none
DHCP WS 2012 asigna direcciones "fantasmas"

    Pregunta

  • Buen día amigos,

    Vengo con una duda enorme. Me encuentro con un problema para una empresa, esta empresa tiene una red 172.16.0.0 (vlan nativa privada) que es la que maneja privadamente y una 10.0.0.0 (vlan 1000 pública) que es la que maneja públicamente para los invitados a través de WiFi.

    Todos los equipos/computadores tienen DHCP del Scope 172.16.0.0, está todo bien. Al administrar las diferentes controladores inalámbricas, valido y los clientes están por la vlan 1000 que es la vlan pública y tienen direcciones 10.0.0.0, el problema que surge es que el DHCP se está llenando con direcciones 172.16.0.0 y muestra que están asociadas a teléfonos celulares, lo puedo identificar por el nombre de los dispositivos, que es: android... iphone... samsung... etc. Desactivé todos los Access point para validar si algún SSID estaba ligado a la VLAN privada, pero resulta que después de desactivar todas las controladoras con sus AP's, el Address Leases se sigue llenando y son aproximadamente 200 direcciones. Para hacer un rastreo de estas direcciones, le hago ping al menos a 10 direcciones, las busco por sus MAC's en el Core, pero ninguna me da resultado, es como sino existieran.

    Si necesitan más detalles con gusto los daré; si me puede echar una mano estaré en deuda y agradecido.

    martes, 17 de abril de 2018 3:04

Todas las respuestas

  • Hay que hacer trabajo de detective ahí :)

    No dices si es un único DHCP o varios o si está en los Access Points, pero estos últimos son los "culpables" en primera instancia, alguno puede estar configurado con "Relay Agent" / "IP Helper" y pasa los pedidos de una red a otra

    Una prueba que te puede dar más datos es hacer pruebas en un momento que no haya actividad de la red productiva, y probar un un teléfono bajo tu control

    Considero que la mejor solución pasa por lo anterior, pero también existe la opción para que el DHCP si está en Windows asigne configuración únicamente a las máquinas del Dominio, y a ninguna otra

    DHCP: Asignar Configuración Unicamente a Máquinas del Dominio | WindowServer
    https://windowserver.wordpress.com/2017/02/14/dhcp-asignar-configuracin-unicamente-a-mquinas-del-dominio/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 17 de abril de 2018 11:02
    Moderador
  • Hola Guillermo,

    Gracias por tu respuesta. Hay un (1) servidor DHCP, está configurado en un Windows Server 2012, no hay router, se trabaja con un Switch Core, los Access Points no tienen DHCP. Tu propuesta de asignar DHCP a equipos de dominio es buena, pero resulta que se va a configurar un SSID oculto que vaya por la VLAN nativa (aún no está en funcionamiento y esta es la VLAN privada), va a ser para los funcionarios; entonces si hacemos esa regla que dices ya no va a servir este proyecto, ya que lo pensando es que los funcionarios se conecten con sus teléfonos a la red institucional.

    Me pregunto si hay algún archivo en el DHCP que me cargue estos equipos automáticamente, ya que como mencioné anteriormente las direcciones "asignadas" a los celulares no me responden a ping ni los puedo encontrar por MAC.

    Otro dato curioso y que estoy implementando como primera medida, es que estoy denegando estas MAC's para que el server no les asigne más direcciones, resulta que las deniego y pasados 20 minutos hay algunas direcciones que aun estando denegadas pasan a Address Leases. Es algo complejo de descifrar.

    miércoles, 18 de abril de 2018 0:32
  • Hola César, la configuración del servicio DHCP tiene su complejidad porque hay parte de la configuración en el Registro y parte en la base

    Es raro pero puede ser que pierda la sincronización entre ambas, prueba lo siguiente: con botón derecho sobre el "Scope" está la opción "Reconciliar" (o parecida) a ver si se solucionara

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 18 de abril de 2018 12:26
    Moderador
  • Hola Guillermo, gracias por la retroalimetación. Estoy haciendo la "conciliación", adjunto la imagen, doy en "Reconcile" o "Cancel" ¿hacer la conciliación no me va a generar ningún contratiempo? Lo otro es que el filtrado de MAC estaba deshabilitado, parece que esta va a ser una solución temporal, voy a hacer los recorrido con el móvil para descartar cualquier fuga.

    Una duda Guillermo, cuál es el tiempo aconsejable de arrendamiento de las direcciones, estaba en 10 días, me parece demasiado, cuál es el aconsejado.

    Y aún no se cuál es el problema, voy a seguir investigando.

    Gracias por todo.

    Edit: no me dejó subir la imagen, dice que mi cuenta debe ser verificada. Describo la imagen:

    This procedure compares scope information in the database with the registry

    Scope                IP Address

    172.16.0.0         172.16.20.88

    172.16.0.0         172.16.20.34

    (los botones):

    <Reconcile>  <Cancel>

    miércoles, 18 de abril de 2018 16:33
  • Salvo que hicieras una restauración completa del servidor, el proceso de reconciliación es lo único que garantiza la sincronización entre el Registro y el archivo DHCP.MDB. Por lo menos a mí nunca me ha producido problemas y si llegar a liberar una dirección que tiene un cliente, éste la recupearía automáticamente con el proceso de renovación, ya sea al 50% del "lease" o en el próximo reinicio

    No hay un tiempo recomendado, si hay pocas máquinas, mucho ámbito, y no hay prácticamente rotación, entonces largo. Si lo anterior es inverso entonces que sea más corto

    Si no hay algún caso específico, lo normal por omisión son 8 días, y se renueva a partir del 50% o en cada reinicio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 18 de abril de 2018 20:26
    Moderador
  • Gracias por tu ayuda Guillermo, la conciliación surgió bien, el filtrado va bien, por el momento voy a dejar el tiempo de arrendamiento por dos o tres días mientras se normaliza, después lo subiré. Si llego a encontrar el problema presentado publicaré la respuesta; si alguien quiere hacer un aporte o ha pasado por lo mismo, bienvenida su sugerencia.

    jueves, 19 de abril de 2018 2:51
  • Hola!

    En este punto es una ensalada de configuraciones. Según entiendo vos queres asignar el ips del rango 10.0.0.0 a los que vengan por la vlan 1000?

    Si te estan dando ips de las 172.16.0... es que tenes un dhcp relay en alguno de los switch para la Vlan esa (si no estoy equivocado).

    Hace tiempo hice una configuración de este estilo, donde podes poner  distintos sectores de Red para distintas subredes de DHCP. Todo desde el servicio de Windows de DHCP.

    Probablemente tengas una ensalada entre configuracion de Switch y el DHCP.

    Saludos!

    jueves, 19 de abril de 2018 13:33
  • Sí eso parece, pero lo ideal es que funcione así, en dos redes diferentes. Ahorita ando validando unas virtualizaciones pero voy a revisar el tema del relay. Muchas gracias, cuando encuentre el fallo el voy a compartir. Sigue siendo bienvenida cualquier sugerencia.
    viernes, 20 de abril de 2018 13:38
  • Hola,

    Revise un poco lo que habia hecho. Si estoy en lo correcto tenes que hacer lo siguiente:

    - Armar un nuevo Scope en el servidor de DHCP. (en el server), con una placa en la vlan q corresponde

    - Asegurarte que en los switches tenes el DHCP Relay para que cuando se haga el DHCP Request vaya donde corresponde. (en los switches)

    Saludos!

    viernes, 20 de abril de 2018 16:10
  • Gracias amigo, voy a revisar lo que dices, les estoy comentando. Ahorita ando varado con una virtualización.
    domingo, 22 de abril de 2018 19:18