Langzame DHCP troubleshooten

maandag 25 september 2017 08:38

Acties:

Topicstarter

Wat mij al een tijdje opvalt in ons bedrijfsnetwerk is dat het +/- 20-30 seconden duurt voordat de netwerkverbinding op een willekeurige PC werkt. DHCP draait op een Server 2008R2. Daarnaast is er nog een VPN verbinding naar een andere locatie met volgens mij een SBS server.

Nu heb ik Wireshark geinstalleerd op mijn PC om te kijken of ik hier al iets bijzonders kon zien. Ik heb gefilterd op 'port 67 or port 68' zoals hier stond beschreven: https://wiki.wireshark.org/DHCP

Wat me opvalt is dat mijn PC vijf DHCP Requests stuurt voordat er een DHCP Ack komt.
Afbeeldingslocatie: https://tweakers.net/ext/f/jcng0wNZCENU3rDmDp56N9Mw/full.png

Afbeeldingslocatie: https://tweakers.net/ext/f/jcng0wNZCENU3rDmDp56N9Mw/full.png

Verder zie ik geen discover of offer, klopt dat? Ik had verwacht om misschien een Offer te zien van de SBS server in het andere netwerk die loopt te storen maar dat kan ik zo niet zien.

Hoe ik nu verder moet troubleshooten weet ik even niet. Op internet zie ik wel een aantal tutorials over wat je moet doen als DHCP helemaal niet werkt, maar hier werkt het wel, alleen traag.

maandag 25 september 2017 10:10

xares

Wellicht heeft het te maken met spanning-tree op je switch?
Portfast aanzetten bijvoorbeeld.

maandag 25 september 2017 08:46

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Hoe ziet je netwerk er exact uit?

Je hebt een SBS server, maar ook nog andere DHCP-servers? Je weet dat SBS daar niet heel erg lekker mee omgaat?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 25 september 2017 09:42

Acties:

maarud

Topicstarter

Op HQ heb ik verscheidene 2008R2 servers waarvan één DC en DNS doet en een andere Fileserver + DHCP doet. Netwerk is 192.168.0.0/24.

Daarnaast een Firewall die DHCP doet voor 2 WiFi-netwerken, 192.168.200.0/24 en 172.31.0.0/24, en ook heeft die een VPN naar een andere locatie waar een SBS server staat in een 192.168.9.0/24 netwerk.

Omdat er dus 4 netwerken zijn feitelijk had ik gehoopt in de DHCP Offer berichten iets te zien waar de reacties allemaal vandaan komen, om te kijken of SBS inderdaad loopt te bokken in ons HQ netwerk. Maar dat kan ik dus niet goed vinden

maandag 25 september 2017 10:07

Acties:

Paul

Is dit bij een zelf geïnitieerde release/renew, of nadat je de PC in de "muur" prikt? En heb je ook de mogelijkheid het aan de kant van de server(s) te checken (switchport in span of mirror, hubje ertussen of worst case Wirewhark op de server zelf zetten)?

Dat je geen Discover en Offer ziet komt omdat je PC waarschijnlijk al een IP had; hij vraagt nu niet aan de server om een compleet nieuw adres, maar roept 'Ik wil w.x.y.z gebruiken, kan dat?'

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 25 september 2017 10:09

Acties:

kunnen

Kun je met Wireshark op de server kijken of de eerste DHCP-pakketjes wel daar aankomen?

https://serverfault.com/q...rver-slow-to-give-out-ips

[ Voor 7% gewijzigd door kunnen op 25-09-2017 10:10 ]

maandag 25 september 2017 10:10

Acties:

Beste antwoord ✓

xares

Wellicht heeft het te maken met spanning-tree op je switch?
Portfast aanzetten bijvoorbeeld.

maandag 25 september 2017 10:48

Acties:

maarud

Topicstarter

Paul schreef op maandag 25 september 2017 @ 10:07:
Is dit bij een zelf geïnitieerde release/renew, of nadat je de PC in de "muur" prikt? En heb je ook de mogelijkheid het aan de kant van de server(s) te checken (switchport in span of mirror, hubje ertussen of worst case Wirewhark op de server zelf zetten)?

Dat je geen Discover en Offer ziet komt omdat je PC waarschijnlijk al een IP had; hij vraagt nu niet aan de server om een compleet nieuw adres, maar roept 'Ik wil w.x.y.z gebruiken, kan dat?'

Dat is een interessante vraag. Screenshot uit de TS was als ik de netwerkstekker er uit haal en er weer in doe.

Volgende is als ik /release en /renew:
Afbeeldingslocatie: https://tweakers.net/ext/f/kKQcGNoKAkd8N5MkXyaj3MSu/full.png

Afbeeldingslocatie: https://tweakers.net/ext/f/kKQcGNoKAkd8N5MkXyaj3MSu/full.png

Bijna instant dus.
Misschien kan ik wel aan de slag met DHCP op de server checken maar dan moet ik me er nog even verder in verdiepen. Wireshark op de server installeren lijkt me in eerste instantie niet bevorderlijk, al is het wel makkelijk natuurlijk

maandag 25 september 2017 10:52

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

maarud schreef op maandag 25 september 2017 @ 09:42:
Omdat er dus 4 netwerken zijn feitelijk had ik gehoopt in de DHCP Offer berichten iets te zien waar de reacties allemaal vandaan komen, om te kijken of SBS inderdaad loopt te bokken in ons HQ netwerk. Maar dat kan ik dus niet goed vinden

Kijk naar de mac-adressen in de traces. Dan kun je zo zien welke machine wat stuurt.

xares schreef op maandag 25 september 2017 @ 10:10:
Wellicht heeft het te maken met spanning-tree op je switch?
Portfast aanzetten bijvoorbeeld.

En dat inderdaad....

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 25 september 2017 10:57

Acties:

Paul

maarud schreef op maandag 25 september 2017 @ 10:48:
Dat is een interessante vraag. Screenshot uit de TS was als ik de netwerkstekker er uit haal en er weer in doe.

Volgende is als ik /release en /renew:
[afbeelding]

Bijna instant dus.

Dan ligt je probleem eerder bij de switches dan bij de DHCP-server; ik vermoed dat wanneer je de PC (tijdelijk) een vast adres geeft je ook 30 seconden niet kan pingen nadat je de stekker eruit haalt en terug stopt.

Wireshark op de server installeren is de laatste uitweg, als je op de switches monitor-, mirror- of span-poorten kan maken is dat natuurlijk een stuk beter

Maar je onmiddelijke probleem: eerst kijken waar je spanning-tree / portfast instellingen op staan op de switch

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 25 september 2017 10:58

Acties:

maarud

Topicstarter

Question Mark schreef op maandag 25 september 2017 @ 10:52:
[...]

Kijk naar de mac-adressen in de traces. Dan kun je zo zien welke machine wat stuurt.

Dat begrijp ik, maar ik bedoelde dat ik niet 4x een DHCP Offer zag dus dat ik het waarschijnlijk niet in die hoek hoef te zoeken. De enige DHCP Offer in de lijst komt ook van de DC met DHCP voor ons HQ netwerk.

Dus ik denk idd @ hierboven dat ik moet inzoomen op de switches.

maandag 25 september 2017 11:39

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Paul schreef op maandag 25 september 2017 @ 10:57:
[...]
Wireshark op de server installeren is de laatste uitweg, als je op de switches monitor-, mirror- of span-poorten kan maken is dat natuurlijk een stuk beter

Je kunt met Netsh ook een capture maken op een Windows machine. Die capture file kan dan later gekopieerd worden naar een machine met de message analyzer. Ik gebruik het regelmatig.

Capture a Network Trace without installing anything (& capture a network trace of a reboot)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 25 september 2017 12:28

Acties:

Mel33

Ik volg dit topic ook, Heel leerzaam dit topic.
Ik vraag me af hoe het kan dat ipv6 in mijn log voorkomt, ik heb ipv6 zelfs uitgezet bij mijn netwerkeigenschappen.
En ik heb geen ipv6 van ziggo op het moment.

Bij mij blijkt het ook in de switch te zitten, ik ga eens een nieuwe kopen. mijn 1Gbit cisco switch is al 10 jaar oud.

Ik ben zo blij dat de pen en de som nog steeds machtiger zijn dan het zwaard. ringo-remasterd

maandag 25 september 2017 12:42

Acties:

Paul

mell33 schreef op maandag 25 september 2017 @ 12:28:
Ik vraag me af hoe het kan dat ipv6 in mijn log voorkomt, ik heb ipv6 zelfs uitgezet bij mijn netwerkeigenschappen.

Omdat je het daarmee voor die netwerkadapter uitzet in plaats van voor je PC.

Maar waarom zou je het uitzetten? Heb je er last van?

Bij mij blijkt het ook in de switch te zitten, ik ga eens een nieuwe kopen. mijn 1Gbit cisco switch is al 10 jaar oud.

Waarom? Stroom besparen? Meer functies? Iets anders? Klinkt alsof hij het nog doet...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 25 september 2017 12:51

Acties:

Mel33

Paul schreef op maandag 25 september 2017 @ 12:42:
[...]
Omdat je het daarmee voor die netwerkadapter uitzet in plaats van voor je PC.

Aha ik snap, dank u.
Kheb er een mooie link voor met wat scripti(jes) die het snel voor de pc kunnen regelen
https://support.microsoft...its-components-in-windows

Edit:/
Ik zet het even voor de test uit>
(ik wil naar een managed switch, en hij bokt wel eens, stroom eraf en erop helpt dan)

[ Voor 13% gewijzigd door Mel33 op 25-09-2017 12:55 ]

Ik ben zo blij dat de pen en de som nog steeds machtiger zijn dan het zwaard. ringo-remasterd

maandag 25 september 2017 15:31

Acties:

arnord

Spanning tree, ook hier wel eens een keiharde kopstoot geweest.

dinsdag 26 september 2017 08:30

Acties:

maarud

Topicstarter

Ik heb nu twee switches geïnspecteerd waarbij STP nog op default instellingen staat, dus ik ga nog even verder op onderzoek uit. Valt me ook op dat vaak de lampjes knipperen van computers die uitstaan, maar dat kan natuurlijk ook gewone ARP requests zijn (die zag ik ook veel voorbijkomen op Wireshark) en zal er dus weinig mee te maken hebben?

dinsdag 17 oktober 2017 13:45

Acties:

maarud

Topicstarter

xares schreef op maandag 25 september 2017 @ 10:10:
Wellicht heeft het te maken met spanning-tree op je switch?
Portfast aanzetten bijvoorbeeld.

Afgelopen tijd weer bezig geweest om er in te duiken, en het volgende lijkt me duidelijk:

13-Aug-2007 00:58:33 %LINK-I-Up: 4/g2
13-Aug-2007 00:59:03 %STP-W-PORTSTATUS: 4/g2: STP status Forwarding

Laat dat nu net precies die 30 seconden zijn...

STP dus!

Vraag

Beste antwoord (via maarud op 17-10-2017 13:44)

Alle reacties