Blog ENI : Toute la veille numérique !
💥 Offre spéciale Bibliothèque Numérique ENI :
1 an d'accès à petit prix ! Cliquez ici
🚀 Tous nos livres, vidéos et articles en illimité ! :
Découvrez notre offre. Cliquez ici
  1. Livres et vidéos
  2. Windows Server 2022
  3. Le service DHCP
Extrait - Windows Server 2022 Administration avancée
Extraits du livre
Windows Server 2022 Administration avancée Revenir à la page d'achat du livre

Le service DHCP

Le lab

Dans ce chapitre, nous aurons un contrôleur de domaine DC-ECOLE, un serveur Core sans interface graphique, une machine Windows 10 avec les RSAT installés, un serveur qui fera office de routeur et une deuxième machine client Windows 10.

Le routeur reliera les deux réseaux 192.168.1.0/24 et 10.10.10.0/24, qui accueilleront chacun un client. Ce sont deux réseaux virtuels distincts dans votre hyperviseur. Nous configurerons un agent relais DHCP dans le serveur qui fait office de routeur.

Le routeur du chapitre Active Directory peut tout à fait être réutilisé. Les autres serveurs devront être réinstallés.

images/02EI01.PNG

1. Configuration du serveur Core

Après avoir installé le contrôleur de domaine, comme nous l’avons vu dans le chapitre Active Directory, nous allons passer à la configuration du serveur Core, que nous allons effectuer entièrement en PowerShell.

Pour pouvoir configurer une carte réseau, nous avons besoin de son index. Nous allons avoir cette information grâce à la commande suivante :

Get-NetAdapter

Dans le résultat de la commande, la colonne ifIndex nous donne la valeur de l’index de la carte.

images/02EI02.PNG

Nous allons mettre le résultat de la commande Get-NetAdapter dans une variable, et en extraire la valeur de l’index que nous mettrons dans une autre variable. La dernière commande...

Installation du service DHCP

1. Installation en PowerShell

Nous allons installer le rôle de serveur DHCP sur le serveur core1, depuis le poste client1.

 Ouvrez une invite de commande PowerShell et ouvrez une session à distance vers le serveur core1. Cela va connecter l’invite de commande au serveur.

images/02EI08.PNG

Une fois connecté, vous pouvez envoyer des commandes au serveur, installons le rôle DHCP avec la commande suivante :

Install-WindowsFeature -Name DHCP

Nous n’installons pas les management tools, car ils sont déjà présents dans la machine client1, via les RSAT.

Ensuite nous allons effectuer les réglages de post-installation, à savoir créer les groupes de sécurité utilisateurs DHCP et administrateurs DHCP . Puis avec une deuxième commande, nous autoriserons le DHCP dans le domaine.

En effet, un serveur DHCP dans Windows Server va émettre un message de type DHCPINFORM pour savoir si son adresse IP fait partie des DHCP autorisés. Si ce n’est pas le cas, alors le service ne répondra pas aux sollicitations des clients. Une fois démarré, le service continuera à émettre régulièrement ces messages.

 Envoyez la commande pour créer les groupes de sécurité.

Add-DhcpServerSecurityGroup -ComputerName CORE1.ecole.com

 Puis, envoyez celle pour autoriser le service dans le domaine.

Add-DhcpServerInDC -DnsName CORE1.ecole.com -IPAddress 192.168.1.100

 Enfin, redémarrez le service.

Restart-Service...

Agent relais DHCP

L’agent relais DHCP est un dispositif qui s’installe sur un routeur, afin que les requêtes DHCP qui sont émises dans un réseau soient transférées dans un autre réseau. Il ne se configure pas dans le serveur DHCP mais bien au niveau du routeur. Il permet de rediriger les demandes DHCP des clients de plusieurs réseaux vers un seul serveur.

Dans notre lab, nous allons donc le mettre en œuvre dans le serveur qui assure le routage entre le réseau 192.168.1.0 et le 10.10.10.0. Ainsi les demandes DHCP du client2 seront retransmises dans le réseau du serveur Core.

1. Création de l’étendue

La première chose que nous allons faire dans notre topologie est d’ajouter une étendue DHCP sur le serveur core1 pour le réseau 10.10.10.0/24.

 Depuis la machine client1, dans le serveur manager, allez dans la rubrique DHCP et faites un clic droit sur le serveur core1/Gestionnaire DHCP.

 Dans la fenêtre du DHCP, allez sur IPv4, faites un clic droit et sélectionnez New Scope.

images/02EI22.PNG

 Nommez l’étendue etendue2 core1, et cliquez sur Next.

 Renseignez la plage allant de 10.10.10.10 à 10.10.10.60. Attention au masque, par défaut le système va préremplir le masque de classe, soit un /8. Ce n’est pas ce que nous voulons, pensez bien à mettre un /24.

images/02EI23.PNG

Dans la fenêtre suivante...

Mise à jour dynamique du DNS

Dans un environnement Active Directory, le DHCP peut mettre à jour dynamiquement le DNS en l’informant des changements d’adresse des machines à qui il a distribué des adresses IP.

Dans notre lab, en l’état des choses, client2 n’est pas dans le domaine, et donc il ne figure pas dans le DNS.

images/02EI32.PNG

Mettons le client2 dans le domaine, cela doit le faire apparaître dans le DNS. Pour rappel, cela n’est possible que si le client a l’adresse du contrôleur de domaine comme serveur DNS dans ses réglages réseau.

 Dans client2, tapez la commande sysdm.cpl, cliquez sur Modifier et changez les réglages comme ceci :

images/02EI33.PNG

Suite à l’intégration dans le domaine de la machine client2, nous constatons que son enregistrement hôte a bien été créé automatiquement dans le DNS.

images/02EI34.PNG

Comme le serveur DHCP et la machine client2 sont dans le domaine Active Directory, si la machine client venait à changer d’adresse IP, l’enregistrement DNS serait automatiquement mis à jour.

Nous allons provoquer ce changement d’adresse en créant une exclusion sur l’adresse actuelle de la machine client, soit 10.10.10.10 :

 Dans la fenêtre de gestion du DHCP, faites un clic droit sur le dossier du pool d’adresse de l’étendue 10.10.10.0 et sélectionnez...

Autres types d’étendues

Nous avons jusqu’à présent parlé des étendues DHCP traditionnelles, mais il existe d’autres types d’étendues que l’on peut gérer dans Windows Server : les étendues de multicast, les étendues globales et les étendues fractionnées.

1. Étendues de multicast

Les étendues de multicast permettent de s’assurer que deux groupes de multicast n’utilisent pas la même adresse. Un serveur qui aurait besoin d’une adresse de multicast pour communiquer avec un groupe de clients serait alors assuré d’utiliser un groupe de multicast unique, et de ne pas créer de conflit avec d’autres éventuels groupes de multicast. L’utilisation d’un DHCP multicast apporte un meilleur contrôle sur les diffusions de ce type dans le réseau. Le DHCP multicast utilise le protocole MADCAP.

 Pour créer une étendue de multicast dans Windows Server, allez dans le gestionnaire DHCP, faites un clic droit sur IPv4 et sélectionnez New Multicast Scope.

 Le premier réglage à faire est de donner un nom à l’étendue, choisissez Multicast Scope ecole.

Puis il vous est demandé de régler l’étendue et le TTL.

images/02EI42.PNG

Le TTL dans une étendue de multicast sert à déterminer combien de routeurs la communication multicast peut traverser.

Ensuite, il nous sera demandé si nous voulons faire des exclusions, nous n’en ferons pas.

 Cliquez sur Next.

 Puis, vient la durée du bail, par défaut il est de trente jours. Cliquez sur Next.

 Il vous est proposé d’activer maintenant l’étendue de multicast, sélectionnez Yes et cliquez sur Next.

 Sur la dernière fenêtre, cliquez sur Finish.

L’étendue de multicast a bien été créée :

images/02EI43.PNG

2. Étendues globales

Pour faire simple, les étendues globales servent à réunir plusieurs étendues en une seule unité...

Stratégies DHCP

Les stratégies DHCP permettent de faire des réglages spécifiques du service DHCP si les clients remplissent certaines conditions. Par exemple, on pourra leur donner des options DHCP différentes selon leur adresse mac, ou l’agent relais qui retransmet leur demande.

Les stratégies DHC peuvent s’appliquer au niveau du serveur ou de l’étendue.

1. Stratégie avec les classes d’utilisateurs

Il est possible de définir sur un poste client une classe d’utilisateur, comme dire si une machine est utilisée pour la gestion du réseau, ou bien un poste utilisateur, et leur distribuer des options DHCP différentes.

Nous avons vu que les options DHCP peuvent s’appliquer au niveau du serveur, de l’étendue et de la réservation. Il y a un quatrième endroit pour définir les options qui s’appelle la classe d’utilisateur.

Les options définies au niveau de la classe d’utilisateur seraient prioritaires sur le serveur et l’étendue, mais pas par rapport aux réservations.

 Pour définir la classe d’utilisateur sur le serveur DHCP, faites un clic droit sur IPv4 et sélectionnez Define User Classes.

images/02EI58.PNG

 Cliquez...

Filtrage d’adresses MAC

Dans la fenêtre de gestion du DHCP, on peut voir au niveau du serveur un dossier Filters, qui nous permet d’activer soit une liste d’adresses MAC autorisées, soit une liste d’adresses MAC interdite, soit les deux. Ce réglage se fait au niveau du serveur et sera hérité par toutes les étendues.

images/02EI84.PNG

Par défaut ces deux listes de filtrage sont désactivées. Si l’on active la liste des adresses MAC autorisées et qu’elle est vide, alors plus aucune adresse MAC et donc plus aucune machine ne recevra d’adresse IP de la part du serveur. De même, si l’on active la liste des adresses MAC interdites et qu’elle est vide, alors toutes les adresses seront autorisées.

Comme pour les stratégies DHCP, il est possible de faire une liste avec uniquement la première moitié de l’adresse MAC, celle qui correspond au fabricant, suivie d’un astérisque. 

 Activez la liste pour autoriser des adresses MAC. Faites un clic droit sur le dossier des filtres d’autorisation, puis sélectionnez Enable.

images/02EI85.PNG

 Une fois la liste activée, refaites un clic droit et cette fois-ci sélectionnez New Filter

images/02EI86.PNG

Nous pouvons voir que le filtre a bien été ajouté à la liste.

images/02EI87.PNG

Le filtrage des adresses MAC par constructeur peut être utilisé pour...

DHCP IPv6

1. Bases du protocole IPv6

Nous allons voir ensemble un petit rappel sur le protocole IPv6, en abordant les notions nécessaires à la mise en œuvre du DHCP IPv6. Le protocole IPv6 est peu utilisé, et l’on estime que seulement 20 % du réseau mondial est équipé et configuré pour l’IPv6. Toutefois, certaines applications nécessitent ce protocole pour fonctionner. Un bon exemple serait le serveur de messagerie exchange.

a. Types d’adresses IPv6

Les adresses IPv6 sont exprimées en hexadécimal, de 0 a F. Elles sont codées sur 128 bits, et le masque est exprimé en notation CIDR. Par exemple :

2001:0db8:00d6:3000:0000:0000:6700:00a5/64

Les adresses Link-Local

Elles commencent par FE80 et sont attribuées automatiquement par le système. Dès qu’une carte réseau est activée, elle a une adresse Link-Local. Ces adresses sont non routables, et ne peuvent pas être utilisées pour aller dans un autre réseau. Elles servent aux communications dans un même segment réseau.

Bien qu’attribuées automatiquement par le système, elles peuvent aussi être configurées par les administrateurs.

Les adresses Global Unicast

Les adresses Global Unicast sont des adresses routables, qui ont le début de l’adresse qui va de 2000 à 3FFF. Elles peuvent être utilisées dans un réseau privé et sur l’Internet. Elles doivent être configurées à la main, ou par DHCP. Il est courant d’avoir une ou plusieurs adresses Global Unicast, en plus de l’adresse Link-Local.

Les adresses Unique Local

Équivalent des adresses privées IPv4, elles ne sont routables que dans réseau privé. Peu utilisées, car les adresses Global Unicast sont suffisamment nombreuses pour donner une adresse à tous les hôtes de la planète. Utilisées par certains administrateurs qui aiment avoir des adresses privées routables dans le LAN de l’entreprise, comme avec l’IPv4. Elles commencent par FC ou FD.

Les adresses de multicast

Les adresses de multicast commencent toutes par les huit premiers bits à 1, soit FF en hexadécimal. Il n’y a pas d’adresses de broadcast en IPv6, et c’est donc le multicast qui est utilisé...

Clustering DHCP

Que ce soit pour assurer la haute disponibilité, ou pour faire de la répartition de charge, il est possible de faire un cluster de serveur DHCP, avec deux serveurs Windows où le service est installé.

Nous allons commencer par étudier le cluster de basculement, aussi appelé failover, qui assure la haute disponibilité du service.

Cluster de basculement DHCP

Il est possible de configurer un basculement au niveau de la partie IPv4 du service, mais aussi au niveau des étendues. Un clic droit sur IPv4 ou sur une étendue nous offre pareillement une option pour configurer un basculement. Toutefois, cette option n’est pas disponible en IPv6, à aucun niveau.

Nous allons dans notre lab, mettre en œuvre un basculement au niveau de l’IPv4. Les deux options sont identiques dans leur configuration, la seule différence étant bien entendu que le basculement au niveau de l’IPv4 peut répliquer toutes les étendues, alors que si l’on configure un basculement directement sur une étendue, seule l’étendue sélectionnée va être répliquée.

 Depuis le gestionnaire DHCP du serveur core1 dans les RSAT de la machine client1, faites un clic droit sur IPv4 et sélectionnez Configure Failover dans le menu déroulant.

Dans la première fenêtre de l’assistant, il est possible...