DHCP на 2003-м сервере
4154
15
Сервер стоит стандалоном в домене НТ4. Будет работать как шлюз с ISA2004.
Хотим на нем же поднять DHCP.
Не работает!
Ну то есть вообще не работает.
Клиентская машина считает, что DHCP в сети нет.
В логах ИСА нет даже упоминания, что кто-то шлет запросы.
Остановили ISA. (Хотя правила там создали - думали мож дело в правилах).
Без изменений.

DHCP на 2003-ем стартует, скопа сделана. Хотя разок-другой он выругался, что типа не могу авторизоваться в АД. Ну правильно - АД-то и нету. Но запустился же...

Он что - только в АД работает?.. Не может такого быть...

Не могу сообразить, где копать...
Крыска
видимо оно находит домен... и т.к. кады есть домен DHCP там должон быть авторизован, неавторизованный DHCP просто тупо не выдает никакие адреса.
ViT
Ему именно АД2003 нужна, или в 2000-й сможет авторизоваться?
(и на кой ему вообще авторизовываться, кто б мне объяснил)
Он будет выдавать адреса тачкми из другого домена, если допустим АД поднять на нем самом? (не хотелось бы, честно говоря)
Кстати, доверительные отношения между доменами Нт4 и 2003 будут работать, кто-нибудь пробовал?
Крыска
Чтобы DHCP сервер мог выдавать адреса внутри домена, он должен быть в нем авторизован, иначе, он просто не будет ничего давать. О чем было сказано выше, а также написано в хелпе.
Насчет авторизации в 2000 не знаю. У себя сейчас поднял на шлюзе - пока не авторизовал, он адреса давать не хотел... Жаль только, что нет под рукой ни одной тачки не в домене, но думаю, что он и ей даст адрес...
Крыска
Насколько я знаю в 2000 он должен авторизоватся без проблем. Авторизация нужна для того, чтобы в сети небыло левых DHCP + что-то там было у мелкомягких про обслуживаия одного пула двумя сеоверами... В общем тоуно непомнь, но без нее, он ничего выдавать не будет. И а логах, к стати, должна быть про это запись, что мол нашел я домен и в нем я не авторизован.
Крыска
ему нужно нажать правой кнопкой в Computer Managment - DHCP Server
и выбрать там Authorize.

дальше либо все позеленеет и заработает, либо читаем логи и на support.microsoft.com

авторизоваться он могет и в 2000 и в 2003, 2000 от 2003 координально схема не отличается, но поддержку нт4 оттуда выкидывают.
на кой и зачем RTFM по Ф1 в ммц вылезает замечательный хелп.:улыб:
ViT
Но он зеленый - это-то меня и сбило, я подумала, что раз запустился, значит не особенно ему и надо эту авторизацию...

Я поищу в хелпе, где черным по белому написано, что без АД он не будет работать. Пока что не попалось. Искала-то я, чего же ему может не хватать, коль скоро он уже запустился... А это немного разные вещи, надеюсь, Вы со мной согласитесь...
Крыска
он работает без AD. работает.
Но домен-то у вас есть, видимо он его и находит, а потом говорит, что надо авторизовываться. Либо тем, кто из домена он не будет выдавать IP примерно такая идея.

В реестре есть место где можно вырубить эту проверку. Точное положение его не скажу.

Добавка: Независимо что вы там хитрите, пользутейсь support.microsoft.com и TechNet - там как правило быстро можно найти всю необходимую инфу. ;)))
ViT
> он работает без AD. работает.
Но домен-то у вас есть, видимо он его и находит, а потом говорит, что надо авторизовываться.

Нет, сначала мы пробовали вообще без домена, потом решили сделать еще и домен (НТ4, как и в основной сети, для которой сервер предназначен) - и все равно не заработало, ни с доменом ни без него. Вернее, ни без него, ни с ним, в если хронологическом порядке.

Да и тут мнения разделились, как я посмотрю...
Наверное, все плохо хелп читали :-)

> Либо тем, кто из домена он не будет выдавать IP примерно такая идея.

м-да, еще не легче.
Не хотелось бы, чтобы так было...
Крыска
Привет всем. Крыске привет особый. Читай пожалуйста:
Authorizing DHCP serversThe Windows Server 2003 family provides integrated security support for networks that use Active Directory. This support adds and uses a class of objects that is part of the base directory schema, providing the following enhancements:

A list of IP addresses available for the computers that you authorize to operate as DHCP servers on your network.
Detection of unauthorized DHCP servers and prevention of their starting or running on your network.
The following sections discuss:

Background information about the detection of unauthorized DHCP servers.
How computers are authorized in Active Directory to provide DHCP service.
How an unauthorized server is detected and prevented from providing DHCP service.
Notes and limitations for implementing DHCP service, depending on whether the Active Directory directory service is available.
Background on unauthorized DHCP servers
When configured correctly and authorized for use on a network, DHCP servers provide a useful and intended administrative service. However, when a misconfigured or unauthorized DHCP server is introduced into a network, it can cause problems. For example, if an unauthorized DHCP server starts, it might begin either leasing incorrect IP addresses to clients or negatively acknowledging DHCP clients attempting to renew current address leases.

Either of these configurations can produce further problems for DHCP-enabled clients. For example, clients that obtain a configuration lease from the unauthorized server can fail to locate valid domain controllers, preventing clients from successfully logging on to the network.

To resolve these issues, DHCP servers running Windows Server 2003 are verified as authorized in Active Directory before they can service clients. This avoids most of the accidental damage caused by running DHCP servers with incorrect configurations or correct configurations on the wrong network.

How DHCP servers are authorized
The authorization process for DHCP server computers depends on the installed role of the server on your network. In the Windows Server 2003 family there are three roles or server types for which each server computer can be installed:

Domain controller. The computer keeps and maintains a copy of the Active Directory database and provides secure account management for domain member users and computers.
Member server. The computer is not operating as a domain controller but has joined a domain in which it has a membership account in the Active Directory database.
Stand-alone server. The computer is not operating as a domain controller or a member server in a domain. Instead, the server computer is made known to the network through a specified workgroup name, which can be shared by other computers, but is used only for browsing purposes and not to provide secured logon access to shared domain resources.
If you deploy Active Directory, all computers operating as DHCP servers must be either domain controllers or domain member servers before they can be authorized and provide DHCP service to clients.

Although it is not recommended, you can use a stand-alone server as a DHCP server as long as it is not on a subnet with any authorized DHCP servers. When a stand-alone DHCP server detects an authorized server on the same subnet, it automatically stops leasing IP addresses to DHCP clients.

For more information about DHCP server installation, see To install a DHCP server and To open the DHCP console.

For more information about authorizing a DHCP server in Active Directory, see To authorize a DHCP server in Active Directory.

For more information about delegating administrative credentials
administrative credentials
Logon information that is used to identify a member of an administrative group. Groups that use administrative credentials include Administrators, Domain Admins, and DNS Admins. Most system-wide or domain-wide tasks require administrative credentials., see To delegate ability to authorize DHCP servers to a non-enterprise administrator.

How unauthorized servers are detected
DHCP servers running Windows Server 2003 provide detection of both authorized and unauthorized servers using the following specific enhancements for the DHCP standard:

The use of information messaging between DHCP servers using the DHCP information message (DHCPINFORM) DHCP information message (DHCPINFORM)
A reserved DHCP message type used by computers on the network to request and obtain information from a DHCP server for use in their local configuration. When this message type is used, the sender is already externally configured for its IP address on the network, which may or may not have been obtained using DHCP. The DHCP information message name is DHCPINFORM..
The addition of several new vendor-specific option types, for communicating information about the root domain.
A DHCP server running Windows Server 2003 uses the following process to determine whether Active Directory is available. If found, the server ensures that it is authorized by adhering to the following procedure, depending on whether it is a member server or a stand-alone server:

For member servers (a server joined to a domain that is part of the enterprise), the DHCP server queries Active Directory for the list of authorized DHCP server IP addresses.

If the server finds its IP address in the authorized list, it initializes and starts providing DHCP service to clients. If it does not find itself in the authorized list, it does not initialize and stops providing DHCP services.

When installed in a multiple forest environment, DHCP servers seek authorization from within their forest only. Once authorized, DHCP servers in a multiple forest environment lease IP addresses to all reachable clients. Therefore, if clients from another forest are reached using routers with DHCP/BOOTP forwarding enabled, the DHCP server leases IP addresses to them.

If Active Directory is not available, the DHCP server continues to operate in its last known state.

For stand-alone servers (a server not joined to any domain or part of an existing enterprise). When the DHCP service starts, it sends a DHCP information message (DHCPINFORM)
DHCP information message (DHCPINFORM)
A reserved DHCP message type used by computers on the network to request and obtain information from a DHCP server for use in their local configuration. When this message type is used, the sender is already externally configured for its IP address on the network, which may or may not have been obtained using DHCP. The DHCP information message name is DHCPINFORM.request to the reachable network, using the local limited broadcast address (255.255.255.255) to locate the root domain on which other DHCP servers are installed and configured.

This message includes several vendor-specific option types that are known and supported by other DHCP servers running Windows Server 2003. When received by other DHCP servers, these option types enable the query and retrieval of information about the root domain. When queried, the other DHCP servers reply with DHCP acknowledgement messages (DHCPACK)
DHCP acknowledgement messages (DHCPACK)
A message sent by the DHCP server to a client to acknowledge and complete a client's request for leased configuration. This message will contain a committed IP address for the client to use for a stated period of time along with other optional client parameters. The DHCP acknowledgment message name is DHCPACK.to both acknowledge and answer with Active Directory root domain information.

If the stand-alone server receives no reply, it initializes and starts providing DHCP services to clients. If the stand-alone server receives a reply from a DHCP server that is authorized in Active Directory, the stand-alone server does not initialize and does not provide DHCP services to clients.

Authorized servers repeat the detection process at a default interval of 60 minutes. Unauthorized servers repeat the detection process at a default interval of 10 minutes.

Efforts to detect unauthorized servers are noted as "Restarting rogue detection" entries in the audit log.

Notes

The process of authorizing DHCP servers is useful only for DHCP servers running Windows 2000 or Windows Server 2003.
When a DHCP server running Windows Server 2003 is installed in a Windows NT 4.0 domain, the server initializes and begins serving DHCP clients in the absence of directory services. However, if there is a Windows Server 2003 domain on the same subnet or on a connected network with routers configured for DHCP or BOOTP forwarding, the DHCP server in the Windows NT 4.0 domain detects its own unauthorized status and ceases to provide IP address leases to clients. If you authorize the DHCP server in Active Directory, it can provide DHCP service to the clients in the Windows NT 4.0 domain.
For the directory authorization process to work properly, it is necessary that the first DHCP server introduced on your network participate in Active Directory. This requires that the server be installed as either a domain controller or a member server. When planning or deploying Active Directory with Windows Server 2003 DHCP, it is important that you do not install your first DHCP server as a stand-alone server.
Most commonly, there is one enterprise root and, therefore, only a single point for directory authorization of the DHCP servers. However, there is no restriction on authorizing DHCP servers for more than one enterprise root.
The fully qualified domain name (FQDN) of the DHCP server cannot exceed 64 characters. If the FQDN of the DHCP server exceeds 64 characters, the attempt to authorize the server fails with the error message, "A constraint violation has occurred." If your DHCP server FQDN exceeds 64 characters, authorize the server using the server?s IP address instead of its FQDN.
DHCP servers running Windows 2000 cannot be authorized using the Windows Server 2003 administrative tools (the DHCP console and the Netsh commands for DHCP) unless Windows 2000 Server Service Pack 2 is installed.
Крыска
В догонку по теме DHCP в 2000/2003...

Можно ли у DHCP виндового ручками в текстовом виде редактировать базу, или тольчо через консоль?... И еще, как побороть такую "фичу"... Если клиент запрашивает адрес, ему DHCP адрес выдает, и тут появляется какой-нибудь клиент, который по каким-то непонятным причинам прописал себе такой же адрес статикой, то DHCP-сервак правит у себя базу и пишет на эту резервацию BAD_ADDRESS и какую-то хрень вместо мака... А клиенту даже из пула ничего не дает... И сидит бедный клиент без сети, пока я ручками не найду эту запись, и не впишу туда снова мак клиента. Если честно, эта "фича" меня бесит... Лучше б из пула чего выдавал, чем ваще ничего не давать...
netghost
Че-то запарил меня этот глючный DHCP от мелкомягких.. Почему-то покосячил свою же базу и теперь при попытке зайти в резервации говорит ошибку Snap-in failed. Если удалить скоп и создать новый - все ок. Перебивать опять все компы ручками ломает, пока есть еще один DHCP, рабочий. Причем backup-нутую на рабочем базу не удается restore-нуть на нерабочем. Только на компе с тем же именем...

Подскажите, а такое чудо как банальный dhcpd for win32 существует??? Или альтернативные DHCP-сервера, у которых текстовые конфиги? Линуксовый сервак поставить пока нет возможности (железа).
netghost
У меня работает DHCP на сервере с НТ4 :-)
Правда, работает только на одном-единственном IP-адресе (192.168.0.2), ни на каком другом не хочет :-)
Но базу не грохал ни разу. И перенос базы на другую машинку всегда проходил нормально (вместе с IP-адресом)...
Крыска
имею 7 серверов с этой службой от MS
никогда не жаловался на глючность
и на 2000/3 серверах
если она так часто валится, то может архивацию её настроить?
NoooK
Забил я на этот глючный MS-овский DHCP и поставил KWF, в сделал его исключительно DHCP-сервером. Работает наура, и конфиги текстовые. Можно создрать сразу несклько DHCP и все ревервации скопировать, в MS же приходилось все ручками через консоль на каждом компе вбивать...