Artigo Técnico
Windows Server 2019, 2022 e 2025
RRAS não consegue utilizar o servidor DHCP para atribuir endereços IP
Introdução
Em ambientes RRAS onde são utilizadas VPNs como PPTP, L2TP, SSTP ou IKEv2, pode ocorrer uma situação em que o servidor RRAS não consegue obter leases do servidor DHCP, impedindo os clientes de receberem endereços IP válidos. Este comportamento é comum no Windows Server 2019 e pode igualmente ocorrer em versões mais recentes como 2022 e 2025, devido a alterações nos privilégios atribuídos aos serviços de rede e a diferentes mecanismos de endurecimento de segurança.
Causas possíveis
Permissões insuficientes no serviço DHCP.
Falhas de impersonação entre o serviço RRAS e o serviço DHCP.
Alterações de privilégios aplicadas por atualizações cumulativas.
Escopos DHCP sem endereços suficientes.
Falta de DHCP Relay quando RRAS e DHCP estão em redes diferentes.
Problemas de comunicação RPC entre os serviços.
Isolamento de serviço (service SID) com permissões restritas.
Resolução
A solução mais consistente passa por garantir que o serviço DHCP dispõe dos privilégios necessários para manipular leases destinados aos clientes VPN. Isto é realizado através da configuração da chave RequiredPrivileges e posterior reinício dos serviços.
Passo 1
Adicionar os privilégios necessários ao serviço DHCP
“`
reg add “HKLM\SYSTEM\CurrentControlSet\Services\Dhcp” ^
/v RequiredPrivileges ^
/t REG_MULTI_SZ ^
/d “SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege\0SeImpersonatePrivilege\0” ^
/f
“`
Passo 2
Reiniciar o serviço DHCP
PowerShell
“`
$svc = Get-Service -Name Dhcp
if ($svc.Status -eq “Running”) { Stop-Service Dhcp -Force }
Start-Service Dhcp
“`
Passo alternativo
“`
Stop-Service Dhcp -Force
Start-Service Dhcp
“`
Passo 3
Reiniciar o serviço RRAS
“`
Restart-Service RemoteAccess
“`
Passo 4
Se preferir, pode reiniciar o servidor para garantir que todos os privilégios e serviços são carregados com a configuração atualizada.
Verificações adicionais
Confirmar que o RRAS está configurado para utilizar DHCP em IPv4 Properties.
Garantir que o escopo DHCP está ativo, com leases disponíveis.
Se o DHCP estiver noutro segmento, configurar o DHCP Relay Agent no RRAS.
Validar portas necessárias na firewall: UDP 67 e 68, TCP 135 e RPC dynamic ports.
Confirmar o tipo de SID do serviço DHCP:
“`
sc qsidtype dhcp
“`
O serviço deve estar configurado como SERVICE_SID_TYPE_UNRESTRICTED. Caso contrário:
“`
sc sidtype dhcp unrestricted
“`
Explicação técnica
O serviço DHCP necessita de privilégios específicos para criar objetos globais no sistema, efetuar impersonação do serviço RRAS e interagir corretamente com o mecanismo de atribuição de endereços. Em versões recentes do Windows Server, algumas destas permissões podem deixar de ser herdadas após atualizações, impedindo o serviço DHCP de atribuir leases aos clientes remotos.
A chave RequiredPrivileges instrui o Service Control Manager a carregar o serviço DHCP com os privilégios SeChangeNotifyPrivilege, SeCreateGlobalPrivilege e SeImpersonatePrivilege, permitindo que o processo consiga lidar com pedidos de lease originados pelo RRAS.
Conclusão
Após aplicar as permissões necessárias e reiniciar os serviços DHCP e RRAS, o servidor passa a conseguir atribuir endereços IP aos clientes VPN de forma consistente. Este procedimento corrige a maioria das falhas de atribuição DHCP em ambientes RRAS no Windows Server 2019, 2022 e 2025.
—