Die Rogue Detection ist eine Sicherheitsfunktion des Windows DHCP-Servers. Sie prüft, ob im Netzwerk weitere DHCP-Server aktiv sind. In vielen produktiven Umgebungen führt dies zu Fehlalarmen oder verhindert den Start des DHCP-Dienstes.

Um die Rogue Detection zu deaktivieren, muss folgender Registry-Wert gesetzt werden:

Pfad:

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters

Eintrag:

 Name: DisableRogueDetection
 Typ:  DWORD (32-bit)
 Wert: 1   (1 = deaktiviert, 0 = aktiviert/Standard)

Beispiel:

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters]
 "DisableRogueDetection"=dword:00000001

Damit die Änderung wirksam wird, muss der DHCP-Serverdienst neu gestartet werden:

 net stop dhcpserver
 net start dhcpserver

Alternativ kann der Server neu gebootet werden.

Das Deaktivieren der Rogue Detection ist in kontrollierten Netzwerken unkritisch und verhindert, dass der DHCP-Dienst aufgrund falsch erkannter „fremder“ Server nicht startet.

Die Rogue Detection reagiert sehr empfindlich auf jegliche DHCP-ähnlichen Signale im Netzwerk. In der Praxis führt dies häufig zu Fehlalarmen. Typische Auslöser:

• **Consumer-Access-Points oder WLAN-Router**

Viele günstige Geräte aktivieren automatisch einen eigenen DHCP-Server (oft ohne sichtbare Option zum Abschalten). Schon wenige DHCP-OFFER-Pakete reichen aus, um den Windows-DHCP-Dienst zu blockieren.

• **Billige Switches mit „IP-Helper“- oder „DHCP-Relay“-Funktionen**

Manche Geräte senden unvollständige oder falsch formatierte DHCP-Pakete, die von Windows als fremder Server interpretiert werden.

• **Drucker, Multifunktionsgeräte oder IoT-Geräte**

Einige Modelle haben eingebaute Mini-DHCP-Server für Direktverbindungen oder Service-Modi. Diese werden oft ungewollt aktiv.

• **Virtualisierungsumgebungen**

Hypervisoren wie VMware, VirtualBox oder Hyper-V können interne DHCP-Server für Host-Only- oder NAT-Netze betreiben. Wenn falsch gebridged, tauchen diese Pakete im Produktionsnetz auf.

• **Fehlkonfigurierte VPN-Gateways**

Manche VPN-Appliances senden DHCP- oder Proxy-DHCP-Pakete ins LAN, die Windows als „Rogue Server“ interpretiert.

• Der DHCP-Serverdienst startet nicht oder beendet sich unmittelbar.
• Ereignisanzeige meldet „Rogue DHCP Server detected“.
• Clients erhalten keine IP-Adressen mehr.
• Produktionsbetrieb kann vollständig zum Stillstand kommen.

In kontrollierten, professionell verwalteten Netzwerken ist das Deaktivieren der Rogue Detection über den Registry-Wert *DisableRogueDetection* die zuverlässigste und stabilste Lösung.