Sécuriser un serveur DHCP avec le basculement

Dans un précédent article je détaillais l’installation d’un serveur DHCP sous Windows Server 2016. Nous allons voir ici comment configurer un serveur de basculement DHCP afin de sécuriser la distribution d’adresses IP.

Point de situation

Nous admettrons le réseau suivant:

Nous aurons donc 2 serveurs avec les rôles DHCP installés: SRV-DHCP-01 et SRV-DHCP-02.
Une étendue DHCP est déjà configurée sur SRV-DHCP-01 (10.0.0.20 à 10.0.0.50).
SRV-DHCP-02 n’a aucune étendue configurée.
Le serveur SRV-DHCP-01 aura également le rôle de contrôleur de domaine Active Directory.

Le client W10-1709 n’a pas d’IP.

Installation et configuration du basculement

Afin de configurer le basculement, nous nous placerons sur SRV-DHCP-01 et ouvrirons la console DHCP.
Nous ferons un clic droit sur le protocole IPv4, et nous sélectionnerons “Configurer un basculement”.

A la première nous laisserons cocher “Sélectionner tout”, afin de répliquer toutes les étendues disponibles sur notre serveur DHCP.
Puis nous cliquerons sur “Suivant”.

Afin de choisir le serveur de secours, nous cliquerons sur “Ajouter un serveur”.

Sur la nouvelle fenêtre nous pourrons choisir un serveur DHCP présent dans la liste des serveurs autorisés.
Ici nous choisirons de cliquer sur “Parcourir” pour ajouter manuellement le serveur désiré.

Une fenêtre de recherche Active Directory s’ouvrira. Nous entrerons le nom du serveur puis “Vérifier les noms” et “OK”.

Le serveur sera alors ajouté dans notre première fenêtre, puis nous cliquerons sur “Suivant”.

Nous arriverons sur l’écran de configuration de la relation de basculement.

Ici nous pourrons:

  • Donner un nom à notre relation de basculement, cluster_DHCP.
  • Nous donnerons un délai MTCL (1h par défaut). Le délai MTCL correspond à un temps supplémentaire donné au bail DHCP. Ainsi si un serveur tombe en panne, le bail du client n’expirera qu’après sont bail et son délai MTCL. Cela laissera le temps au serveur de secours de prendre en charge le client.
  • Choisir le mode. Nous pourrons choisir le mode “équilibrage de charge” et entrer dans un mode actif/actif. Ainsi la charge DHCP sera partagée selon les pourcentages indiqués. Le mode “serveur de secours” permet de passer en actif/passif. Les données DHCP sont répliquées d’un serveur à l’autre, en cas de panne du premier serveur le second prend le relais. Un pourcentage de réserve est le pourcentage d’adresses qu’on autorise le serveur de secours à gérer au quotidien.
  • L’intervalle de basculement d’état permet d’indiquer au bout de combien de temps un serveur est considéré comme en panne.
  • L’authentification du message, secret partagé, permet de chiffrer les communications entre les deux serveurs.

Nous configurerons la relation selon ces paramètres:

  • Nom de la relation: cluster_DHCP
  • MTCL: 1H
  • Mode: Serveur de secours
  •  Role du serveur partenaire: Actif
  • Adresses réservées pour le serveur de secours: 5%
  • Intervalle de basculement d’état: 30 minutes
  • Secret partagé: mettre le mot de passe de votre choix

Nous terminerons en cliquant sur “Suivant”, et “Terminer”.

Vérification de fonctionnement

Nous basculerons sur le second serveur et ouvrirons la console DHCP.
Si tout s’est bien passé, vous retrouverez vos étendues sur le second serveur.

 

Pour des besoins spécifiques (ajout d’une réservation avec adresses MAC par exemple) il nous faudra parfois forcer la réplication.
Pour cela il nous suffira de faire un clic droit sur l’étendue, puis “Répliquer l’étendue” et enfin “Répliquer la relation”.
Vous pourrez également forcer la réplication des étendues en faisant un clic droit sur IPv4, puis “Répliquer les étendues de basculement”.

Laisser un commentaire

%d blogueurs aiment cette page :