So erkennt man, wer eine DHCP-Reservierung gelöscht hat

Netwrix Auditor for Windows Server

Um einen Alarm auszulösen, jedes Mal wenn jemand eine DHCP-Reservierung löscht:

1. Netwrix Auditor Event Log Manager starten → Klicken Sie auf "Bearbeiten" → Klicken Sie auf "Hinzufügen" → Füllen Sie das Feld "Computername" aus und klicken Sie auf "OK" → Geben Sie das Konto an, das zur Datensammlung verwendet wird → Klicken Sie auf "Speichern".
2. Klicken Sie auf die Schaltfläche „Konfigurieren“ neben „Alerts“ → Klicken Sie auf „Hinzufügen“ → Geben Sie den Namen des neuen Alerts und weitere Details an → Klicken Sie auf die Schaltfläche „Hinzufügen“, um das Fenster „Event Filters“ zu öffnen.
3. Wechseln Sie zum Tab „Ereignisfelder“ → Aktivieren Sie das Kontrollkästchen „Ereignis-ID“ und setzen Sie dessen Wert auf „107“ → Aktivieren Sie das Kontrollkästchen „Kategorie“ und setzen Sie dessen Wert auf „0“ → Klicken Sie auf „OK“.

Immer wenn jemand eine DHCP-Reservierung löscht, erhalten Sie einen ähnlichen Alarm:

Native Auditing

1. Öffnen Sie das DHCP Microsoft Management Console (MMC) Snap-In.
2. Im Konsolenbaum klicken Sie auf den DHCP-Server, den Sie konfigurieren möchten → wählen Sie IPv4 oder IPv6.
3. Rufen Sie das Menü auf, indem Sie mit der rechten Maustaste auf eine DHCP-Instanz klicken → Gehen Sie zu Eigenschaften → Wählen Sie auf dem „Allgemein“-Tab „DHCP-Auditprotokollierung aktivieren“ → Klicken Sie auf „OK“.
4. Führen Sie evenvwr.msc aus → Navigieren Sie zu „Anwendungs- und Dienstprotokolle“ → Gehen Sie zu „Microsoft“ → Klicken Sie auf „Windows“ → Wählen Sie „DHCP-Server“ → Klicken Sie auf „Microsoft-Windows-DHCP Server Events/Operational“.
5. Suchen Sie nach der Ereignis-ID 107, um herauszufinden, wer eine DHCP-Reservierung gelöscht hat.
   Wenn jemand eine DHCP-Reservierung löscht, erhalten Sie eine ähnliche Benachrichtigung:

Erfahren Sie mehr über Netwrix Auditor for Windows Server

Überwachen Sie das Löschen von DHCP-Reservierungen, um Systemausfälle zu vermeiden

Das Löschen einer DHCP-Reservierung kann dazu führen, dass IT-Dienste nicht verfügbar sind. Beispielsweise können Benutzer Probleme beim Zugriff auf E-Mails, Dateiserver, SharePoint usw. haben. Und weil Benutzer nicht auf Dateien auf gemeinsam genutzten Unternehmensressourcen zugreifen oder ihre Mailboxen verwenden können, wird der IT-Helpdesk eine deutliche Zunahme des Ticketvolumens verzeichnen. Um das Risiko der Systemnichtverfügbarkeit und der daraus resultierenden fehlgeschlagenen Zugriffsversuche zu minimieren, müssen IT-Administratoren DHCP-Reservierungen im Auge behalten und Löschungen so schnell wie möglich erkennen.

Netwrix Auditor for Windows Server bietet Einblick in die Aktivitäten von Windows Server und liefert aussagekräftige Informationen über alle Zugriffsereignisse und Änderungen auf Windows Server, einschließlich der Löschung von DHCP-Reservierungen. Anschließend können IT-Mitarbeiter mithilfe der Interaktiven Suche eine leicht verständliche Berichterstattung erstellen, die alle Details über eine gelöschte DHCP-Reservierung zeigt, einschließlich wer sie gelöscht hat, wann und wo die Löschung stattfand und weitere Einzelheiten. Die Lösung benachrichtigt IT-Administratoren auch über gelöschte reservierte IP-Adressen, indem sie ihnen E-Mail-Benachrichtigungen sendet, um die Systemverfügbarkeit weiterhin zu gewährleisten.