Rogue Detection per Registry deaktivieren

Aus Wissen
Version vom 15. Februar 2026, 14:22 Uhr von Thomas (Diskussion | Beiträge) (Windows Server – Rogue Detection deaktivieren)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Windows Server DHCP – Rogue Detection deaktivieren

Die Rogue Detection ist eine Sicherheitsfunktion des Windows DHCP-Servers. Sie prüft, ob im Netzwerk weitere DHCP-Server aktiv sind. In vielen produktiven Umgebungen führt dies zu Fehlalarmen oder verhindert den Start des DHCP-Dienstes.

Registry-Eintrag setzen

Um die Rogue Detection zu deaktivieren, muss folgender Registry-Wert gesetzt werden:

Pfad: 

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters

Eintrag: 

 Name: DisableRogueDetection
 Typ:  DWORD (32-bit)
 Wert: 1   (1 = deaktiviert, 0 = aktiviert/Standard)

Beispiel: 

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters]
 "DisableRogueDetection"=dword:00000001

Dienst neu starten

Damit die Änderung wirksam wird, muss der DHCP-Serverdienst neu gestartet werden: 

 net stop dhcpserver
 net start dhcpserver

Alternativ kann der Server neu gebootet werden.

Hinweis

Das Deaktivieren der Rogue Detection ist in kontrollierten Netzwerken unkritisch und verhindert, dass der DHCP-Dienst aufgrund falsch erkannter „fremder“ Server nicht startet.

Typische Auslöser für Rogue-Detection-Fehlalarme

Die Rogue Detection reagiert sehr empfindlich auf jegliche DHCP-ähnlichen Signale im Netzwerk. In der Praxis führt dies häufig zu Fehlalarmen. Typische Auslöser:

  • **Consumer-Access-Points oder WLAN-Router**

Viele günstige Geräte aktivieren automatisch einen eigenen DHCP-Server (oft ohne sichtbare Option zum Abschalten). Schon wenige DHCP-OFFER-Pakete reichen aus, um den Windows-DHCP-Dienst zu blockieren.

  • **Billige Switches mit „IP-Helper“- oder „DHCP-Relay“-Funktionen**

Manche Geräte senden unvollständige oder falsch formatierte DHCP-Pakete, die von Windows als fremder Server interpretiert werden.

  • **Drucker, Multifunktionsgeräte oder IoT-Geräte**

Einige Modelle haben eingebaute Mini-DHCP-Server für Direktverbindungen oder Service-Modi. Diese werden oft ungewollt aktiv.

  • **Virtualisierungsumgebungen**

Hypervisoren wie VMware, VirtualBox oder Hyper-V können interne DHCP-Server für Host-Only- oder NAT-Netze betreiben. Wenn falsch gebridged, tauchen diese Pakete im Produktionsnetz auf.

  • **Fehlkonfigurierte VPN-Gateways**

Manche VPN-Appliances senden DHCP- oder Proxy-DHCP-Pakete ins LAN, die Windows als „Rogue Server“ interpretiert.

Auswirkungen

  • Der DHCP-Serverdienst startet nicht oder beendet sich unmittelbar.
  • Ereignisanzeige meldet „Rogue DHCP Server detected“.
  • Clients erhalten keine IP-Adressen mehr.
  • Produktionsbetrieb kann vollständig zum Stillstand kommen.

Empfehlung

In kontrollierten, professionell verwalteten Netzwerken ist das Deaktivieren der Rogue Detection über den Registry-Wert *DisableRogueDetection* die zuverlässigste und stabilste Lösung.

Abgerufen von „https://wissen.gravediggers.ch/w/index.php?title=Rogue_Detection_per_Registry_deaktivieren&oldid=69