Jump to content
Sign in to follow this  
symfact

Server mit DHCP macht periodisch queries nach 169.254.x.x

Recommended Posts

Hallo zusammen,

 

Wir haben ein kleines Firmen-Netz. Seit kurzem ist unsere Zywall 2Plus periodisch überlastet. Im logfile der Zywall steht:

192.168.0.6 exceeds the max. number of session per host! (Repeated: 109)

 

Die Maschine 192.168.0.6 versucht ständig eine Verbindung nach 169.254.x.x aufzubauen. Ich weiss, dass es sich bei der Adress-Range 169.254 um die Zeroconf-range handelt, daher denke ich mir, dass es sich um ein DHCP-Problem handelt.

Die Maschine 192.168.0.6 ist ein Windows 2k3-Server, der als DHCP, DNS und DC fungiert.

 

Ich versuchte auch schon das TCP und UDP timeout der Zywall herunter zu setzen und die maximale Anzahl Verbindungen pro Host auf 1024 zu setzten. Dies hilft jedoch auch nicht.

Das Problem tritt nur alle paar Stunden auf, ist jedoch periodisch.

 

Im DHCP-Log sehe ich nichts ungewöhnliches (siehe attachment).

Auch im Eventlog hat es nichts auffallendes.

 

Kennt jemand dieses Problem? Kann es sein, dass schlicht und einfach die Firewall, welche zugleich als Router fungiert, überlastet ist, da sie für den internen Verkehr sowie als Gateway fürs Internet dient oder kann es am DHCP oder sonst am Server 2k3 liegen?

 

 

Vielen Dank für die Hilfe.

Adrian

DhcpSrvLog-Thu.txt

Share this post


Link to post

Ja, der Server hat 2 Broadcom NetXtreme Gigabit NIC's. Es wird jedoch nur eine gebraucht.

 

Die Aufgaben des Servers:

-DHCP

-DNS

-AD

-Exchange Server 2003 nur für interne Mails

 

Ich weiss, dass der Server viele Aufgaben hat. Der Standort ist jedoch mit ca. 10 Personen relativ klein.

 

Braucht ihr sonst noch Infos?

Soll ich die zweite NIC deaktivieren oder auch brauchen?

Share this post


Link to post

Die 2. NIC ist deaktiviert -> Problem besteht noch.

(Die 2. NIC war schon deaktiviert. Ich kontrollierte beim letzten post auf der falschen Maschine).

 

Andere Ideen?

Braucht ihr noch andere Infos zum System?

Der Server ist ein W2k3 Enterprise Server mit SP2 auf 32bit.

Share this post


Link to post

Mit den ganzen Einstelleungen und Timeouts bei der Zywall habe ich bereit herumgespielt. Es scheint wirklich ein Problem des Servers zu sein, denn das Problem blieb bestehen, egal wie hoch ich die Sessions per host setzte.

 

Folgend ein paar Settings der Zywall.

ras> ip nat sess

NAT session number per host: 1024

ras> sys tos timeout display

TCP connection timeout (s): 270

TCP idle timeout (s): 9000

TCP FIN-wait timeout (s): 270

UDP idle timeout (s): 30

ICMP idle timeout (s): 180

GRE idle timeout (s): 9000

ESP idle timeout (s): 9000

AH idle timeout (s): 180

IGMP idle timeout (s): 180

Other IP idle timeout (s): 180

 

Wie gesagt, ich denke, das Problem liegt am Server. Laut Kaspersky ist der Server auch sauber.

Share this post


Link to post

Was sagt das Ereignisprotokoll des Servers? Sind die NIC-Treiber aktuell? Welchen Patchstand hat der Server? Seit wann tritt das Problem auf? Wurde etwas am Server verändert? Läuft eine Virtualisierungs-SW auf dem Server?

Share this post


Link to post

Im Eventviewer ist nichts ungewöhnliches zu finden. Keine Fehler. Die NIC-Treiber werde ich morgen früh updaten, da eine neuere Version verfügbar ist und danach melden, ob dies Verbesserungen gebracht hat.

Patches sind alle kritischen aufgespielt. Auf dem Server läuft das SP 2.

Virtualisierungs-Funktionien hat der Server keine.

Share this post


Link to post

Ich habe nun gestern Abend die Treiber der Netzkarten auf die neuste Version aktualisiert. Das Problem besteht weiterhin.

Ich werde nun versuchen, die Max Sessions per host noch höher einzustellen. Das Maximum der Zywall ist 3000 und momentan ist es auf 1024 eingestellt. Ich werde es mal mit 2000 versuchen.

 

In meinen Augen liegt jedoch das Problem zu 99% sicher beim Server und nicht bei der Firewall / Router. Das Problem tritt wirklich periodisch auf (mindestens 2-3 Mal pro Tag, morgens und abends um ca. 8 und 16 Uhr). Dann schiessen die offenen Sessions auf der Firewall auf das Maximum per host (1024) und das Internet funktioniert zeitweise nicht mehr, da der Server nicht mehr Antwortet. Ich denke dass er die max sessions per host Verbindungen öffnet und dann von der Zywall blockiert wird und somit auch auf andere Anfragen der Computer im Netz nicht mehr Antwortet (kann), da es sich um den domain controller, Exchange Server und Gateway / DHCP / DNS Server handelt.

 

Hat noch jemand eine Idee, was da faul sein könnte?

 

Ich habe gestern nochmals einen kompletten Virenscan und Spyware-Scan durchgeführt. Die Maschine ist soweit komplett sauber.

Share this post


Link to post
Das Problem tritt wirklich periodisch auf (mindestens 2-3 Mal pro Tag, morgens und abends um ca. 8 und 16 Uhr). Dann schiessen die offenen Sessions auf der Firewall auf das Maximum per host (1024) und das Internet funktioniert zeitweise nicht mehr, da der Server nicht mehr Antwortet.
Der Internetzugriff dürfte nicht mehr funktionieren, weil die Zywall u.a. die (neuen) DNS-Anfragen des Servers zu den externen DNS-Servern blockt, sobald die maximale Anzahl der Sessions pro Host erreicht sind. Die Zywall tut halt, was sie gemäß Konfig tun soll. Überlastet ist sie nicht.

Ich kann Dir leider auch nicht sagen, warum der Server diesen Traffic generiert und wie Du dies unterbinden kannst. Jedoch kannst Du die Symptome kaschieren, indem Du diesen Traffic einfach an der Firewall abweist.

 

Gruß

sk

Share this post


Link to post

deaktivier doch mal den DHCPServerdienst einen Tag, ob wirklich der DHCPServer bzw. DHCPServerdienst der Verursacher ist. Ein DHCP-Server baut eingentlich nicht ungefragt Verbindungen auf, schon gar nicht nach 169.254.x.y

Share this post


Link to post

Ich habe den DHCP-Server-Service nun kurz ausgeschaltet. Das Problem besteht weiterhin. Ich werde den Dienst heute Nacht über die ganze Nacht ausschalten und sehen, was morgen im Log steht.

Bei dem kurzen Unterbruch von vorhin blieb jedoch das Problem bestehen.

 

Was könnte sonst noch für diesen periodischen Traffic verantwortlich sein?

 

Ich werde noch versuchen, mit Wireshark den Traffic zu sniffen und die Pakete zu analysieren, welche der Server auf die 169.254.x.x Adressen sendet.

 

@s.k.: Das sehe ich genau gleich. Mit der Firewall-Rule kann ich das Problem vorübergehen "lösen". Aber ich möchte wissen, wieso der Server periodisch diese Requests versendet...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...