Сбой авторизации dhcp сервера код ошибки 20070 - Решение и исправление самых разных ошибок на TopOshibok.ru

We’re gonna solve the DHCP server authorization issue in this post. Error code looks like below:

“The authorization of DHCP Server failed with Error Code: 20070. The DHCP service couldn’t contact Active Directory.”

This is possibly due to user permissions on AD. Ensure you input Domain Administrator (DA) Credentials in the DHCP Commit dialog box, instead of proceeding with logged in account. There are chances that though you logged into DC using some user credentials, it doesn’t necessarily mean you are DA/EA. It could just be an account Admin locally, but not on Domain/forest. Check the DA user in ADUC and ensure you input those credentials to solve this.

Other things you should try if the credentials are DA is, ensure AD services are up and running. Check launching ADUC, Try Restarting DHCP Server services, Try re-installing DHCP from server manager. If you still encounter any issues, please message here, so we can further look into it to get it resolved.

Cheers!
Chaladi

Источник

Remove From My Forums

Question
Hi,

Windows Server 2012R2 is installed as a Guest OS on VMware Workstation. Network Setting of Windows Server 2012R2 is LAN Segment.
Internet service is not required on Windows Server 2012R2. And I am facing DHCP Authorization issue. Configurations are as following:

Please guide me to fix this issue.

Regards
InTech
- Edited by
  
  Wednesday, August 24, 2016 9:17 PM
  details were missing.

Answers

Hi,

As I mentioned in my last reply,if you have your own DNS server,set this server in client’s TCP/IP properties manually,or DHCP scope option 006 for obtain DNS sever address automatically.And set 8.8.8.8 as forwarder in DNS server properties if you need external
resolving.

________________________________________
Best Regards,
Cartman
Please remember to mark the replies as answers if they help and
unmark them if they provide no help. If you have feedback for TechNet Support, contact
tnmff@microsoft.com.
- Proposed as answer by
  Cartman ShenMicrosoft contingent staff
  Tuesday, September 6, 2016 5:19 AM
- Marked as answer by
  Cartman ShenMicrosoft contingent staff
  Thursday, September 8, 2016 5:16 AM

Источник

Hi,

This is not a VMware issue but a configuration problem in your virtual Windows 2012 server.

I’m not a Windows administrator, but I think that your initial preferred DNS server should at least point to your own server instead of to google’s DNS.

You might even have to start over, can’t remember exactly as it’s been a while since I configured one of those, but you have to choose the correct steps for active directory in the wizard while setting up your DHCP server.

I think you’ll have more luck posting this specific issue in one of microsoft’s forums.

—

Wil

| Author of Vimalin. The virtual machine Backup app for VMware Fusion, VMware Workstation and Player |
| More info at vimalin.com | Twitter @wilva

Источник

Remove From My Forums

Question
I have added the DHCP role in Windows 2019 server and now I’m trying to complete the dhcp configuration by authorizing DHCP. when i try to authorized dhcp with AD its showing error. My AD admin only trying to authorized by his credential but
still giving same error. Appreciate if anyone can help me on this pls?
- Edited by
  Kaushalparab
  Thursday, July 16, 2020 2:56 AM

All replies

Hi ,

To authorize or unauthorize a DHCP Server, you must use a user account that is a member of the Enterprise Admins security group or an account with delegated permissions for that domain.

Please check if your user account is a member of the Enterprise Admins security group.

Also Check if the following link is helpful:

[Solved] How to Fix DHCP server Authorization failed with Error Code: 20070

Please Note: Since the web site is not hosted by Microsoft, the link may change without notice. Microsoft does not guarantee the accuracy of this information.

This «IPAM, DHCP, DNS» Forum will be migrating
to a new home on Microsoft Q&A, please refer to this sticky
post for more details.

Best Regards,

Candy

«IPAM, DHCP, DNS» forum
will be migrating to a new home on Microsoft Q&A!

We invite you to post new questions in the «IPAM, DHCP, DNS»
forum’s new home on Microsoft Q&A!

For more information, please refer to the sticky
post.
- Edited by
  Candy LuoMicrosoft contingent staff
  Thursday, July 16, 2020 8:22 AM
- Proposed as answer by
  Candy LuoMicrosoft contingent staff
  Wednesday, July 22, 2020 8:59 AM
Hi ,

Just want to confirm the current situations.

Please feel free to let us know if you need further assistance.

Best Regards,

Candy

Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com

Источник

Обновлено 17.04.2019

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. Ранее мы с вами говорили про принципы работы DHCP протокола и разбирали его поэтапно. В сегодняшней заметке, мне бы хотелось осветить вопрос по защите и безопасности DHCP сервера, и речь пойдет, о авторизации и решения проблем с ней. Ситуаций в жизни бывает много, так что как говорится прокачаем свой навык траблшутинга. Уверен, что мой скромный опыт будет кому-то полезен.

Когда вы устанавливаете Active Directory в своей компании, то у вас появляется тройка ролей, которые очень часто идут вместе, я говорю про AD, DNS и DHCP. Эта тройка позволяет системному администратору получить все прелести и преимущества доменной структуры. Очень важным аспектом любой современной IT инфраструктуры, является аспекты безопасности и в случае DHCP, это очень актуально. Небольшое воспоминание из практики. Когда я еще только начинал свой путь инженера, то я плохо разбирался в сетевых протоколах и технологиях, знал так сказать азы. Я знал, что у нас в окружении установлен Windows DHCP сервер и, что он сам раздает ip-адреса. В один из рабочих дней мне позвонил менеджер и сказал, что у него пропал интернет и доступ к сетевым шарам.

Когда я к нему подошел, то стал проводить сетевую диагностику, где одним из этапов было вычисление полученного ip-адреса. Какого же было мое удивление, когда я за место диапазона 192.168.100.0 увидел диапазон адресов 192.168.1.0. Я точно знал, что на моем DHCP сервере такой области нет. В итоге оказалось, что один из программистов принес WIFI роутер в то время, это было диковинкой, а так как мозги данного устройства работали на Linux платформе, то его DHCP сервер отрабатывал быстрее, чем в Windows сервере, что в итоге вело к выдаче адресов из другой области. Вот для предотвращения таких вещей и есть авторизация DHCP сервера.

У каждого вендора своя технология авторизация данного сервиса, например в Cisco оборудовании есть технология DHCP snooping, которая делит порты на которых работает служба на да типа, на которых, это можно делать и на которых нельзя. Там где нельзя, все пакеты с DHCP сервиса будут дропаться. В Windows среде есть авторизация сервера в инфраструктуре Active Directory. Вся соль в том, чтобы если в сети появится Windows DHCP сервер и он не будет авторизован в Active Directory, то его скоупы просто не заработают и выдачи ip-адресов не будет.

Требования к серверу перед авторизацией

Авторизация DHCP сервера является обязательной процедурой и требует соблюдения некоторых вещей:

Ваш сервер DHCP должен быть членом Active Directory
У вас должны быть права на авторизацию его в AD, администратор предприятия или делегированная группа.
Не должно быть проблем с созданием и редактированием атрибутов и классов в схеме Active Directory

Интересные моменты

Сервер DHCP проверяет свою авторизацию в AD DS каждый час. Он использует протокол LDAP [MS-ADTS] для связи с Active Directory и проверки, авторизован ли он для обслуживания IP-адресов.
При установке в среде с несколькими лесами DHCP-серверы запрашивают авторизацию изнутри. После авторизации серверы DHCP в среде с несколькими лесами сдают в аренду IP-адреса всем доступным клиентам.
Если вы устанавливаете роль DHCP на контроллере домена, сервер автоматически авторизуется. Если вы устанавливаете его на рядовой сервер, вам нужно будет вручную выполнить процесс авторизации одним из следующих способов.
Если в сети появится DHCP сервер, отличный от Windows платформы, то он сможет раздавать IP-адреса и авторизация ему не потребуется. Чтобы этого избежать нужны технологии на подобии DHCP snooping и системы анализа трафика.

Давайте теперь поговорим, о методах которые смогут добавить ваш DHCP сервер, как доверенный в раздел конфигурации базы данных Active Directory.

Авторизация после установки из оснастки в мастере
Из оснастки, после всех настроек
Авторизация после установки роли, через PowerShell
Авторизация сервиса после установки роли через командную строку и утилиту netsh

Первый метод авторизации DHCP

Я покажу его на примере Windows Server 2019, когда вы установили роль DHCP, вас попросят закончить настройку. В итоге у вас откроется окно мастера, где вас попросят авторизовать в Active Directory, обращаю внимание, что вы на этом этапе можете ее пропустить. Напоминаю, что права должны быть минимум администратора домена или аналогично делегированные.

Второй метод авторизации DHCP

Вторым методом я могу выделить возможность, произвести авторизацию сервиса в AD в самой оснастке, после настройки области IPV4 или IPV6. Для этого нажмите в оснастке по самому корню правым кликом и выберите в контекстном меню пункт «Авторизовать».

Так же в данной оснастке можно авторизовать и удаленный сервер, для этого щелкните правым кликом по корню и выберите пункт «Список авторизованных серверов».

В окне «Список авторизованных серверов» нажмите кнопку «Авторизовать». У вас откроется дополнительное окно, где можно указать DNS имя или IP-адрес. Я впишу мой второй дополнительный сервер с ip-адресом 192.168.31.3.

Произойдет поиск роли DHCP на данном сервере. Если она там есть то появится дополнительное окно, где нужно нажать «ОК».

Все сервер у вас должен появится в списке авторизованных.

Авторизовать DHCP-сервер с помощью Netsh

Откройте командную строку с правами администратора и введите следующую команду для авторизации DHCP-сервера.

Команда показывает мои текущие авторизованные серверы в домене, как видим у меня он один dc01/root/pyatilistnik.org. В окне «Управление авторизованными серверами» его видно. Далее авторизуем новый сервер svt2019s01.root.pyatilistnik.org с ip-адресом 192.168.31.3

netsh dhcp add server svt2019s01.root.pyatilistnik.org 192.168.31.3

После этого я сделал вывод списка авторизованных DHCP и вижу, что их теперь два.

Авторизовать DHCP-сервер с помощью PowerShell

Естественно я не могу обойти стороной любимый язык PowerShell, так как он с поставленной задачей справляется на 5+. Откройте свой PowerShell в режиме администратора и выведите для начала список текущих DHCP адресов в домене.

Вижу, что в данный момент он один.

Теперь, чтобы добавить второй сервер, выполните команду:

Add-DhcpServerInDC -DnsName «svt2019s01.root.pyatilistnik.org» -IPAddress 192.168.31.3

Как деактивировать DHCP сервер

Логично предположить, что методов деактивации тоже четыре.

Из оснастки DHCP сервера, для этого правым кликом по названию сервера и из контекстного меню выбираем пункт «Запретить».

Второй метод деактивации — это из окна «Управление авторизованными серверами», выбираем нужный и нажимаем кнопку «Запретить»

Третий метод запретить конкретный сервис, это утилита командной строки netsh.

netsh dhcp delete server svt2019s01.root.pyatilistnik.org 192.168.31.3

Последний метод деактивации, это в PowerShell

Remove-DhcpServerInDC -DnsName «svt2019s01.root.pyatilistnik.org -IPAddress 192.168.31.3

Где прописывается DHCP в конфигурации Active Directory

Теперь хочу вам показать, где в классах и с какими атрибутами прописываются записи авторизованных DHCP серверов. Откройте редактор атрибутов AD и зайдите в раздел конфигурации. Перейдите по пути: CN=Services,CN=Configuration,DC=root,DC=pyatilistnik,DC=org. В данном контейнере вы увидите записи ваших авторизованных DHCP сервисов и очень важную запись CN=DhcpRoot, если ее нет, то это плохо.

Когда вы пытаетесь авторизовать сервер, то первым делом проверяется наличие записи CN=DhcpRoot ,и если она не найдена, то вы не сможете завершить вашу операцию

Когда вы успешно авторизовываете ваш сервис в Active Directory, то он должен создать запись класса dHCPClass в CN должно быть его имя и различающееся имя (distinguished name). Если зайти в свойства любой записи сервиса, то вы обнаружите атрибут dhcpServer, тут должен быть прописан ip-адрес и его DNS-имя.

Во времена Windows 2000, атрибут dhcpServer должен был заполняться у записи CN=DhcpRoot в соответстующем атрибуте, с Windows Server 2003, перестало записываться (https://blogs.technet.microsoft.com/askpfeplat/2015/06/22/windows-server-dhcp-server-migration-two-issues-from-the-field/). Так же записи из контейнера CN=Services AD — сайты и службы (Active Directory Site and Service)вы можете посмотреть и из оснастки. Единственное, вам нужно включить опцию «Показать узел служб»

В итоге у вас появится контейнер «Services», далее «NetServices», в котором вы увидите весь список.

Бывают ситуации, что непрофессиональный администратор выключил и удалил сервер DHCP, заменив его на другой, и не деактивировал старый, в результате он будет числиться как потерявшийся, и чтобы его убрать из списка, вам нужно удалить в данном контейнере его запись

Из-за не правильной деактивации DHCP или восстановлении сервера из резервной копии приличной давности, он у вас может не запускать и при попытке пройти авторизацию написать «Параметр задан неверно»

В таких случаях вам нужно проверять наличие CN=Services,CN=Configuration,DC=root,DC=pyatilistnik,DC=org записи вашего сервера. Если ее нет, то придется создать ее с нуля. Через правый клик создаем новый объект AD.

Выбираем класс объекта dhcpServer.

Прописываем Common-name вашего сервера.

dhcp-Unique-key ставим 0.

dhcp-type ставим 1.

В dhcp-identification прописываем distinguished name сервера.

После создания записи, попробуйте перезапустить DHCP на нужно сервере. Если не поможет, то удаляете данную запись, и заново пробуете его авторизовать, бывает помогает.

Как дать права на авторизацию DHCP сервера

На сколько мне известно, чтобы у вас была возможность авторизовывать серверы DHCP, то вы должны быть администратором предприятия (Enterprise Admin). Понятно, что в данной группе должно быть минимум людей. Вы можете делегировать данные права, любой группе или пользователю. Для этого, в оснастке Active Directory — сайты и службы с включенной опцией «Показать узел служб» вы нажимаете правым кликом по контейнеру NetServices и выбираете пункт делегирование управления.

На первом шаге, вам необходимо указать пользователя или группу, для которой будут выданы права на управление DHCP авторизацией.

Выбираем создание особой задачи для делегирования.

Оставляем пункт «Этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»

На следующем шаге, даем полные права. После этого у нужной группы появится возможность авторизовывать сервера DHCP в вашем домене Active Directory.

На этом я хочу закончить эту статью, она получилась и так очень длинной. Если у вас остались вопросы, то пишите их в комментариях, я на них постараюсь ответить. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org,

Источник

Question

Answers

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" alt="RRS feed" src="https://i1.social.s-msft.com/globalresources/Images/trans.gif?cver=0001" />

Question

All replies

Требования к серверу перед авторизацией

Интересные моменты

Первый метод авторизации DHCP

Второй метод авторизации DHCP

Авторизовать DHCP-сервер с помощью Netsh

Авторизовать DHCP-сервер с помощью PowerShell

Как деактивировать DHCP сервер

Где прописывается DHCP в конфигурации Active Directory

Как дать права на авторизацию DHCP сервера