Windows DHCP-Server - DHCP-Leases zu 100 Prozent belegt

Wieso sind alle DHCP-Leases belegt? Und warum werden nicht alle DHCP-Leases angezeigt?

Im Internet konnte ich hierzu folgende Lösung finden: Da anscheinend die Datenbank des DHCP-Servers korrupt geworden ist (wie auch immer), soll man die Datenbank abstimmen. Hierzu in der MMC des DHCP-Servers mit der rechten Maustaste auf Bereich.... klicken und im Kontextmenü den Punkt Abstimmen auswählen. Dann erscheint folgendes Fenster:


Als nächstes klickt man auf die Schaltfläche Überprüfen, und es werden einem danach die IP-Adress-Leases angezeigt, die vorher in der Übersicht gefehlt haben. Anschließend auf die Schaltfläche Korrigieren klicken. Danach ist folgendes Fenster zu sehen:


Dieses Fenster mit Klick auf OK schließen, danach kann auch das Fenster Abstimmen geschlossen werden. Im der MMC des DHCP-Servers tauchen nun die gefundenen IP-Adressen unter Adressleases auf. An den gefundenen Adressleases fiel jedoch folgendes auf: Die MAC-Adresse, die hinter der IP-Adresse angezeigt wurde, war keine gültige MAC-Adresse, sondern irgend ein hexadezimaler Müll, z. B. 31302e302e39302e31353200.

Woher stammen diese DHCP-Anfragen?

Im Internet bin ich auf der Suche nach diesem String auf einen Forumbeitrag gestoßen: Wie ich dort erfahren konnte, ist statt der MAC-Adresse die IP-Adresse in hexadezimaler Form angegeben. Leider wusste ich nichts weiter mit diesen Informationen anzufangen. Ich habe also alle Leases dieser Art aus dem DHCP-Server gelöscht und gehofft, dass damit die Sache erledigt sei. Nach ca. einer Woche stand ich jedoch wieder vor dem gleichen Problem.

Ich habe weiter nach dem Problem im Internet gesucht, jedoch keine weiteren Informationen zu den mysteriösen Einträgen gefunden. Dann fand ich in einem Forum den Tipp, die Anfragen an den DHCP-Server mittels Wireshark zu analysieren um herauszufinden, woher die DHCP-Anfragen kommen. Ich habe mir aus dem Internet Wireshark Portable heruntergeladen und hiermit die UDP-Ports 67 und 68 abgehört, da mich ja nur die DHCP-Anfragen interessierten. Tatsächlich fand ich schon nach kurzer Zeit diverse Anfragen von einem unbekannten Gerät an den DHCP-Server in zeitlichen Abstand von ca. 10 Minuten. Nach ca. 30 Minuten hat dieses Gerät eine IP-Adresse vom DHCP-Server erhalten, danach jedoch den DHCP-Server weiterhin mit Anfragen bombardiert.

Anhand der MAC-Adresse konnte ich den Hersteller des Geräts ermitteln: Es handelte sich in meinem Fall um ein Gerät von APC, welches mir unbekannt war. (Später habe ich in einem Internet-Forum ein ähnliches Ereignis gefunden, wo das unbekannte Gerät eine ILO-Schnittstelle von einem HP-Server war. Es kommen also verschiedene Geräte in Betracht, je nach IT-Infrastruktur) Jetzt konnte ich aber nicht sofort zum Kunden fahren. Da ich aber nun die MAC-Adresse des Geräts hatte, habe ich einfach eine DHCP-Reservierung auf die MAC-Adresse des unbekannten Geräts eingerichtet. Somit hat das unbekannte Gerät bei Anfragen immer wieder die gleiche IP-Adresse vom DHCP-Server erhalten, und auf dem DHCP-Server war nur noch eine IP-Adresse belegt anstelle des gesamten DHCP-Pools.

Somit habe ich erst einmal Zeit gewonnen. Beim nächsten Kunden-Termin vor Ort habe ich dann die Gelegenheit, nach dem unbekannten Gerät zu suchen, um das Netzwerkkabel zu entfernen.

• Forumbeitrag DHCP request from nowhere auf itnewsgroups.net ¹
• Wireshark Portable - Download-Seite ²
• Heise Netze - MAC-Adressen Tool ³