Co dělat, když systém Windows přiřadí IP adresu APIPA (169.xxx): skutečné příčiny a definitivní řešení

Pokud se vaše zařízení zobrazí s adresou 169.254.xx a síť zobrazí varování o omezeném připojení, je velmi pravděpodobné, že funguje automatické adresování APIPA. Tento mechanismus přiřazuje nouzovou lokální IP adresu, když DHCP Falla, což umožňuje určitou komunikaci ve stejné fyzické síti, ale bez přístupu k jiným sítím.

V domácím i firemním prostředí se jedná o opakující se téma: karty v DHCP, které nedostávají odpověď a spadají do APIPA, notebooky, které se připojují přes Wi-Fi bez internetu, nebo servery, které kvůli specifickému problému přestanou obnovovat svůj pronájem. Pochopení toho, co je APIPA, jak funguje a jak ji deaktivovat nebo diagnostikovat Ušetří vám to čas a bolesti hlavy.

Co je APIPA a k čemu slouží?

APIPA (Automatické privátní IP adresování) je funkce IPv4, která automaticky konfiguruje rozhraní s adresou z bloku 169.254.0.0/16, pokud není k dispozici žádný DHCP server. Přiřazuje pouze IP adresu a masku 255.255.0.0, bez brány nebo DNS., takže umožňuje lokální komunikaci mezi zařízeními na stejném segmentu a ničím jiným.

Tento prostor je vyhrazen organizací IANA pro link-local adresy dle RFC 3927 a spadá do tzv. link-local rozsahů. V praxi APIPA udržuje síť „při životě“ na místní úrovni. když neexistuje platná konfigurace, ale není směrovatelná nebo vhodná pro přístup k internetu.

Důležité je stanovit pravidla: RFC 3330 (později nahrazeno RFC 5735) a RFC 3927 definují použití těchto adres. Použitelný rozsah na počítačích je obvykle od 169.254.1.0 do 169.254.254.255, přičemž oba konce zůstanou rezervované (169.254.0.x a 169.254.255.x) a jako vysílání se použije 169.254.255.255.

Jak APIPA funguje podrobně

Pokud je rozhraní v režimu DHCP a neobdrží odpověď, systém aktivuje APIPA. Klient při spuštění odesílá několik příkazů DHCPDISCOVER.; běžný popis je, že provede 3 nebo 4 požadavky během několika sekund a pokud není žádná odpověď, zahájí automatickou konfiguraci lokálního linku.

Během automatické konfigurace si zařízení vybere pseudonáhodnou IP adresu v povoleném rozsahu a před jejím nastavením ověří pomocí sond (ARP nebo broadcast), zda není používána. Pokud zjistí konflikt, zkusí jinou adresu, a to až do maximálního počtu pokusů.; některé texty popisují až 10 pokusů, než se vzdají, pokud střety přetrvávají.

Jakmile je přiřazen, klient nadále pravidelně vyhledává DHCP server. Například ve Windows se požadavky DHCP opakují přibližně každých 5 minut.Pokud se zobrazí server, zásobník TCP/IP nahradí IP adresu APIPA platným pronájmem.

APIPA se vztahuje pouze na IPv4; V IPv6 se používá bezstavová autokonfigurace (SLAAC)., popsaný v RFC 2462 (nyní aktualizovaný RFC 4862 ), s odlišným mechanismem a lokálními adresami linky s předponou fe80::/10.

APIPA ve Windows: chování a zvláštnosti

V moderních systémech Windows je APIPA ve výchozím nastavení povolena. Pokud zásobník nepřijímá DHCP, přiřadí se sám a pravidelně se pokouší znovu získat zapůjčení.Funkce Media Sense navíc zrychluje opakované pokusy po obnovení připojení.

Ve starších verzích, jako je Windows 98, Media Sense neexistoval, což mohlo zpozdit opětovné připojení po fyzickém selhání. Systémy Windows 2000, XP, 7, 10 a novější obsahují Media Sense a další doplňkové funkce, jako je ICMP Router Discovery nebo RIP listening pro zlepšení síťového kontextu.

Některé implementace systému Windows generují IP adresu APIPA hashováním MAC adresy rozhraní, hledání stability po restartu a snížení pravděpodobnosti duplikací (vždy s předchozí kontrolou konfliktů).

Jak zjistit, zda jste v programu APIPA

V systému Windows 2000/XP/Server 2003 a novějších verzích otevřete příkazový řádek a spusťte: ipconfig /all pro kontrolu bloku automatické konfiguracePokud je povolena automatická konfigurace a IP adresa je 169.254.xy s maskou 255.255.0.0, nacházíte se v protokolu APIPA.

Ve starších edicích Windows (Windows 98, Windows Me) umožňuje nástroj winipcfg zjistit, zda v adresáři 169.254.xx pod označením autokonfigurace existuje adresa. Pokud vidíte tuto IP adresu, znamená to, že není k dispozici žádný pronájem DHCP..

Zakázání nebo povolení APIPA ve Windows

APIPA lze v závislosti na konkrétním případě zakázat, přičemž se zachová nebo zakáže používání DHCP. To se provádí úpravou registru systému Windows, přičemž trasa se mění v závislosti na verzi systému.

• Ve Windows 98/Me: přidejte položku DWORD 'IPAutoconfigurationEnabled' s hodnotou 0x0 do: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\DHCP.
• Ve Windows 2000/XP/Server 2003: přidejte 'IPAutoconfigurationEnabled' (DWORD 0x0) pod konkrétní rozhraní: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<GUID_del_adaptador>.
• V novějších verzích (Windows 7/8/10/11) se také objeví odkazy na obal globálních parametrů TCP/IP: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersNezapomeňte, že hodnota 1 APIPA povoluje a hodnota 0 jej zakazuje.

Po změně registru se doporučuje restartovat počítač, aby se nastavení projevilo. Než se čehokoli dotknete, zálohujte si registr., zejména u kritických zařízení.

Typické scénáře, ve kterých se APIPA objevuje

Spuštění bez předchozího zapůjčení a bez DHCP: klient se spustí, vydá několik zpráv o zjišťování (3 nebo více) a Pokud nedojde k žádné odpovědi, přiřadí si IP adresu třídy B v rámci 169.254/16.Pokračujte v opakování v intervalech.

S předchozím zapůjčením a bez DHCP: zařízení dotazuje výchozí bránu; Pokud to reaguje, ponechte starou IP adresu.Pokud nedojde k žádné odpovědi nebo není nakonfigurována žádná brána, aktivuje se APIPA a uživateli jsou hlášeny chyby.

Platnost pronájmu vypršela a chybí DHCP: klient se pokouší o obnovení; Pokud nenajde server, vrátí se k APIPA., odesílá několik detekcí a cyklus opakuje každých několik minut, dokud se server znovu nepřipojí k internetu.

Rychlá diagnostika, když uvidíte 169.254.xx

Začněte se základy: zkontrolujte kabely, propojení, stav routeru nebo switche a službu DHCP zařízení, které ji nabízí (doma je to obvykle router). Řízený restart routeru a síťového rozhraní vynutí opětovné vyjednávání.

Ve Windows spusťte tyto příkazy v příkazovém řádku s oprávněními zvýšenými oprávněními pro resetování zásobníku: Jsou bezpeční a obvykle řeší časté incidenty.

netsh int ip reset c:\resetlog.txt
netsh winsock reset
ipconfig /flushdns
ipconfig /registerdns
ipconfig /release
ipconfig /renew

Zkontrolujte také, zda je služba „DHCP Client“ aktivní (services.msc), a v případě potřeby Povolení DHCP ve Windows 10. Musí být ve stavu Spuštěno a typ spouštění Automatické. aby rozhraní správně získávalo granty.

Pokud používáte Wi-Fi, zkontrolujte kompatibilitu adaptéru se zabezpečením přístupového bodu (WPA/WPA2 atd.) a kvalitou signálu. Špatné vyjednávání může zabránit získání duševního vlastnictví i přesto, že vidí SSID a přidružuje se.

Kontroly DHCP serveru nebo routeru

V sítích s vyhrazeným DHCP serverem je vhodné podívat se na protokoly a stav oborů. Odstraní zbývající položky z adresy 169.254.xx, pokud byly uloženy omylem. a ujistěte se, že aktivní bazén není vyčerpaný.

Dobré provozní postupy: deaktivujte nepoužívaná rozhraní, přiřazuje platnou statickou IP adresu rozhraním pro správu, nasaďte DHCP v každé podsíti a zkontrolujte pokročilé možnosti (například zjišťování všesměrového vysílání, pokud je to relevantní).

V domácím prostředí se přihlaste do rozhraní routeru a ověřte, zda je DHCP server povolen a má dostatečný dosah. Aktualizace firmwaru routeru pomáhá opravit známé chyby. a zlepšuje výkon a stabilitu.

Řešení konfliktů a jejich dopadů

Konflikty IP adres mohou být důsledkem duplicitních ručních přiřazení, chyb DHCP nebo špatně spravovaných rezervací. Identifikace typu konfliktu je klíčová pro rozhodnutí, zda nastavit statické, obnovit dynamické nebo zrušit pronájmy..

V podnicích mohou dva počítače se stejnou IP adresou zastavit kritické služby, zejména pokud konflikt ovlivňuje servery. Pravidelné monitorování a audit sítě vám umožňuje předvídat problémy. a zkrátit prostoje.

APIPA a bezpečnost: možné zneužití a protiopatření

Některé zdroje uvádějí, že trvalé vynucování APIPA ve Windows může být zneužito ke zlým úmyslům, například úpravou položek registru souvisejících s automatickou konfigurací, DHCP nebo metrikami rozhraní. Cílem útočníka by bylo přerušit připojení hostitele do offline režimu. změna citlivých parametrů.

Mezi nastaveními zmíněnými v tomto kontextu jsou klíče jako „IPAutoconfigurationEnabled“, „EnableDHCP“, „DhcpConnForceBroadcastFlag“ nebo metriky rozhraní v ...\Tcpip\Parameters\Interfaces\<GUID>. I když jejich znalost pomáhá při obraně, není vhodné je automatizovat bez kontroly. protože si síť můžete zablokovat sami.

Protiopatření: Omezení administrátorských oprávnění, ochrana registru, posílení zásad pro koncové body, Sledování neobvyklých změn v síti a používání skriptů pro obnovení (reset TCP/IP)A samozřejmě, pravidelná aktualizace ovladačů a operačního systému snižuje riziko útoku.

Linux: Zeroconf, Avahi a jak je zakázat

V systému GNU/Linux je ekvivalentní chování spojeno s programem Zeroconf a démonem avahi-autoipd. Pokud nechcete, aby rozhraní používalo adresu 169.254/16, existuje několik způsobů. v závislosti na distribuci.

V klasických systémech Red Hat/CentOS se Zeroconf obvykle zakazuje přidáním následujícího do globální konfigurace: nastavte 'NOZEROCONF=yes' a restartujte síť aby se zabránilo automatickým trasám lokálního propojení.

# /etc/sysconfig/network
NETWORKING=yes
NOZEROCONF=yes
# Reinicio del servicio
service network restart

Pokud používáte Avahi, může být v závislosti na síťových zásadách nutné restartovat nebo zakázat jeho démona. Na starších systémech SysV uvidíte cesty jako '/etc/init.d/avahi-daemon restart'; upravte správce služeb vaší verze.

Dalším přístupem je rychlé odstranění trasy 169.254.0.0/16 a nastavení platných tras pro vaši podsíť pomocí ip/route. Jako trvalé opatření můžete zakomentovat řádky, které přidávají cestu k lokálnímu odkazu ve skriptech avahi-autoipd. pokud je vaše distribuce používá.

# Ejemplo orientativo (ajusta a tu entorno)
# Eliminar ruta link-local y forzar gateway de la LAN
ip route del 169.254.0.0/16 dev eth0
ip route add 192.168.1.0/24 via 192.168.1.1 dev eth0 metric 100

Další praktické kroky, které často pomáhají

Aktualizace ovladače síťového adaptéru (a firmwaru routeru, pokud je to relevantní) řeší nekompatibility a selhání vyjednávání. Pokud není k dispozici nová verze, přeinstalace ovladače někdy vymaže poškozené stavy. po měsících používání.

Pokud situace přetrvává a máte podezření na instalaci systému, může být obnovení operačního systému nejrychlejším způsobem. Pokud jste již vyloučili hardware a DHCP, udělejte si zálohu a zvažte čistou instalaci..

Na počítačích s více rozhraními (fyzickými i virtuálními) zkontrolujte priority a metriky. Virtuální karty hypervizoru mohou rušit Pokud je metrika vyšší než fyzická síťová karta, měla by jít do místní sítě LAN.

Chcete-li zobrazit směrovací tabulku a související metriky ve Windows, použijte: Takto budete vědět, které rozhraní „vítězí“ v rozhodování o směrování..

netstat -rn

Pokud potřebujete metriku upravit ručně, přejděte do vlastností TCP/IPv4 karty, do rozšířených možností a v hlavním rozhraní zrušte zaškrtnutí políčka automatické metriky, abyste nastavili nízkou hodnotu (např. 1). Zbytek lze nechat na automatice. aby nedošlo k překvapení.

Preguntas frecuentes

• Proč můj tým komunikuje s ostatními pouze na čísle 169.254.xx? Protože APIPA nekonfiguruje brány ani DNS. V rámci stejného spojení existuje pouze lokální připojení na vrstvě 3 a neprocházejí se žádné routery.
• Zmizí APIPA sama od sebe? Ano, když DHCP server odpoví a doručí platný pronájem. Systém Windows se každých několik minut pokouší najít server a nahradí lokální IP adresu linky bez ručního zásahu.
• Můžu použít 169.254.xx jako pevnou IP adresu, „protože to funguje“? To není dobrý nápad. Není to směrovatelné a porušuje to účel rozsahu link-local. Pro statické privátní IP adresy se používají rozsahy RFC1918.
• Jak zakážu APIPA bez odstranění DHCP? Upravte registr a nastavte proměnnou „IPAutoconfigurationEnabled“ na hodnotu 0 na odpovídajícím rozhraní. Starší verze mají jiné cesty ke klíčům; viz část o zakázání.

Počítač zobrazující adresu 169.254.xx sám o sobě není „problémem“, ale spíše příznakem, že nebyl získán pronájem DHCP. S výše uvedenými kontrolami (služba DHCP, kabely, ovladače, firewall a metriky) Normální je vrátit se k platné IP adrese a znovu získat plné připojení.