Rogue Detection per Registry deaktivieren: Unterschied zwischen den Versionen
Thomas (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Thomas (Diskussion | Beiträge) |
||
| (Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
= Windows Server – Rogue Detection deaktivieren = | = Windows Server DHCP – Rogue Detection deaktivieren = | ||
Die Rogue Detection ist eine Sicherheitsfunktion des Windows DHCP-Servers. | Die Rogue Detection ist eine Sicherheitsfunktion des Windows DHCP-Servers. | ||
| Zeile 41: | Zeile 41: | ||
* **Consumer-Access-Points oder WLAN-Router** | * **Consumer-Access-Points oder WLAN-Router** | ||
Viele günstige Geräte aktivieren automatisch einen eigenen DHCP-Server | |||
(oft ohne sichtbare Option zum Abschalten). Schon wenige DHCP-OFFER-Pakete | |||
reichen aus, um den Windows-DHCP-Dienst zu blockieren. | |||
* **Billige Switches mit „IP-Helper“- oder „DHCP-Relay“-Funktionen** | * **Billige Switches mit „IP-Helper“- oder „DHCP-Relay“-Funktionen** | ||
Manche Geräte senden unvollständige oder falsch formatierte DHCP-Pakete, | |||
die von Windows als fremder Server interpretiert werden. | |||
* **Drucker, Multifunktionsgeräte oder IoT-Geräte** | * **Drucker, Multifunktionsgeräte oder IoT-Geräte** | ||
Einige Modelle haben eingebaute Mini-DHCP-Server für Direktverbindungen | |||
oder Service-Modi. Diese werden oft ungewollt aktiv. | |||
* **Virtualisierungsumgebungen** | * **Virtualisierungsumgebungen** | ||
Hypervisoren wie VMware, VirtualBox oder Hyper-V können interne DHCP-Server | |||
für Host-Only- oder NAT-Netze betreiben. Wenn falsch gebridged, tauchen | |||
diese Pakete im Produktionsnetz auf. | |||
* **Fehlkonfigurierte VPN-Gateways** | * **Fehlkonfigurierte VPN-Gateways** | ||
Manche VPN-Appliances senden DHCP- oder Proxy-DHCP-Pakete ins LAN, | |||
die Windows als „Rogue Server“ interpretiert. | |||
== Auswirkungen == | == Auswirkungen == | ||
Aktuelle Version vom 15. Februar 2026, 14:22 Uhr
Windows Server DHCP – Rogue Detection deaktivieren
Die Rogue Detection ist eine Sicherheitsfunktion des Windows DHCP-Servers. Sie prüft, ob im Netzwerk weitere DHCP-Server aktiv sind. In vielen produktiven Umgebungen führt dies zu Fehlalarmen oder verhindert den Start des DHCP-Dienstes.
Registry-Eintrag setzen
Um die Rogue Detection zu deaktivieren, muss folgender Registry-Wert gesetzt werden:
Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Eintrag:
Name: DisableRogueDetection Typ: DWORD (32-bit) Wert: 1 (1 = deaktiviert, 0 = aktiviert/Standard)
Beispiel:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters] "DisableRogueDetection"=dword:00000001
Dienst neu starten
Damit die Änderung wirksam wird, muss der DHCP-Serverdienst neu gestartet werden:
net stop dhcpserver net start dhcpserver
Alternativ kann der Server neu gebootet werden.
Hinweis
Das Deaktivieren der Rogue Detection ist in kontrollierten Netzwerken unkritisch und verhindert, dass der DHCP-Dienst aufgrund falsch erkannter „fremder“ Server nicht startet.
Typische Auslöser für Rogue-Detection-Fehlalarme
Die Rogue Detection reagiert sehr empfindlich auf jegliche DHCP-ähnlichen Signale im Netzwerk. In der Praxis führt dies häufig zu Fehlalarmen. Typische Auslöser:
- **Consumer-Access-Points oder WLAN-Router**
Viele günstige Geräte aktivieren automatisch einen eigenen DHCP-Server (oft ohne sichtbare Option zum Abschalten). Schon wenige DHCP-OFFER-Pakete reichen aus, um den Windows-DHCP-Dienst zu blockieren.
- **Billige Switches mit „IP-Helper“- oder „DHCP-Relay“-Funktionen**
Manche Geräte senden unvollständige oder falsch formatierte DHCP-Pakete, die von Windows als fremder Server interpretiert werden.
- **Drucker, Multifunktionsgeräte oder IoT-Geräte**
Einige Modelle haben eingebaute Mini-DHCP-Server für Direktverbindungen oder Service-Modi. Diese werden oft ungewollt aktiv.
- **Virtualisierungsumgebungen**
Hypervisoren wie VMware, VirtualBox oder Hyper-V können interne DHCP-Server für Host-Only- oder NAT-Netze betreiben. Wenn falsch gebridged, tauchen diese Pakete im Produktionsnetz auf.
- **Fehlkonfigurierte VPN-Gateways**
Manche VPN-Appliances senden DHCP- oder Proxy-DHCP-Pakete ins LAN, die Windows als „Rogue Server“ interpretiert.
Auswirkungen
- Der DHCP-Serverdienst startet nicht oder beendet sich unmittelbar.
- Ereignisanzeige meldet „Rogue DHCP Server detected“.
- Clients erhalten keine IP-Adressen mehr.
- Produktionsbetrieb kann vollständig zum Stillstand kommen.
Empfehlung
In kontrollierten, professionell verwalteten Netzwerken ist das Deaktivieren der Rogue Detection über den Registry-Wert *DisableRogueDetection* die zuverlässigste und stabilste Lösung.
