамической конфигурации хоста (DHCP) – это протокол клиент-сервер, который, по сути, позволяет подключаться к Интернету через Ethernet или WiFi. Если вы получили сообщение об ошибке « Windows не удалось запустить клиент DHCP на локальном компьютере », или если служба клиента DHCP выдает сообщение Ошибка 5 Отказано в доступе в Windows 10 , а затем прочитайте это руководство, чтобы решить проблему.

Служба DHCP-клиента выдает ошибку «Отказано в доступе»

DHCP-клиент доступен в качестве службы и передает информацию о конфигурации, такую ​​как IP-адрес, Mac-адрес, имя домена и т. Д., На компьютер. Если эта служба останавливается или ОС не может получить к ней доступ, компьютер не будет получать динамические IP-адреса и обновления DNS.

1] Проверьте разрешения для DHCP

Чтобы получить полное разрешение для раздела реестра, нажмите кнопку «Пуск», затем введите regedit в поле поиска.

Щелкните правой кнопкой мыши файл regedit.exe и выберите команду «Запуск от имени администратора». При появлении запроса введите имя пользователя и пароль и нажмите кнопку «ОК».

Перейдите к следующему ключу:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DHCP \ Configurations

Нажмите правой кнопкой мыши клавишу Конфигурации и выберите Разрешения.

В разделе Группы или имена пользователей выберите свою учетную запись.

В столбце Разрешить в разделе Разрешения установите флажки Полный доступ и Чтение.

Нажмите Применить, затем нажмите ОК.

Если ваше имя отсутствует, нажмите кнопку «Добавить». Затем введите свое имя пользователя на компьютере и добавьте его. Затем подайте заявку на разрешения.

Далее перейдите к следующей клавише:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Dhcp

Нажмите правой кнопкой мыши на ключе DHCP , выберите «Разрешения» и нажмите «Дополнительно». В столбце «Имя» выберите тот, в котором указано MpsSvc , и нажмите «Изменить».

В столбце «Разрешить» убедитесь, что установлены флажки «Запрос», «Создать значение», «Перечислить подразделы», «Уведомить», «Чтение». Возможно, вам придется нажать «Показать дополнительные разрешения», чтобы открыть полный список разрешений.

Нажмите ОК, чтобы закрыть окно, затем нажмите Применить, затем нажмите ОК.

Если MpsSvc отсутствует в списке, нажмите «Добавить», а затем выполните поиск « NT SERVICE \ mpssvc ». Добавьте это и примените вышеуказанные разрешения.

2] Перезапустите службу DHCP .

После применения всех разрешений, вот последняя проверка, которую вы должны выполнить. Откройте services.msc, найдите службу DHCP-клиент и проверьте, работает ли она. Нажмите на Стоп, а затем запустите его снова. Также убедитесь, что для его типа запуска установлено значение Автоматически . Многие другие сетевые сервисы зависят от этого, и если это не удастся, то и другие.

Сообщите нам, помогли ли эти советы решить вашу проблему

Связанное чтение . Windows не удалось запустить службу. В доступе отказано.

Исправить Невозможно связаться с вашим сервером DHCP ошибка в Windows 10

При попытке обновить IP-адрес, если вы получили сообщение Невозможно связаться с вашим DHCP-сервером на вашем компьютере с Windows, то это сообщение может вам помочь. Истекшие IP-адреса могут прервать ваше интернет-соединение. Таким образом, в такой ситуации рекомендуется освободить и обновить IP-адрес.

Чтобы сделать это, откройте окно командной строки с повышенными правами и введите следующие команды, нажимая Enter после каждого:

 ipconfig/release
ipconfig/renew 

Теперь, если это не работает для вас и при попытке освободить или обновить IP-адрес, вы можете увидеть следующую ошибку:

Невозможно связаться с вашим сервером DHCP

Ошибка означает, что NIC не может связаться с сервером DHCP и, следовательно, не может освободить новые IP-адреса. Причин для этой проблемы может быть много, и мы обсудим их один за другим с решениями:

  1. Обновите драйверы сети
  2. Запустите средство устранения неполадок сетевого адаптера
  3. Запустите/Перезапустите службу клиента DHCP.

1] Обновите драйверы сети

Одна из основных причин этой проблемы – устаревшие сетевые драйверы. Таким образом, вы можете обновить сетевые драйверы раньше всего.

Нажмите Win + R, чтобы открыть окно «Выполнить» и введите команду devmgmt.msc. Нажмите Enter, чтобы открыть диспетчер устройств.

В диспетчере устройств разверните список сетевых адаптеров. Щелкните правой кнопкой мыши по параметру сетевого адаптера Broadcom и выберите «Обновить драйвер».

После обновления драйвера перезагрузите систему.

2] Запустите средство устранения неполадок сетевого адаптера.

Средство устранения неполадок сетевого адаптера проверяет наличие проблем с сетевым адаптером и устраняет их, если это возможно. Процедура запуска средства устранения неполадок сетевого адаптера выглядит следующим образом:

Нажмите кнопку «Пуск», а затем символ в виде шестеренки, чтобы открыть меню «Настройки».

Перейдите в раздел «Обновления и безопасность»> «Устранение неполадок». Выберите средство устранения неполадок сетевого адаптера и запустите его.

Перезагрузите систему, как только закончите.

3] Отключить IPv6 на активном соединении

Время от времени, если IPv6 включен для активных соединений, и это вызывает проблему. Таким образом, вы можете отключить IPv6 следующим образом:

Нажмите Win + R, чтобы открыть окно «Выполнить» и введите команду ncpa.cpl. Нажмите Enter, чтобы открыть окно «Сетевые подключения». Щелкните правой кнопкой мыши активное подключение к Интернету и выберите «Свойства».

В списке в окне снимите флажок, соответствующий интернет-протоколу версии 6.

Нажмите OK, чтобы сохранить настройки и перезагрузить систему.

4] Запуск/перезапуск службы клиента DHCP

В случае, если служба DHCP-клиента остановлена ​​или неактивна, вы можете запустить/перезапустить ее из диспетчера служб.

Нажмите Win + R, чтобы открыть окно «Выполнить» и введите команду services.msc. Нажмите Enter, чтобы открыть окно диспетчера служб.

В списке служб (в алфавитном порядке) щелкните правой кнопкой мыши службу DHCP-клиент и выберите Пуск/Перезагрузка .

Перезагрузите систему и проверьте, решит ли она проблему.

Windows 2019 RRAS Server не может использовать DHCP-сервер в той же подсети для выдачи клиентам RRAS

Привет,

Я уже дважды видел это при настройке новых серверов Windows 2019. Совсем недавно я представил новую Windows 2019 для замены старого сервера Windows 2008 R2 в качестве нашего сервера RRAS. Простая установка: один домен, одна подсеть, один контроллер домена, небольшая среда. При перемещении службы RRAS на сервер Windows 2019 она не может получить IP-адреса с DHCP-сервера для выделения запрашивающим их клиентам L2TP / PPTP.При подключении к серверу через PPTP / L2TP на сервере Windows 2019 появлялась следующая ошибка:

RoutingDomainID- {00000000-0000-0000-0000-000000000000}: CoId = {156257C0-6202-48A0-9E81-D3A5FCF0A2B9}: домен пользователя \ kevinr, подключенный к порту VPN4-79, был отключен, так как не удалось согласовать сетевые протоколы. .

RoutingDomainID- {: IP-адрес недоступен для передачи клиенту удаленного доступа

Переустановка сервера RRAS на сервере не исправила

Мне удалось заставить это работать, вручную создав диапазон IP-адресов в RRAS для раздачи, но, делая это таким образом, я не могу получить соответствующую информацию о суффиксе DNS, которая будет предоставлена ​​клиентам VPN.Таким образом, они не могут получить доступ к ресурсам, просто используя имя сервера, им нужно ввести полное доменное имя, что для нетехнических специалистов - настоящая боль, чтобы пройти их и исправить.

До сих пор я настроил два сервера Windows 2019 для использования служб RRAS в моих клиентских средах, и такое поведение произошло на обоих серверах. Я попытался перенести службы DHCP на тот же сервер, что и служба RRAS на сервере Windows 2019, но это тоже не помогло.

Кто-нибудь испытывал подобное раньше? Мне интересно, является ли это известной проблемой со службами RRAS Windows 2019, и интересно, есть ли у MSFT официальное исправление для этого.

Спасибо,
T

Решено: Служба DHCP не может запустить доступ запрещен. (Windows 10/8/7) - wintips.org

Последнее обновление: 11 апреля 2018 г.

Если вы не можете подключиться к Интернету через сеть Wi-Fi или LAN, потому что служба DHCP-клиента не запускается и вы получаете сообщение «Ошибка 5: Доступ запрещен» в журнале событий, то прочтите это руководство, чтобы исправить проблему.

Проблема «Не удалось запустить службу DHCP-клиента на локальном компьютере.Ошибка 5: Отказано в доступе "может произойти на любом компьютере под управлением Windows (с ОС Windows 7, 8 или 10) после обновления Windows или после заражения вредоносным ПО, которое скомпрометировало разрешения в службе клиента DCHP или в любой другой службе, которая требуется от система для доступа к сети и Интернету или для бесперебойной работы.

Когда служба DHCP остановлена ​​(или не может быть запущена), на вашем устройстве возникают следующие симптомы / проблемы:
1. Вы получаете сообщение об ошибке « Windows не может запустить службу DHCP-сервера на локальном компьютере. Ошибка 5: доступ. отклонено "в средстве просмотра событий.
2. Ваше сетевое соединение (WiFi или LAN) не работает.
3. Вы увидите красный крестик на значке сети, который означает, что ваше сетевое соединение не работает.
4. Вы получите желтый восклицательный знак на значке сети, что у вас ограниченный доступ к сети.
5. Вы не можете получить доступ к локальной сети или Интернету («Нет доступа в Интернет» или «Ограниченный доступ»).

Как исправить: служба DHCP не запускается: доступ запрещен (Windows 10/8/7)

Шаг 1. Сканирование на наличие вирусов и вредоносных программ.

Вирусы или вредоносные программы могут привести к неправильной работе вашего ПК. Поэтому, прежде чем продолжить устранение неполадок, используйте это Руководство по сканированию и удалению вредоносных программ, чтобы проверить и удалить вирусы и / или вредоносные программы, которые могут работать на вашем компьютере.

Шаг 2. Измените разрешения реестра DHCP и TCPIP.

Первый метод решения проблемы «DHCP не запускается - доступ запрещен» - предоставить права полного управления объектам «NETWORKSERVICE» и «NT SERVICE \ DHCP» по следующим ключам: DHCP и TCP / IP /.Для этого:

1. Одновременно нажмите клавиши Windows + R , чтобы открыть окно команд запуска.
2. Введите regedit и нажмите . Введите .

3. На левой панели перейдите к этому ключу:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Dhcp

4. Щелкните правой кнопкой мыши ключ DHCP и выберите Permissions .

5. Щелкните Добавить , введите сетевая служба и щелкните ОК.

6. Щелкните Добавить еще раз, введите nt service \ dhcp и щелкните ОК.

7. Выберите «СЕТЕВАЯ СЛУЖБА» и установите флажок « Полный доступ» , чтобы предоставить СЕТЕВОЙ СЛУЖБЕ права полного управления ключом DHCP, и щелкните ОК .

8. Выберите «Dhcp» и установите флажок « Полный доступ» , чтобы предоставить «Dchp» разрешения на полный доступ к ключу DHCP, и нажмите OK .

9. Затем перейдите к следующему ключу:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ TcpIp

10. Выполните те же шаги (4-8) и дайте полные разрешения «NETWORKSERVICE» и «NT SERVICE \ DHCP» для ключа TCPIP .

11. Когда закончите, закройте редактор реестра и перезагрузите компьютер.
12. После перезагрузки проверьте, устранена ли ошибка «DHCP-клиент не может запуститься». Если нет, переходите к следующему шагу.

Шаг 3. ИСПРАВИТЬ ошибку «DHCP-клиент: доступ запрещен» из командной строки.

1. Откройте командную строку с повышенными привилегиями {Командная строка (администратор)}. Для этого:

а. В поле поиска введите: cmd или , командная строка
b.Щелкните правой кнопкой мыши командную строку (результат) и выберите Запуск от имени администратора .

2. В командной строке введите следующую команду, чтобы добавить «NT Authority \ Local Service» в группу администраторов, и нажмите . Введите :

.

3. Когда закончите, дайте эту команду, чтобы сбросить каталог Winsock до чистого состояния, и нажмите Введите :

4. Перезагрузите компьютер в соответствии с инструкциями и проверьте подключение к Интернету.

Вот оно! Сообщите мне, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Пожалуйста, поставьте лайк и поделитесь этим руководством, чтобы помочь другим.

Если эта статья была для вас полезной, поддержите нас, сделав пожертвование. Даже 1 доллар может иметь огромное значение для нас в наших усилиях продолжать помогать другим, сохраняя при этом этот сайт бесплатным: Смотрите лучшие предложения на Woot! Компания-амазонка доступна только сегодня. Бесплатная доставка для членов Prime! Если вы хотите, чтобы постоянно защищал от вредоносных угроз, существующих и будущих , мы рекомендуем вам установить Malwarebytes Anti-Malware PRO , нажав ниже (мы действительно зарабатываете комиссию от продаж, произведенных по этой ссылке, но без дополнительных затрат для вас.У нас есть опыт работы с этим программным обеспечением, и мы рекомендуем его, потому что оно полезно и полезно):

Полная защита домашнего ПК - Защитите до 3 ПК с помощью НОВОГО ПО Malwarebytes Anti-Malware Premium!

dhcp []



pemtic

: 21.04.2014
№: 151,464
: 11



: 21, 2014 19:43: dhcp []

: pemtic (04, 2014 17:00), 2 ()

!
Антарес

: 06.04.2003
#: 4,954
: 128



: 21, 2014 21:08:

vlaryk
Гуру сетей

: 28.01.2009
#: 75,624
: 8484
:

: 157


: 21, 2014 23:13:


_________________
, "", ""
Windows!
pemtic

: 21.04.2014
№: 151,464
: 11



: 22, 2014 0:37:

pemtic

: 21.04.2014
№: 151,464
: 11



: 22, 2014 0:46:

vlaryk
Гуру сетей

: 28.01.2009
#: 75,624
: 8484
:

: 157


: 22, 2014 0:56:


_________________
, "", ""
Windows!
pemtic

: 21.04.2014
№: 151,464
: 11



: 23, 2014 17:30:

pemtic

: 21.04.2014
№: 151,464
: 11



: 23, 2014 17:42:

ALex_hha
Гуру Unix

: 20.04.2005
#: 25,862
: 5511
:. .

: 37


: 23, 2014 20:03:

pemtic

: 21.04.2014
№: 151,464
: 11



: 25, 2014 13:26:

!
.
optimism.ru

Руководство по настройке командной строки устройства обеспечения безопасности Cisco, версия 7.2 - Настройка служб DHCP, DDNS и WCCP [Межсетевые экраны Cisco ASA серии 5500-X]


Настройка служб DHCP, DDNS и WCCP


В этой главе описывается, как настроить DHCP-сервер, методы обновления динамического DNS (DDNS) и WCCP на устройстве безопасности.DHCP предоставляет DHCP-клиентам параметры конфигурации сети, такие как IP-адреса. Устройство безопасности может предоставлять DHCP-сервер или услуги ретрансляции DHCP для клиентов DHCP, подключенных к интерфейсам устройства безопасности. Сервер DHCP предоставляет параметры конфигурации сети непосредственно клиентам DHCP. Ретранслятор DHCP передает запросы DHCP, полученные на одном интерфейсе, на внешний сервер DHCP, расположенный за другим интерфейсом.

Обновление

DDNS объединяет DNS с DHCP. Эти два протокола дополняют друг друга: DHCP централизует и автоматизирует распределение IP-адресов; Обновление DDNS автоматически записывает связь между назначенными адресами и именами хостов через заранее определенные интервалы.DDNS позволяет часто обновлять ассоциации адрес-имя хоста. Например, мобильные хосты могут свободно перемещаться по сети без вмешательства пользователя или администратора. DDNS обеспечивает необходимое динамическое обновление и синхронизацию сопоставления имени с адресом и адреса с именами на DNS-сервере.

WCCP определяет взаимодействие между одним или несколькими маршрутизаторами, коммутаторами уровня 3 или устройствами безопасности и одним или несколькими веб-кэшами. Эта функция прозрачно перенаправляет выбранные типы трафика группе механизмов веб-кеширования для оптимизации использования ресурсов и сокращения времени отклика.

Эта глава состоит из следующих разделов:

• Настройка DHCP-сервера

• Настройка служб ретрансляции DHCP

• Настройка динамического DNS

• Настройка служб веб-кэша с помощью WCCP

Настройка DHCP-сервера

В этом разделе описывается, как настроить DHCP-сервер, предоставляемый устройством безопасности. Этот раздел включает в себя следующие темы:

• Включение DHCP-сервера

• Настройка параметров DHCP

• Использование IP-телефонов Cisco с DHCP-сервером

Включение DHCP-сервера

Устройство безопасности может действовать как DHCP-сервер.DHCP - это протокол, который предоставляет сетевые настройки хостам, включая IP-адрес хоста, шлюз по умолчанию и DNS-сервер.


Примечание DHCP-сервер устройства безопасности не поддерживает запросы BOOTP.

В многоконтекстном режиме нельзя включить DHCP-сервер или DHCP-ретрансляцию на интерфейсе, который используется более чем одним контекстом.


Вы можете настроить DHCP-сервер на каждом интерфейсе устройства безопасности. У каждого интерфейса может быть свой собственный пул адресов.Однако другие параметры DHCP, такие как DNS-серверы, имя домена, параметры, время ожидания проверки связи и серверы WINS, настраиваются глобально и используются DHCP-сервером на всех интерфейсах.

Вы не можете настроить DHCP-клиент или службы DHCP Relay на интерфейсе, на котором включен сервер. Кроме того, клиенты DHCP должны быть напрямую подключены к интерфейсу, на котором включен сервер.

Чтобы включить DHCP-сервер на заданном интерфейсе устройства безопасности, выполните следующие действия:


Шаг 1 Создайте пул адресов DHCP.Введите следующую команду, чтобы определить пул адресов:

 hostname (config) #  dhcpd   address   ip_address  -ip_address  interface_name
  
 

Устройство защиты назначает клиенту один из адресов из этого пула для использования в течение заданного периода времени. Эти адреса являются локальными непереведенными адресами напрямую подключенной сети.

Пул адресов должен находиться в той же подсети, что и интерфейс устройства безопасности.

Шаг 2 (Необязательно) Чтобы указать IP-адрес (а) DNS-серверов, которые будет использовать клиент, введите следующую команду:

 имя хоста (конфигурация) #  dhcpd dns   dns1  [ dns2 ]
 
 

Вы можете указать до двух DNS-серверов.

Шаг 3 (Необязательно) Чтобы указать IP-адрес (а) WINS-серверов, которые будет использовать клиент, введите следующую команду:

 hostname (config) #  dhcpd wins   wins1  [ wins2 ]
 
 

Можно указать до двух серверов WINS.

Шаг 4 (Необязательно) Чтобы изменить срок аренды, предоставляемый клиенту, введите следующую команду:

 hostname (config) #  dhcpd lease  lease_length
 
 

Эта аренда равна времени (в секундах), в течение которого клиент может использовать выделенный ему IP-адрес до истечения срока аренды. Введите значение от 300 до 1 048 575. Значение по умолчанию - 3600 секунд.

Шаг 5 (Необязательно) Чтобы настроить доменное имя, используемое клиентом, введите следующую команду:

 hostname (config) #  dhcpd domain   domain_name
  
 

Шаг 6 (Необязательно) Чтобы настроить значение тайм-аута ping DHCP, введите следующую команду:

 hostname (config) #  dhcpd ping_timeout   миллисекунды
  
 

Чтобы избежать конфликтов адресов, устройство безопасности отправляет два пакета проверки связи ICMP на адрес перед назначением этого адреса клиенту DHCP.Эта команда определяет значение тайм-аута для этих пакетов.

Шаг 7 (Режим прозрачного брандмауэра) Определите шлюз по умолчанию. Чтобы определить шлюз по умолчанию, который отправляется клиентам DHCP, введите следующую команду.

 hostname (config) # dhcpd option 3 ip  gateway_ip
  
 

Если вы не используете опцию 3 DHCP для определения шлюза по умолчанию, клиенты DHCP используют IP-адрес интерфейса управления.Интерфейс управления не маршрутизирует трафик.

Шаг 8 Чтобы включить DHCP-демон в устройстве безопасности для прослушивания запросов DHCP-клиента на включенном интерфейсе, введите следующую команду:

 hostname (config) #  dhcpd enable   interface_name
  
 

Например, чтобы назначить диапазон от 10.0.1.101 до 10.0.1.110 хостам, подключенным к внутреннему интерфейсу, введите следующие команды:

 hostname (config) #  dhcpd address 10.0.1.101-10.0.1.110 внутри
  
 имя хоста (конфигурация) #  dhcpd dns 209.165.201.2 209.165.202.129
  
 hostname (config) #  dhcpd выигрывает 209.165.201.5
  
 hostname (config) #  dhcpd lease 3000
  
 hostname (config) #  dhcpd domain example.com
  
 hostname (config) #  dhcpd enable inside
  
 

Настройка параметров DHCP

Вы можете настроить устройство безопасности для отправки информации о параметрах DHCP, перечисленных в RFC 2132.Параметры DHCP попадают в одну из трех категорий:

• Параметры, возвращающие IP-адрес.

• Параметры, возвращающие текстовую строку.

• Параметры, возвращающие шестнадцатеричное значение.

Устройство безопасности поддерживает все три категории параметров DHCP. Чтобы настроить параметр DHCP, выполните одно из следующих действий:

• Чтобы настроить параметр DHCP, который возвращает один или два IP-адреса, введите следующую команду:

 hostname (config) # dhcpd option  code  ip  addr_1  [ addr_2 ]
 
 

• Чтобы настроить параметр DHCP, который возвращает текстовую строку, введите следующую команду:

 hostname (config) # dhcpd option  code  ascii  text
  
 

• Чтобы настроить параметр DHCP, который возвращает шестнадцатеричное значение, введите следующую команду:

 hostname (config) # dhcpd option  code  hex  value 
 
 

Примечание Устройство безопасности не проверяет, соответствуют ли тип и значение параметра, которые вы предоставляете, ожидаемому типу и значению для кода параметра, как определено в RFC 2132.Например, вы можете ввести команду dhcpd option 46 ascii hello , и устройство безопасности примет конфигурацию, хотя опция 46 определена в RFC 2132 как ожидание однозначного шестнадцатеричного значения. Дополнительные сведения о кодах опций и связанных с ними типах и ожидаемых значениях см. В RFC 2132.


В Табл. 10-1 показаны параметры DHCP, которые не поддерживаются командой dhcpd option .

Таблица 10-1 Неподдерживаемые параметры DHCP

Код опции Описание

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END


Для настройки IP-телефонов Cisco используются определенные параметры DHCP, параметры 3, 66 и 150.См. Раздел «Использование IP-телефонов Cisco с DHCP-сервером» для получения дополнительных сведений о настройке этих параметров.

Использование IP-телефонов Cisco с DHCP-сервером

Предприятия с небольшими филиалами, которые реализуют решение Cisco IP Telephony для передачи голоса по IP, обычно внедряют Cisco CallManager в центральном офисе для управления IP-телефонами Cisco в небольших филиалах. Такая реализация позволяет централизованно обрабатывать вызовы, уменьшает необходимое оборудование и устраняет необходимость администрирования дополнительных Cisco CallManager и других серверов в филиалах.

IP-телефоны Cisco загружают свою конфигурацию с сервера TFTP. Когда IP-телефон Cisco запускается, если для него не настроены как IP-адрес, так и IP-адрес сервера TFTP, он отправляет запрос с опцией 150 или 66 на сервер DHCP для получения этой информации.

• Опция 150 DHCP предоставляет IP-адреса списка серверов TFTP.

• Параметр DHCP 66 дает IP-адрес или имя хоста отдельного сервера TFTP.

IP-телефоны Cisco

могут также включать в свои запросы параметр DHCP 3, который устанавливает маршрут по умолчанию.

IP-телефоны Cisco

могут включать в себя опции 150 и 66 в одном запросе. В этом случае DHCP-сервер устройства безопасности предоставляет значения для обоих параметров в ответе, если они настроены на устройстве безопасности.

Вы можете настроить устройство безопасности для отправки информации для большинства параметров, перечисленных в RFC 2132. В следующем примере показан синтаксис для любого номера параметра, а также синтаксис для часто используемых параметров 66, 150 и 3:

• Чтобы предоставить информацию для запросов DHCP, которые включают номер опции, как указано в RFC-2132, введите следующую команду:

 hostname (config) #  dhcpd option  number value
 
 

• Чтобы указать IP-адрес или имя TFTP-сервера для опции 66, введите следующую команду:

 hostname (config) #  dhcpd option 66   ascii   server_name
  
 

• Чтобы предоставить IP-адрес или имена одного или двух серверов TFTP для опции 150, введите следующую команду:

 hostname (config) #  dhcpd option 150   ip   server_ip1  [ server_ip2 ]
 
 

server_ip1 - это IP-адрес или имя первичного TFTP-сервера, а server_ip2 - IP-адрес или имя вторичного TFTP-сервера. С помощью опции 150 можно определить максимум два TFTP-сервера.

• Чтобы установить маршрут по умолчанию, введите следующую команду:

 hostname (config) #  dhcpd option 3   ip   router_ip1 
 
 

Настройка служб ретрансляции DHCP

Агент ретрансляции DHCP позволяет устройству безопасности пересылать запросы DHCP от клиентов на маршрутизатор, подключенный к другому интерфейсу.

На использование агента ретрансляции DHCP действуют следующие ограничения:

• Агент ретрансляции не может быть включен, если также включена функция DHCP-сервера.

• Клиенты должны быть напрямую подключены к устройству безопасности и не могут отправлять запросы через другой агент ретрансляции или маршрутизатор.

• Для режима с несколькими контекстами нельзя включить ретрансляцию DHCP на интерфейсе, который используется более чем одним контекстом.


Примечание Службы DHCP-ретрансляции недоступны в режиме прозрачного межсетевого экрана.Устройство безопасности в режиме прозрачного брандмауэра пропускает только трафик ARP; для всего остального трафика требуется список доступа. Чтобы разрешить запросы и ответы DHCP через устройство безопасности в прозрачном режиме, вам необходимо настроить два списка доступа: один, который разрешает запросы DCHP от внутреннего интерфейса к внешнему, а другой разрешает ответы от сервера в другом направлении.



Примечание Когда ретрансляция DHCP включена и определено более одного сервера ретрансляции DHCP, устройство безопасности перенаправляет запросы клиентов на каждый определенный сервер ретрансляции DHCP.Ответы с серверов также пересылаются клиенту до тех пор, пока не будет удалена привязка DHCP-ретранслятора клиента. Привязка удаляется, когда устройство безопасности получает любое из следующих сообщений DHCP: ACK, NACK или отклонение.


Чтобы включить ретрансляцию DHCP, выполните следующие действия:


Шаг 1 Чтобы установить IP-адрес DHCP-сервера на интерфейсе, отличном от интерфейса DHCP-клиента, введите следующую команду:

 hostname (config) #  dhcprelay server  ip_address if_name
 
 

Эту команду можно использовать до 4 раз для идентификации до 4 серверов.

Шаг 2 Чтобы включить ретрансляцию DHCP на интерфейсе, подключенном к клиентам, введите следующую команду:

 hostname (config) # dhcprelay enable interface
 
 

Шаг 3 (Необязательно) Чтобы установить количество секунд, разрешенных для согласования адреса реле, введите следующую команду:

 hostname (config) # dhcprelay timeout, секунды
 
 

Шаг 4 (Необязательно) Чтобы изменить первый адрес маршрутизатора по умолчанию в пакете, отправленном с DHCP-сервера, на адрес интерфейса устройства безопасности, введите следующую команду:

 hostname (config) #  dhcprelay setroute   interface_name
  
 

Это действие позволяет клиенту установить маршрут по умолчанию, указывающий на устройство безопасности, даже если сервер DHCP указывает другой маршрутизатор.

Если в пакете нет опции маршрутизатора по умолчанию, устройство безопасности добавляет один, содержащий адрес интерфейса.


Следующий пример позволяет устройству безопасности пересылать запросы DHCP от клиентов, подключенных к внутреннему интерфейсу, на сервер DHCP на внешнем интерфейсе:

 имя хоста (конфигурация) #  сервер dhcprelay   201.168.200.4
  
 hostname (config) # dhcprelay enable  inside
  
 hostname (config) #  dhcprelay setroute   внутри
  

Настройка динамического DNS

В этом разделе описаны примеры настройки устройства безопасности для поддержки динамического DNS.Обновление DDNS объединяет DNS с DHCP. Эти два протокола дополняют друг друга: DHCP централизует и автоматизирует выделение IP-адресов, а динамическое обновление DNS автоматически записывает связь между назначенными адресами и именами хостов. Когда вы используете DHCP и динамическое обновление DNS, это автоматически настраивает хост для доступа к сети всякий раз, когда он подключается к IP-сети. Вы можете найти хост и связаться с ним, используя его постоянное уникальное имя хоста DNS. Например, мобильные хосты могут свободно перемещаться без вмешательства пользователя или администратора.

DDNS обеспечивает сопоставление адресов и доменных имен, чтобы узлы могли находить друг друга, даже если их назначенные DHCP IP-адреса часто меняются. Отображение имени и адреса DDNS хранится на DHCP-сервере в двух записях ресурсов: запись A RR содержит сопоставление имени с IP-адресом, а RR PTR сопоставляет адреса с именами. Из двух методов для выполнения обновлений DDNS - стандарта IETF, определенного в RFC 2136, и общего метода HTTP - устройство безопасности поддерживает метод IETF в этом выпуске.

Две наиболее распространенные конфигурации обновления DDNS:

• DHCP-клиент обновляет A RR, в то время как DHCP-сервер обновляет PTR RR.

• Сервер DHCP обновляет записи A и PTR RR.

Как правило, DHCP-сервер поддерживает записи записей DNS PTR от имени клиентов. Клиенты могут быть настроены для выполнения всех желаемых обновлений DNS. Сервер может быть настроен на выполнение этих обновлений или нет. Чтобы обновить PTR RR, DHCP-сервер должен знать полное доменное имя клиента.Клиент предоставляет серверу полное доменное имя, используя параметр DHCP, называемый полным доменным именем клиента.

Следующие примеры представляют эти распространенные сценарии:

• Пример 1: Клиент обновляет записи A и PTR для статических IP-адресов

• Пример 2: Клиент обновляет записи A и PTR RR; DHCP-сервер выполняет запрос на обновление клиента; Полное доменное имя предоставляется через конфигурацию

• Пример 3: Клиент включает параметр FQDN, указывающий серверу не обновлять RR; Сервер переопределяет клиента и обновляет оба RR.

• Пример 4: Клиент просит сервер выполнить оба обновления; Сервер настроен на обновление только записи записи PTR; Уважает запрос клиента и обновления A и PTR RR

• Пример 5: Клиент обновляет RR; Обновления сервера PTR RR

Пример 1. Клиент обновляет записи A и PTR для статических IP-адресов

В следующем примере клиент настраивает запрос на обновление записей ресурсов A и PTR для статических IP-адресов.Чтобы настроить этот пример, выполните следующие действия:


Шаг 1 Чтобы определить метод обновления DDNS, называемый ddns-2, который запрашивает у клиента обновление записей A и PTR RR, введите следующие команды:

 hostname (config) #  ddns update method ddns-2
  
 hostname (DDNS-update-method) #  ddns both
  
 

Шаг 2 Чтобы связать метод ddns-2 с интерфейсом eth2, введите следующие команды:

 имя хоста (метод обновления DDNS) #  интерфейс eth2
  
 hostname (config-if) #  ddns update ddns-2
  
 hostname (config-if) #  ddns обновить имя хоста asa.example.com
  
 

Шаг 3 Чтобы настроить статический IP-адрес для eth2, введите следующие команды:

 имя хоста (config-if) #  IP-адрес 10.0.0.40 255.255.255.0
  

Пример 2: Клиент обновляет записи A и PTR RR; DHCP-сервер выполняет запрос на обновление клиента; Полное доменное имя, предоставленное через конфигурацию

В следующем примере конфигурируется 1) DHCP-клиент для запроса обновления записей A и PTR RR и 2) DHCP-сервер для обработки запросов.Чтобы настроить этот пример, выполните следующие действия:


Шаг 1 Чтобы настроить DHCP-клиент на запрос, чтобы DHCP-сервер не выполнял обновления, введите следующую команду:

 hostname (config) #  dhcp-client update dns server none
  
 

Шаг 2 Чтобы создать метод обновления DDNS с именем ddns-2 на DHCP-клиенте, который запрашивает у клиента выполнение обновлений A и PTR, введите следующие команды:

 hostname (config) #  ddns update method ddns-2
  
 hostname (DDNS-update-method) #  ddns both
  
 

Шаг 3 Чтобы связать метод с именем ddns-2 с интерфейсом устройства безопасности с именем Ethernet0 и включить DHCP на интерфейсе, введите следующие команды:

 имя хоста (метод обновления DDNS) #  интерфейс Ethernet0
  
 hostname (if-config) #  ddns update ddns-2
  
 hostname (if-config) #  ddns обновить имя хоста asa.example.com
  
 имя хоста (if-config) #  ip-адрес dhcp
  
 

Шаг 4 Чтобы настроить DHCP-сервер, введите следующую команду:

 имя хоста (if-config) #  dhcpd update dns
  

Пример 3: Клиент включает параметр FQDN, указывающий серверу не обновлять RR; Сервер переопределяет клиента и обновляет оба RR.

В следующем примере клиент DHCP настраивается для включения параметра FQDN, указывающего серверу DHCP не обновлять обновления A или PTR.В примере также настраивается сервер для переопределения клиентского запроса. В результате клиент отключается, не выполняя никаких обновлений.

Чтобы настроить этот сценарий, выполните следующие действия:


Шаг 1 Чтобы настроить метод обновления с именем ddns-2 для запроса на выполнение обновлений A и PTR RR, введите следующие команды:

 hostname (config) #  ddns update method ddns-2
  
 hostname (DDNS-update-method) #  ddns both
  
 

Шаг 2 Чтобы назначить метод обновления DDNS с именем ddns-2 на интерфейсе Ethernet0 и указать имя хоста клиента (asa), введите следующие команды:

 имя хоста (метод обновления DDNS) #  интерфейс Ethernet0
  
 hostname (if-config) #  ddns update ddns-2
  
 hostname (if-config) #  ddns обновить имя хоста asa.example.com
  
 

Шаг 3 Чтобы включить функцию DHCP-клиента в интерфейсе, введите следующие команды:

 hostname (if-config) #  dhcp client update dns server none
  
 имя хоста (if-config) #  ip-адрес dhcp
  
 

Шаг 4 Чтобы настроить DHCP-сервер на переопределение запросов на обновление клиента, введите следующую команду:

 hostname (if-config) #  dhcpd update dns both override
  

Пример 4: Клиент просит сервер выполнить оба обновления; Сервер настроен на обновление только записи записи PTR; Уважает запрос клиента и обновления A и PTR RR

В следующем примере сервер настраивает по умолчанию только обновления PTR RR.Однако сервер выполняет запрос клиента на выполнение обновлений A и PTR. Сервер также формирует полное доменное имя, добавляя имя домена (example.com) к имени хоста, предоставленному клиентом (asa).

Чтобы настроить этот сценарий, выполните следующие действия:


Шаг 1 Чтобы настроить DHCP-клиент на интерфейсе Ethernet0, введите следующие команды:

 hostname (config) #  interface Ethernet0
  
 hostname (config-if) #  dhcp client update dns both
  
 hostname (config-if) #  ddns обновить имя хоста asa
  
 

Шаг 2 Чтобы настроить DHCP-сервер, введите следующие команды:

 hostname (config-if) #  dhcpd update dns
  
 hostname (config-if) #  пример домена dhcpd.com
  

Пример 5: Клиент обновляет RR; Обновления сервера PTR RR

В следующем примере клиент настраивается для обновления записи ресурса A, а сервер - для обновления записей PTR. Кроме того, клиент использует доменное имя с DHCP-сервера для формирования FQDN.

Чтобы настроить этот сценарий, выполните следующие действия:


Шаг 1 Чтобы определить метод обновления DDNS с именем ddns-2, введите следующие команды:

 hostname (config) #  ddns update method ddns-2
  
 имя хоста (метод обновления DDNS) #  ddns
  
 

Шаг 2 Чтобы настроить DHCP-клиент для интерфейса Ethernet0 и назначить метод обновления для интерфейса, введите следующие команды:

 имя хоста (метод обновления DDNS) #  интерфейс Ethernet0
  
 hostname (config-if) #  dhcp client update dns
  
 hostname (config-if) #  ddns update ddns-2
  
 hostname (config-if) #  ddns обновить имя хоста asa
  
 

Шаг 3 Чтобы настроить DHCP-сервер, введите следующие команды:

 hostname (config-if) #  dhcpd update dns
  
 hostname (config-if) #  пример домена dhcpd.com
  
 

Настройка служб веб-кэша с помощью WCCP

Цель веб-кэширования - уменьшить задержку и сетевой трафик. Ранее открытые веб-страницы хранятся в буфере кеша, поэтому, если пользователю снова понадобится страница, он может получить ее из кеша, а не с веб-сервера.

WCCP определяет взаимодействие между устройством безопасности и внешними веб-кэшами. Эта функция прозрачно перенаправляет выбранные типы трафика группе механизмов веб-кеширования для оптимизации использования ресурсов и сокращения времени отклика.Устройство безопасности поддерживает только версию 2 WCCP.

Использование устройства безопасности в качестве посредника устраняет необходимость в отдельном маршрутизаторе для выполнения перенаправления WCCP, поскольку устройство безопасности заботится о перенаправлении запросов на механизмы кэширования. Когда устройство безопасности знает, когда пакет нуждается в перенаправлении, оно пропускает отслеживание состояния TCP, рандомизацию порядковых номеров TCP и NAT для этих потоков трафика.

Этот раздел включает следующие темы:

• Поддержка функций WCCP

• Взаимодействие WCCP с другими функциями

• Включение перенаправления WCCP

Поддержка функций WCCP

Устройство безопасности поддерживает следующие функции WCCPv2:

• Перенаправление множественного трафика TCP / UDP, предназначенного для портов.

• Аутентификация для механизмов кэширования в сервисной группе.

Следующие функции WCCPv2 не поддерживаются устройством безопасности:

• Несколько маршрутизаторов в сервисной группе не поддерживаются. По-прежнему поддерживается несколько механизмов кэширования в группе услуг.

• Multicast WCCP не поддерживается.

• Метод перенаправления уровня 2 не поддерживается; поддерживается только инкапсуляция GRE.

• Подмена адреса источника WCCP.

Взаимодействие WCCP с другими функциями

В реализации устройства безопасности WCCP, следующее относится к тому, как протокол взаимодействует с другими настраиваемыми функциями:

• Запись в списке входящего доступа всегда имеет более высокий приоритет над WCCP. Например, если список доступа не разрешает клиенту взаимодействовать с сервером, трафик не будет перенаправлен на механизм кэширования. Будут применяться как списки доступа входящего интерфейса, так и списки доступа выходного интерфейса.

• Перехват TCP, авторизация, фильтрация URL-адресов, механизмы проверки и функции IPS не применяются к перенаправленному потоку трафика.

• Когда механизм кэширования не может обработать запрос и возвращается пакет, или когда происходит промах кеша в механизме кеширования, и он запрашивает данные с веб-сервера, тогда содержимое потока трафика будет зависеть от всех других настроенных функций. устройства безопасности.

• При аварийном переключении таблицы перенаправления WCCP не реплицируются на резервные блоки.После отработки отказа пакеты не будут перенаправляться, пока таблицы не будут перестроены. Сеансы, перенаправленные до аварийного переключения, скорее всего, будут сброшены веб-сервером.

• Если у вас есть две службы WCCP, и они используют два разных ACL перенаправления, которые перекрываются и соответствуют одним и тем же пакетам (с действием запрета или разрешения), пакеты ведут себя согласно первой найденной и установленным правилам группы служб. Пакеты не проходят через все сервисные группы.

Включение перенаправления WCCP

Есть два шага для настройки перенаправления WCCP на устройстве безопасности.Первый включает определение службы, которая должна быть перенаправлена ​​с помощью команды wccp , а вторая определяет, на каком интерфейсе выполняется перенаправление, с помощью команды wccp redirect . Команда wccp может также дополнительно определить, какие механизмы кэширования могут участвовать в группе обслуживания и какой трафик должен быть перенаправлен на механизм кэширования.

Перенаправление

WCCP поддерживается только на входе интерфейса. Единственная топология, которую поддерживает устройство безопасности, - это когда клиент и механизм кэширования находятся за одним и тем же интерфейсом устройства безопасности, и механизм кэширования может напрямую взаимодействовать с клиентом, не проходя через устройство безопасности.

Следующие ниже задачи настройки предполагают, что вы уже установили и настроили механизмы кэширования, которые хотите включить в свою сеть.

Чтобы настроить перенаправление WCCP, выполните следующие действия:


Шаг 1 Чтобы включить сервисную группу WCCP, введите следующую команду:

  имя хоста (конфигурация) #   wccp {веб-кеш |   service_number } [список-перенаправления  список_доступа ]
[group-list  access_list ] [ пароль  пароль]
 

Стандартная служба - это веб-кеш , который перехватывает трафик TCP-порта 80 (HTTP) и перенаправляет этот трафик в механизмы кеширования, но вы можете определить номер службы, если хотите, от 0 до 254.Например, чтобы прозрачно перенаправить собственный FTP-трафик в механизм кэширования, используйте службу 60 WCCP. Вы можете ввести эту команду несколько раз для каждой группы служб, которую хотите включить.

Аргумент redirect-list access_list управляет трафиком, перенаправленным в эту группу служб. Аргумент access-list должен состоять из строки длиной не более 64 символов (имя или номер), которая определяет список доступа.

Аргумент group-list access_list определяет, каким IP-адресам веб-кеша разрешено участвовать в группе услуг.Аргумент access-list должен состоять из строки длиной не более 64 символов (имя или номер), которая определяет список доступа.

Пароль Аргумент пароля задает аутентификацию MD5 для сообщений, полученных от сервисной группы. Сообщения, не принятые аутентификацией, отбрасываются.

Шаг 2 Чтобы включить перенаправление WCCP на интерфейсе, введите следующую команду:

 hostname (config) #  wccp   interface   interface_name  { web-cache  |  service_number}  перенаправление в
 

Стандартная служба - это веб-кеш , который перехватывает трафик TCP-порта 80 (HTTP) и перенаправляет этот трафик в механизмы кеширования, но вы можете определить номер службы, если хотите, от 0 до 254.Например, для прозрачного перенаправления собственного FTP-трафика в механизм кэширования используйте службу 60 WCCP. Вы можете ввести эту команду несколько раз для каждой группы служб, в которой вы хотите участвовать.

Руководство по настройке аутентификации, авторизации и учета, Cisco IOS Release 15SY - RADIUS Изменение авторизации [Поддержка]

Команда отключения порта CoA сервера RADIUS административно закрывает порт аутентификации, на котором размещен сеанс, что приводит к завершению сеанса.Эта команда полезна, когда известно, что хост вызывает проблемы в сети и сети. доступ необходимо немедленно заблокировать для хоста. Если вы хотите восстановить сетевой доступ к порту, включите его повторно, используя механизм без RADIUS. Эта команда передается в стандартном сообщении CoA-Request, которое имеет следующий VSA:

Cisco: Avpair = «подписчик: команда = disable-host-port»

Поскольку эта команда ориентирована на сеанс, она должна сопровождаться одним или несколькими атрибутами идентификации сеанса описано в разделе «Идентификация сеанса».Если устройство не может найти сеанс, оно возвращает сообщение CoA-NAK с атрибут кода ошибки «Контекст сеанса не найден». Если устройство обнаруживает сеанс, оно отключает порт хостинга и возвращает сообщение CoA-ACK.

Если устройство выходит из строя перед возвратом CoA-ACK клиенту, процесс повторяется на новом активном устройстве, когда запрос повторно отправляется от клиента.Если устройство выходит из строя после возврата сообщения CoA-ACK клиенту, но до того, как операция завершено, операция перезапускается на новом активном устройстве.

Чтобы игнорировать команду отключения порта CoA сервера RADIUS, см. «Настройка устройства для игнорирования отказов и отключения RADIUS.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *