30
1 Installation d’un serveur DHCP sécurisé (v4.2) Tutorial conçu et rédigé par Michel de CREVOISIER SOURCES DHCP in Windows Server 2008 : http://technet.microsoft.com/en-us/network/bb643151.aspx http://technet.microsoft.com/en-us/library/cc896553%28WS.10%29.aspx DHCP best practices : http://technet.microsoft.com/en-us/library/cc780311%28WS.10%29.aspx Configuration des mises à jour dynamiques : http://support.microsoft.com/kb/816592 http://technet.microsoft.com/en-us/library/dd145315%28WS.10%29.aspx Interaction du DNS et du DHCP : http://technet.microsoft.com/en-us/library/cc787034%28WS.10%29.aspx Monitoring et performances du DHCP : http://technet.microsoft.com/en-us/library/dd296649%28WS.10%29.aspx Icones DHCP : http://technet.microsoft.com/en-us/library/gg722802%28WS.10%29.aspx

Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

Embed Size (px)

DESCRIPTION

Tuto pour installation avancée d'un serveur DHCP sous Windows Server 2008 R2 (de A à Z).

Citation preview

Page 1: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

1

Installation d’un serveur

DHCP sécurisé (v4.2)

Tutorial conçu et rédigé par Michel de CREVOISIER

SOURCES

DHCP in Windows Server 2008 :

http://technet.microsoft.com/en-us/network/bb643151.aspx

http://technet.microsoft.com/en-us/library/cc896553%28WS.10%29.aspx

DHCP best practices :

http://technet.microsoft.com/en-us/library/cc780311%28WS.10%29.aspx

Configuration des mises à jour dynamiques :

http://support.microsoft.com/kb/816592

http://technet.microsoft.com/en-us/library/dd145315%28WS.10%29.aspx

Interaction du DNS et du DHCP :

http://technet.microsoft.com/en-us/library/cc787034%28WS.10%29.aspx

Monitoring et performances du DHCP :

http://technet.microsoft.com/en-us/library/dd296649%28WS.10%29.aspx

Icones DHCP :

http://technet.microsoft.com/en-us/library/gg722802%28WS.10%29.aspx

Page 2: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

2

Préambule En premier lieu, vous devez savoir qu’il est nécessaire de maîtriser un minimum les fonctionnalités de base d’un domaine Windows Server 2008 (à savoir Active Directory et DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas détaillée à la suite. Pensez donc à vérifier que votre serveur DNS fonctionne correctement et pensez à créer une zone de recherche inverse. Si vous ne disposez pas d’une version de Windows Server 2008 R2 x64 SP1 Standard/Entreprise, vous pouvez télécharger une démo ici depuis le site officiel de Microsoft. Vous pouvez même le télécharger en VHD si vous utilisez Hyper-V ou Virtual PC. Attention, mes serveurs sont installés en anglais, donc je vous recommande d’opter pour cette langue lors de votre téléchargement ou bien de télécharger le pack multilingue en anglais ici pour ne pas perdre le fil… L’objectif de ce tuto sera de mettre en place un serveur DHCP sécurisé et de comprendre le fonctionnement de ce protocole au sein de Windows. Notez que le rôle DHCP sera installé sur un autre serveur afin de mettre en valeur certains aspects ou problèmes inexistants lorsque le DNS et le DHCP sont installés sur le même serveur. De plus, la majorité des entreprises préfèrent séparer ce rôle pour des raisons de sécurité et de redondance. Pour ce tuto, j’utiliserai deux serveurs :

SRV-AD : serveur Active Directory et DNS

SRV-DHCP : serveur DHCP membre du domaine

Page 3: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

3

1. Installation et configuration du rôle DHCP

[ SRV-DHCP ]

1.1 Ajout du rôle DHCP

Pour ajouter ce rôle, cliquez sur l’icône Server Manager

Add roles (à droite)

Sélectionnez le rôle « DHCP server » et cliquez sur Next

Choisissez ensuite sur quels réseaux le service DHCP écoutera (vous pourrez modifier ces options ultérieurement) et cliquez sur Next

Page 4: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

4

Renseignez ensuite les options du DHCP (nom du domaine, DNS primaire et secondaire) et cliquez sur Next

Si vous n’utilisez pas de WINS, cliquez sur Next

Page 5: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

5

Vous pouvez ici ajouter plusieurs plages DHCP. Laissez ce champ vide pour le moment

Page 6: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

6

Cliquez sur Disable si vous n’avez pas l’intention d’activer l’IPv6

Le menu ci-dessous vous permet de définir un compte du domaine permettant au DHCP de mettre à jour de façon dynamique et sécurisée les enregistrements PTR (pointeur) sur votre serveur DNS. Ne modifiez rien pour le moment, nous y reviendrons plus tard

Page 7: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

7

Pour terminer, cliquez sur Install

Voilà, votre serveur DHCP est installé. Il ne reste plus qu’à configurer ses options

Page 8: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

8

1.2 Console DHCP

Pour y accéder, cliquez sur Démarrer > Administrative tools > DHCP

1.3 Ajout d’une nouvelle plage IP

Depuis la console, clic droit sur IPv4 > New scope > Next

Indiquez le nom que vous souhaitez attribuer à votre plage IP

Page 9: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

9

Renseignez ensuite la plage d’adresse IP

Si vous souhaitez exclure une plage d’adresse IP cliquez sur Add

Page 10: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

10

L’option suivante vous permet de configurer la durée du bail DHCP, autrement dit la « durée de vie » de l’IP avant une prochaine demande de renouvellement. Sur un réseau câblé, préférez 1 à 8 jours, sur un réseau WIFI 1 à 8 heures

L’assistant vous demande ensuite si vous voulez configurer les options du DHCP. Dites-lui que No…

Page 11: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

11

L’assistant a terminé

Ouvrez la console MMC du DHCP

Activez la nouvelle plage IP : clic droit sur Scope [plage] et Activate

Page 12: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

12

1.4 Options DHCP Vous devez indiquer les paramètres que votre serveur DHCP va distribuer aux clients (masque, passerelle pas défaut, serveurs de nom, serveur PXE, …). Pour information, une passerelle par défaut n’est pas nécessaire pour distribuer vos paramètres tant que vous ne changez pas de réseau. Pour configurer ces options au DHCP :

Clic droit sur Servers Options > Configure Options

La fenêtre suivante apparaît :

Les options suivantes peuvent être alors ajoutées selon vos besoins : o 003 : Router : passerelle par défaut o 006 : DNS Servers : adresses IP de vos serveurs DNS o 015 : DNS Domain name : nom de votre domaine

Page 13: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

13

o 066 : Boot Server Host name : adresse IP de votre serveur WDS (et PXE à la fois)

o 067 : Bootfile name : nom du fichier de boot : boot\x86\wdsnbp.com (optionnel)

Note : les options 66 et 67 sont à rajouter seulement si vous avez l’intention d’installer un serveur WDS sur un autre serveur de votre réseau.

Au final, vous obtenez un résultat semblable à ce ceci :

On redémarre le serveur DHCP pour prendre en compte la nouvelle configuration : o Clic droit sur [Nom_serveur] > All taks > Rerstart

1.5 Agent relais DHCP Si jamais vous souhaitez distribuer des paramètres DHCP vers des clients situés sur un autre réseau, il est nécessaire d’activer sur votre routeur l’option « DHCP relay ». Celle-ci va autoriser le transfert des requêtes de broadcast de type « DHCP discover ». Pour plus de détails concernant une demande de bail via un relais DHCP, veuillez consulter ce lien du TechNet (dernier paragraphe tout en bas).

1.6 Modification des cartes réseaux en écoute Il se peut que vous ne souhaitiez pas que votre serveur DHCP écoute sur toutes ses cartes réseaux. Pour en ajouter/supprimer :

Clic droit sur [Nom_serveur] > Add/remove Bindings

Page 14: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

14

La fenêtre ci-dessous apparaît. Il ne vous reste plus qu’à sélectionner les IP des cartes réseaux adéquates et redémarrer le service DHCP

1.7 Allocation d’IP spécifique Il est également possible de définir à quels types de requêtes le serveur DHCP va répondre :

DHCP : alloue une IP à un système (distribution classique)

BOOTP : alloue une IP à client PXE pour, par exemple, charger une image WIM depuis un serveur WDS (Cf. mon tuto « Déploiement d’une image via WDS »)

Both : distribue une IP aux deux services cités ci-dessus Pour définir le type d’allocation d’IP :

Clic droit sur Scope [plage IP] > Properties > Advanced > [votre choix]

Page 15: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

15

2. Sécurisation du serveur DHCP

[ SRV-DHCP ]

2.1 Authentification d’un serveur DHCP dans Active Directory

2.1.1 Mise en place Il se peut qu’un serveur DHCP malveillant soit installé à votre insu dans votre réseau, et que parallèlement ce dernier distribue des paramètres TCP/IP erronés. Afin d’éviter de type d’intrusion, il est nécessaire d’authentifier tous vos serveurs DHCP dans Active Directory.

Pour authentifier un serveur DHCP, clic droit sur DHCP > Manage authorized servers. La fenêtre suivante apparaît :

Par défaut votre serveur DHCP est autorisé grâce au compte fourni durant l’installation du rôle. Si vous souhaitez rajouter un serveur cliquez sur Authorize

Note : le serveur DHCP est automatiquement autorisé s’il est installé sur un contrôleur de domaine Le message ci-dessous vous confirmera que votre serveur est bien autorisé dans votre domaine :

2.1.2 Fonctionnement Quand le service DHCP démarre, un message de type DHCP Inform est envoyé à l’ensemble du réseau via diffusion (255.255.255.255) afin de découvrir d’autres serveurs DHCP.

Page 16: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

16

Les serveurs recevant ce message y répondent via un message DHCP Ack. o Si le serveur DHCP fait partie d’un domaine, il interroge directement l’AD pour

connaître les serveurs autorisés Si son IP et son nom sont autorisés, il commence à délivrer des IP Dans le cas contraire, il s’arrête et affiche un message d’erreur

« Rogue server detection ». Plus d’informations concernant les différents messages d’erreurs possibles ici.

o Si le serveur se trouve dans un environnement avec plusieurs forêts, il n’interrogera que le serveur de sa forêt. Cependant après s’être authentifié, il pourra délivrer des IP à l’ensemble des forêts.

Si le serveur ne reçoit pas de message DHCP Ack (il est donc seul), il commence à délivrer des IP

o Si jamais il reçoit une réponse d’un serveur autorisé, il s’arrête Note : Le processus de détection des serveurs authentifiés est lancé toutes les 60 minutes. Quant au processus des serveurs non authentifiés, il est lancé toutes les 10 minutes. En résumé :

Page 17: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

17

2.2 Enregistrement DHCP auprès du DNS

2.2.1 Enregistrement à partir d’une IP statique Par défaut, les ordinateurs étant statiquement configurés tentent de créer les enregistrements (A) et (PTR) directement auprès du serveur DNS. Si jamais vous ne souhaitez pas qu’une machine statique s’enregistre (cela dépend également de la configuration du serveur DHCP), décochez la case Register this connection’s addresses in DNS dans les propriétés TCP/IP de la carte réseau.

2.2.2 Enregistrement à partir d’un serveur DHCP Pour les clients DHCP, il est possible de définir la façon dont le DHCP met à jour les entrées (PTR) et (A) dans le serveur DNS. Pour cela :

Depuis la console DHCP, clic droit sur IPv4 > Propriétés > DNS

La fenêtre suivante apparaît avec différentes options :

Page 18: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

18

Enable DNS dynamic updates according to the setting bellow Si cette case n’est pas cochée, le serveur DHCP n’enregistrera et n’actualisera jamais les informations des clients dans le serveur DNS. Dans le cas contraire, les enregistrements DNS dynamiques sont autorisés.

Dynamically updates DNS and PTR records only if requested by the DHCP clients En activant cette option, tous les clients Windows peuvent spécifier de quelle façon le serveur DHCP doit mettre à jour leurs enregistrements. Après quoi, le serveur tentera d’exécuter au mieux leurs requêtes. Pour les systèmes Windows 2000, XP et 2003 et 2008, les enregistrements se font de cette façon :

L’entrée (A) est créée ou mise à jour par le client directement auprès du DNS

L’entrée (PTR) est créée/mise à jour par le serveur DHCP directement auprès du DNS

Pour client antérieur à Windows 2000, les entrées (A) et (PTR) sont créées par le serveur DHCP directement auprès du DNS, en raison d’une incompatibilité des clients avec l’option 81 du DHCP (Cf. explication à la suite).

Page 19: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

19

Always dynamically update DNS and PTR records Dans ce cas, le serveur DHCP inscrit et met à jour toutes les informations du client dans le DNS (A et PTR), même si ce dernier a demandé de s’acquitter lui-même de ses mises à jour. Discards A and PTR records when lease is deleted Lorsque le serveur DHCP est configuré pour effectuer les mises à jour dynamiques du DNS (option par défaut), il envoie toujours une notification pour supprimer les enregistrements PTR des baux expirés. Le serveur DHCP peut également être configuré pour ne pas envoyer les mises à jour supprimant les enregistrements de type DNS d’un client lorsque son bail expire. Pour cela décochez la case en question. Dynamically update DNS A and PTR records for DHCP clients that do not request updates Pour les anciens systèmes tels que Windows NT4, le client DHCP ne peut pas mettre à jour l’enregistrement A auprès du DNS ; ceci en raison du non support de l’option 81 (plus de détail sur cette option ici). C’est donc au serveur de DHCP d’effectuer l’enregistrement. Pour pallier à ce problème cochez cette case afin de prendre en compte le support des enregistrements DNS des anciens systèmes.

2.3 Mise à jour dynamiques sécurisées

2.3.1 Fonctionnement Au sein de votre Active Directory, il existe un groupe nommé DnsUpdateProxy :

Ce groupe (dans lequel vous pouvez ajouter vos serveurs DHCP) est autorisé à mettre à jour le DNS. Cela dit, en ajoutant un serveur à ce groupe vous compromettez la sécurité de votre serveur DNS en supprimant tous les objets de sécurité. Parallèlement vous accordez aux « utilisateurs authentifiés » un contrôle total sur les enregistrements DNS. Cela permet donc aux autres serveurs DNS (ou à n’importe quel membre de ce groupe) de modifier un enregistrement. En somme, en ajoutant un objet à ce groupe vous outrepassez les mises à jours sécurisés établies par Active Directory. Pour se protéger des enregistrements non sécurisés, ou pour permettre aux membres du groupe DnsUpdateProxy d’écrire dans des zones qui n’autorisent que les mises à jour sécurisées, il est possible de créer un utilisateur dédié afin de réaliser ces dites mises à jour pour l’ensemble du domaine. Ce compte aura pour but de fournir aux serveurs DHCP les informations d’authentification nécessaire à l’enregistrement des mises à jour dynamiques du DNS. Attention, ce compte doit être créé dans la forêt où réside le serveur DNS principal de la zone à mettre à jour.

Page 20: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

20

2.3.2 Modification du compte d’authentification Pour modifier le compte d’authentification DHCP :

Clic droit sur IPv4 > Propriétés > Advanced > Credentials

La fenêtre suivante apparaît :

Renseignez alors les informations du compte dédié au DHCP (un compte utilisateur suffit)

Page 21: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

21

2.3.3 Changements dans Server 2008 R2

Depuis Windows Server 2008 R2, le service DHCP utilise un compte de service (Cf. image ci-dessous)

et non plus un compte local membre des groupes « DHCP Users » ou « DHCP Administrators » (Cf. image ci-dessous) :

De plus, un compte de service possède moins de privilèges qu’un compte local. Cela réduit donc le risque d’élévation de privilèges au travers du service DHCP.

2.4 DHCP name protection

2.4.1 Fonctionnement Cette fonctionnalité permet d’éviter ce qu’on appellerait dans le jargon du « name squatting », autrement dit du squattage de nom. En d’autres termes, cela permet d’empêcher une machine non Windows de s’enregistrer avec le même nom qu’un client déjà enregistré. Fonctionnellement, cette technique se base sur un identifiant appelé « DHCID Resource Record » (RFC ici). Ce dernier est utilisé pour associer les informations d’identification du client avec les ressources A, AAAA, FQDN et PTR. De cette façon lorsqu’un enregistrement est créé, un DHCID RR est associé à l’identifiant unique du client à partir des informations que ce dernier a fourni (plus de détails ici). Au final, cette technique permet d’éviter :

Server name squatting par un client

Server name squatting par un server

Client name squatting par un autre client

Client name squatting par un server

Page 22: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

22

2.4.2 Mise en place Pour l’activer :

Depuis la console DHCP, clic droit sur IPv4 > Propriétés > DNS > Configure

La fenêtre suivante apparaît avec différentes options :

Cochez la case pour activer le « DHCP name protection »

Page 23: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

23

2.5 Filtrage par adresse MAC Afin de limiter la distribution d’IP à des postes inconnus, il est possible d’activer une liste des adresses MAC autorisées ou non sur votre réseau. Vous pouvez donc créer :

Une « allow list » avec les adresses MAC autorisées

Une « deny list » avec les adresses MAC refusées Attention ! En activant « allow list », seuls les postes dont les adresses MAC auront été renseignées pourront obtenir une IP. Si aucune adresse MAC est renseignée, aucune IP ne sera allouée. Pour activer la restriction par adresse MAC :

Depuis la console DHCP, clic droit sur IPv4 > Propriétés > Filters

La fenêtre suivante apparaît :

Pour activer une des listes, cochez la case à cocher souhaitée puis Ok

Vous devriez voir la console passer de ceci à cela

Pour ajouter un filtre d’adresse MAC, clic droit sur Filters > Deny ou Allow puis New filter

La fenêtre suivante apparaît. Ajoutez alors l’adresse MAC souhaitée :

Page 24: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

24

2.6 Détection de conflit d’IP

2.6.1 Fonctionnement En activant la détection de conflit, vous augmentez le nombre de ping (0 par défaut) envoyés à une IP afin de savoir s’il elle est déjà utilisée ou non. Si jamais le serveur DHCP constate un conflit d’IP, il crée une entrée « bad address » avec un bail valable une heure. Attention ! En augmentant le nombre de tentatives, vous augmentez le délai de négociation du bail. Les performances du DHCP peuvent donc être dégradées.

2.6.2 Mise en place Pour activer la détection de conflit d’IP :

Clic droit sur IPv4 > Propriétés > Advanced

Augmentez alors la valeur avec le nombre de ping à effectuer avant d’allouer une IP

Page 25: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

25

3. Le service DHCP dans son fonctionnement

3.1 Fichiers de configuration Par défaut, les emplacements de configuration du serveur DHCP sont stockés dans C:\Windows\system32\dhcp

Ci-dessous la description de chacun des fichiers (plus d’informations ici) :

dhcp.mdb : base de données du service DHCP

tmp.edb : fichier SWAP utilisée par la base de données

j50* : journaux des transactions de la base de données

j50.chk : point de contrôle avec la dernière configuration opérationnelle

/backup : dossier de sauvegarde o dhcpcfg : fichier contenant la configuration actuelle du serveur. Il permet

également d’exporter les paramètres vers un autre serveur. Attention, il n’inclut pas les exceptions d’IP. Ci-dessous, le fichier en question :

Page 26: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

26

3.2 Structure de la base de données dhcp.mdb Pour fonctionner, le service DHCP enregistre une grande partie de ses données dans un fichier dhcp.mdb. Ce fichier utilise le moteur de base de données Jet Databse Engine (Jet pour Joint Engine Technology) développé par Microsoft en 1992. Il est utilisé dans Access via l’extension « JET Red ». Cela dit, Jet Pack est aujourd’hui considéré comme obsolète et a été remplacé successivement par MSDE (Microsoft Desktop SQL Engine) et SQL Server Express Edition. Plus d’informations sur Microsoft Jet en français ici et en anglais ici. Attention, il existe aussi « JET Blue » (aussi appelé Extensible Storage Engine) qui est un moteur de base de données créé par Microsoft en 1996 pour les produits Exchange et Active Directory. Il est issu d’ESE 98. Plus d’informations en français ici et en anglais ici. D’après ce que j’ai trouvé, le fichier en question contient 2 tables :

Une mappant les IP aux ID des propriétaires

Une autre mappant les noms aux adresses IP

3.3 Accéder à la base de données Par curiosité, je me suis demandé comment consulter les tables de ce fameux fichier dhcp.mdb : sans succès… J’ai essayé avec Access 2003, Access 2007/2010, MDB Viewer Plus (téléchargement ici) et aussi le composant MDAC (Microsoft Data Access Components, téléchargement ici ou là), mais aucun moyen d’y accéder. Il existerait également une API dénommée « Exchange Performance Enhanced Database Engine » permettant d’interroger ce fichier, mais Microsoft ne l’a jamais publié. Au final je pense que pour exploiter ce fichier il est nécessaire de procéder à des requêtes SQL directement sur la base de données en s’y connectant via un composant ODBC.

Page 27: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

27

3.4 Compactage de la base de données

D’après Microsoft, il est conseillé de compacter cette base à chaque fois qu’elle dépasse les 30 Mo. Pour cela, il faut utiliser la commande jetpack. Sous Windows Server 2003 cette commande est disponible par défaut. En revanche, sous Windows Server 2008 il faut lancer une recherche pour trouver l’objet « jetpack.exe » dans C:\Windows\winsxs\. Avant de lancer la compression prenez soin d’arrêter le service DHCP server. Ensuite exécuter une fenêtre DOS et tapez :

jetpack dhcp.mdb temp.mdb

Enter

3.5 Visualisation des logs Il est possible de consulter les logs du DHCP de deux façons.

3.5.1 Observateur d’évènements

La solution la plus simple consiste à consulter la console Event viewer . A partir de celle-ci il vous sera possible de visualiser tout évènement en relation avec le DHCP grâce au filtre prédéfini.

3.5.2 Journaux DHCP Si vous souhaitez connaître plus en détail les distributions d’IP, les baux expirés, les mises à jour DNS…, vous pouvez consulter les journaux créés quotidiennement par le DHCP. Pour cela allez dans %systemroot%\system32\dhcp et consultez les fichiers DhcpSrvLog-[day].txt. En voici un extrait :

Page 28: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

28

Prenez soin de bien lire et comprendre la légende située au début du fichier :

3.6 Performances Afin de surveiller le fonctionnement de votre serveur, plusieurs indicateurs peuvent vous être utiles :

Packets Received/sec : nombre de paquets reçus par seconde

Duplicates Dropped/sec : nombre de paquets dupliqués. Un délai d’expiration trop court des clients ou des temps de réponse trop longs de la part du serveur peuvent en être la cause

Packets Expired/sec : nombre de paquets expirés et rejetés par le serveur (au-delà de 30s). Une saturation des ressources du serveur avec des temps de traitement trop élevés peut en être la cause

Milliseconds per packet (avg.) : temps moyen de traitement d’un paquet par le serveur. Ce nombre peut varier selon les capacités physiques du serveur

Active Queue Length : longueur de la file d’attente des messages en attente d’être traités. Une hausse du trafic sur le serveur aura pour conséquence un accroissement de la file d’attente

Conflict Check Queue Length : nombre de conflits dans file de traitement du DHCP. Ce nombre varie selon l’intensité du trafic sur le serveur

Page 29: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

29

Discovers/sec : nombre de messages DHCPDISCOVER reçu par seconde. Ces messages sont envoyés par les clients pour obtenir une IP. Un nombre important de messages peut être reçu lorsque de nombreux clients démarrent en même temps

Offers/sec : nombre de messages DHCPOFFERS envoyés par seconde

Requests/sec : nombre de messages DCHPREQUEST reçus par seconde. Un nombre important de messages signifie que de nombreux clients essaient de renouveler leur IP en même temps

Informs/sec : nombre de messages DCHPINFORM reçus par seconde. Ces messages sont envoyés lorsque le serveur interroge l’annuaire de service racine et également lorsque des mises à jour dynamiques sont envoyées

Acks/sec : nombre de messages DHCPACKS envoyés par seconde du serveur aux clients. Une variation du nombre de message peut être la conséquence de baux trop courts

Nacks/sec : nombre de messages DHCPNAK envoyés par seconde du serveur aux clients. Un nombre élevé peut indiquer de graves dysfonctionnements sur le réseau ou une mauvaise configuration du serveur

Releases/sec : nombre de messages DCHPRELEASE reçus par seconde. Un nombre élevés peut signifier que plusieurs clients ont reçus des paramètres incorrects, ou qu’il existe des problèmes sur le réseau. Activer le détecteur de conflit peut aider à solutionner ce problème

Page 30: Serveur DHCP sécurisé sous Server 2008 R2 (tuto de A à Z)

30

Conclusion

En définitive, il existe de nombreux articles, blogs et sites web sur internet décrivant le fonctionnement du protocole DHCP au sein de Windows. Cela dit, peu d’entre eux mettent un accent sur la sécurité de ce protocole tout en prenant soin d’expliquer techniquement, mais de façon claire, le fonctionnement de ces techniques de protection. C’est donc au travers de cet article que j’ai essayé de résumer au mieux l’ensemble des technologies permettant de sécuriser un serveur DHCP sous Windows Server 2008 R2. Je vous recommande de lire mon article « Serveur DNS redondants » que vous trouverez également sur Scribd.

N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante : michel_de A-R-0-B-A-5 hotmail . com

Soyez-en d’ores et déjà remercié