Installation dun serveur

DHCP scuris (v4.2)

Tutorial conu et rdig par Michel de CREVOISIER

SOURCES

DHCP in Windows Server 2008 :

http://technet.microsoft.com/en-us/network/bb643151.aspx
http://technet.microsoft.com/en-us/library/cc896553%28WS.10%29.aspx

DHCP best practices :

http://technet.microsoft.com/en-us/library/cc780311%28WS.10%29.aspx

Configuration des mises jour dynamiques :

http://support.microsoft.com/kb/816592
http://technet.microsoft.com/en-us/library/dd145315%28WS.10%29.aspx

Interaction du DNS et du DHCP :

http://technet.microsoft.com/en-us/library/cc787034%28WS.10%29.aspx

Monitoring et performances du DHCP :

http://technet.microsoft.com/en-us/library/dd296649%28WS.10%29.aspx

Icones DHCP :

http://technet.microsoft.com/en-us/library/gg722802%28WS.10%29.aspx

Prambule
En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les
fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et
DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas
dtaille la suite. Pensez donc vrifier que votre serveur DNS fonctionne correctement et
pensez crer une zone de recherche inverse.
Si vous ne disposez pas dune version de Windows Server 2008 R2 x64 SP1
Standard/Entreprise, vous pouvez tlcharger une dmo ici depuis le site officiel de
Microsoft. Vous pouvez mme le tlcharger en VHD si vous utilisez Hyper-V ou Virtual PC.
Attention, mes serveurs sont installs en anglais, donc je vous recommande dopter pour
cette langue lors de votre tlchargement ou bien de tlcharger le pack multilingue en
anglais ici pour ne pas perdre le fil
Lobjectif de ce tuto sera de mettre en place un serveur DHCP scuris et de comprendre le
fonctionnement de ce protocole au sein de Windows. Notez que le rle DHCP sera install
sur un autre serveur afin de mettre en valeur certains aspects ou problmes inexistants
lorsque le DNS et le DHCP sont installs sur le mme serveur. De plus, la majorit des
entreprises prfrent sparer ce rle pour des raisons de scurit et de redondance.
Pour ce tuto, jutiliserai deux serveurs :
SRV-AD : serveur Active Directory et DNS
SRV-DHCP : serveur DHCP membre du domaine

1. Installation et configuration du rle DHCP

[ SRV-DHCP ]
1.1 Ajout du rle DHCP

Pour ajouter ce rle, cliquez sur licne Server Manager

Add roles ( droite)

Slectionnez le rle DHCP server et cliquez sur Next

Choisissez ensuite sur quels rseaux le service DHCP coutera (vous pourrez modifier
ces options ultrieurement) et cliquez sur Next

Renseignez ensuite les options du DHCP (nom du domaine, DNS primaire et

secondaire) et cliquez sur Next

Si vous nutilisez pas de WINS, cliquez sur Next

4

Vous pouvez ici ajouter plusieurs plages DHCP. Laissez ce champ vide pour le
moment

Cliquez sur Disable si vous navez pas lintention dactiver lIPv6

Le menu ci-dessous vous permet de dfinir un compte du domaine permettant au

DHCP de mettre jour de faon dynamique et scurise les enregistrements PTR
(pointeur) sur votre serveur DNS. Ne modifiez rien pour le moment, nous y
reviendrons plus tard

Pour terminer, cliquez sur Install

Voil, votre serveur DHCP est install. Il ne reste plus qu configurer ses options
7

1.2 Console DHCP

Pour y accder, cliquez sur Dmarrer > Administrative tools > DHCP

1.3 Ajout dune nouvelle plage IP

Depuis la console, clic droit sur IPv4 > New scope > Next

Indiquez le nom que vous souhaitez attribuer votre plage IP

Renseignez ensuite la plage dadresse IP

Si vous souhaitez exclure une plage dadresse IP cliquez sur Add

Loption suivante vous permet de configurer la dure du bail DHCP, autrement dit la
dure de vie de lIP avant une prochaine demande de renouvellement. Sur un
rseau cbl, prfrez 1 8 jours, sur un rseau WIFI 1 8 heures

Lassistant vous demande ensuite si vous voulez configurer les options du DHCP.
Dites-lui que No
10

Lassistant a termin

Ouvrez la console MMC du DHCP

Activez la nouvelle plage IP : clic droit sur Scope [plage] et Activate

11

1.4 Options DHCP

Vous devez indiquer les paramtres que votre serveur DHCP va distribuer aux clients
(masque, passerelle pas dfaut, serveurs de nom, serveur PXE, ). Pour information, une
passerelle par dfaut nest pas ncessaire pour distribuer vos paramtres tant que vous ne
changez pas de rseau. Pour configurer ces options au DHCP :

Clic droit sur Servers Options > Configure Options

La fentre suivante apparat :

Les options suivantes peuvent tre alors ajoutes selon vos besoins :
o 003 : Router : passerelle par dfaut
o 006 : DNS Servers : adresses IP de vos serveurs DNS
o 015 : DNS Domain name : nom de votre domaine
12

o 066 : Boot Server Host name : adresse IP de votre serveur WDS (et PXE la
fois)
o 067 : Bootfile name : nom du fichier de boot : boot\x86\wdsnbp.com
(optionnel)

Note : les options 66 et 67 sont rajouter seulement si vous avez lintention dinstaller un
serveur WDS sur un autre serveur de votre rseau.

Au final, vous obtenez un rsultat semblable ce ceci :

On redmarre le serveur DHCP pour prendre en compte la nouvelle configuration :

o Clic droit sur [Nom_serveur] > All taks > Rerstart

1.5 Agent relais DHCP

Si jamais vous souhaitez distribuer des paramtres DHCP vers des clients situs sur un autre
rseau, il est ncessaire dactiver sur votre routeur loption DHCP relay . Celle-ci va
autoriser le transfert des requtes de broadcast de type DHCP discover .
Pour plus de dtails concernant une demande de bail via un relais DHCP, veuillez consulter
ce lien du TechNet (dernier paragraphe tout en bas).

1.6 Modification des cartes rseaux en coute

Il se peut que vous ne souhaitiez pas que votre serveur DHCP coute sur toutes ses cartes
rseaux. Pour en ajouter/supprimer :

Clic droit sur [Nom_serveur] > Add/remove Bindings

13

La fentre ci-dessous apparat. Il ne vous reste plus qu slectionner les IP des cartes
rseaux adquates et redmarrer le service DHCP

1.7 Allocation dIP spcifique

Il est galement possible de dfinir quels types de requtes le serveur DHCP va rpondre :
DHCP : alloue une IP un systme (distribution classique)
BOOTP : alloue une IP client PXE pour, par exemple, charger une image WIM depuis
un serveur WDS (Cf. mon tuto Dploiement dune image via WDS )
Both : distribue une IP aux deux services cits ci-dessus
Pour dfinir le type dallocation dIP :
Clic droit sur Scope [plage IP] > Properties > Advanced > [votre choix]

14

2. Scurisation du serveur DHCP

[ SRV-DHCP ]
2.1 Authentification dun serveur DHCP dans Active Directory
2.1.1 Mise en place
Il se peut quun serveur DHCP malveillant soit install votre insu dans votre rseau, et que
paralllement ce dernier distribue des paramtres TCP/IP errons. Afin dviter de type
dintrusion, il est ncessaire dauthentifier tous vos serveurs DHCP dans Active Directory.

Pour authentifier un serveur DHCP, clic droit sur DHCP > Manage authorized servers.
La fentre suivante apparat :

Par dfaut votre serveur DHCP est autoris grce au compte fourni durant
linstallation du rle. Si vous souhaitez rajouter un serveur cliquez sur Authorize

Note : le serveur DHCP est automatiquement autoris sil est install sur un contrleur de
domaine
Le message ci-dessous vous confirmera que votre serveur est bien autoris dans votre
domaine :

2.1.2 Fonctionnement
Quand le service DHCP dmarre, un message de type DHCP Inform est envoy lensemble
du rseau via diffusion (255.255.255.255) afin de dcouvrir dautres serveurs DHCP.
15

Les serveurs recevant ce message y rpondent via un message DHCP Ack.

o Si le serveur DHCP fait partie dun domaine, il interroge directement lAD pour
connatre les serveurs autoriss
Si son IP et son nom sont autoriss, il commence dlivrer des IP
Dans le cas contraire, il sarrte et affiche un message derreur
Rogue server detection . Plus dinformations concernant les
diffrents messages derreurs possibles ici.
o Si le serveur se trouve dans un environnement avec plusieurs forts, il
ninterrogera que le serveur de sa fort. Cependant aprs stre authentifi, il
pourra dlivrer des IP lensemble des forts.
Si le serveur ne reoit pas de message DHCP Ack (il est donc seul), il commence
dlivrer des IP
o Si jamais il reoit une rponse dun serveur autoris, il sarrte

Note : Le processus de dtection des serveurs authentifis est lanc toutes les 60 minutes.
Quant au processus des serveurs non authentifis, il est lanc toutes les 10 minutes.
En rsum :

16

2.2 Enregistrement DHCP auprs du DNS

2.2.1 Enregistrement partir dune IP statique
Par dfaut, les ordinateurs tant statiquement configurs tentent de crer les
enregistrements (A) et (PTR) directement auprs du serveur DNS.
Si jamais vous ne souhaitez pas quune machine statique senregistre (cela dpend
galement de la configuration du serveur DHCP), dcochez la case Register this connections
addresses in DNS dans les proprits TCP/IP de la carte rseau.

2.2.2 Enregistrement partir dun serveur DHCP

Pour les clients DHCP, il est possible de dfinir la faon dont le DHCP met jour les entres
(PTR) et (A) dans le serveur DNS. Pour cela :

Depuis la console DHCP, clic droit sur IPv4 > Proprits > DNS
La fentre suivante apparat avec diffrentes options :

17

Enable DNS dynamic updates according to the setting bellow

Si cette case nest pas coche, le serveur DHCP nenregistrera et nactualisera jamais les
informations des clients dans le serveur DNS. Dans le cas contraire, les enregistrements DNS
dynamiques sont autoriss.
Dynamically updates DNS and PTR records only if requested by the DHCP clients
En activant cette option, tous les clients Windows peuvent spcifier de quelle faon le
serveur DHCP doit mettre jour leurs enregistrements. Aprs quoi, le serveur tentera
dexcuter au mieux leurs requtes. Pour les systmes Windows 2000, XP et 2003 et 2008,
les enregistrements se font de cette faon :
Lentre (A) est cre ou mise jour par le client directement auprs du DNS
Lentre (PTR) est cre/mise jour par le serveur DHCP directement auprs du DNS

Pour client antrieur Windows 2000, les entres (A) et (PTR) sont cres par le serveur
DHCP directement auprs du DNS, en raison dune incompatibilit des clients avec loption
81 du DHCP (Cf. explication la suite).

18

 Always dynamically update DNS and PTR records

Dans ce cas, le serveur DHCP inscrit et met jour toutes les informations du client dans le
DNS (A et PTR), mme si ce dernier a demand de sacquitter lui-mme de ses mises jour.
Discards A and PTR records when lease is deleted
Lorsque le serveur DHCP est configur pour effectuer les mises jour dynamiques du DNS
(option par dfaut), il envoie toujours une notification pour supprimer les enregistrements
PTR des baux expirs.
Le serveur DHCP peut galement tre configur pour ne pas envoyer les mises jour
supprimant les enregistrements de type DNS dun client lorsque son bail expire. Pour cela
dcochez la case en question.
Dynamically update DNS A and PTR records for DHCP clients that do not request updates
Pour les anciens systmes tels que Windows NT4, le client DHCP ne peut pas mettre jour
lenregistrement A auprs du DNS ; ceci en raison du non support de loption 81 (plus de
dtail sur cette option ici). Cest donc au serveur de DHCP deffectuer lenregistrement. Pour
pallier ce problme cochez cette case afin de prendre en compte le support des
enregistrements DNS des anciens systmes.

2.3 Mise jour dynamiques scurises

2.3.1 Fonctionnement
Au sein de votre Active Directory, il existe un groupe nomm DnsUpdateProxy :
Ce groupe (dans lequel vous pouvez ajouter vos serveurs DHCP) est autoris mettre jour
le DNS. Cela dit, en ajoutant un serveur ce groupe vous compromettez la scurit de votre
serveur DNS en supprimant tous les objets de scurit. Paralllement vous accordez aux
utilisateurs authentifis un contrle total sur les enregistrements DNS. Cela permet donc
aux autres serveurs DNS (ou nimporte quel membre de ce groupe) de modifier un
enregistrement. En somme, en ajoutant un objet ce groupe vous outrepassez les mises
jours scuriss tablies par Active Directory.
Pour se protger des enregistrements non scuriss, ou pour permettre aux membres du
groupe DnsUpdateProxy dcrire dans des zones qui nautorisent que les mises jour
scurises, il est possible de crer un utilisateur ddi afin de raliser ces dites mises jour
pour lensemble du domaine. Ce compte aura pour but de fournir aux serveurs DHCP les
informations dauthentification ncessaire lenregistrement des mises jour dynamiques
du DNS. Attention, ce compte doit tre cr dans la fort o rside le serveur DNS principal
de la zone mettre jour.
19

2.3.2 Modification du compte dauthentification

Pour modifier le compte dauthentification DHCP :
Clic droit sur IPv4 > Proprits > Advanced > Credentials

La fentre suivante apparat :

Renseignez alors les informations du compte ddi au DHCP (un compte utilisateur suffit)

20

2.3.3 Changements dans Server 2008 R2

Depuis Windows Server 2008 R2, le service DHCP utilise un compte de service (Cf. image cidessous)

et non plus un compte local membre des groupes DHCP Users ou DHCP
Administrators (Cf. image ci-dessous) :

De plus, un compte de service possde moins de privilges quun compte local. Cela rduit
donc le risque dlvation de privilges au travers du service DHCP.

2.4 DHCP name protection

2.4.1 Fonctionnement
Cette fonctionnalit permet dviter ce quon appellerait dans le jargon du name
squatting , autrement dit du squattage de nom. En dautres termes, cela permet
dempcher une machine non Windows de senregistrer avec le mme nom quun client dj
enregistr.
Fonctionnellement, cette technique se base sur un identifiant appel DHCID Resource
Record (RFC ici). Ce dernier est utilis pour associer les informations didentification du
client avec les ressources A, AAAA, FQDN et PTR. De cette faon lorsquun enregistrement
est cr, un DHCID RR est associ lidentifiant unique du client partir des informations
que ce dernier a fourni (plus de dtails ici). Au final, cette technique permet dviter :
Server name squatting par un client
Server name squatting par un server
Client name squatting par un autre client
Client name squatting par un server

21

2.4.2 Mise en place

Pour lactiver :

Depuis la console DHCP, clic droit sur IPv4 > Proprits > DNS > Configure

La fentre suivante apparat avec diffrentes options :

Cochez la case pour activer le DHCP name protection

22

2.5 Filtrage par adresse MAC

Afin de limiter la distribution dIP des postes inconnus, il est possible dactiver une liste des
adresses MAC autorises ou non sur votre rseau. Vous pouvez donc crer :
Une allow list avec les adresses MAC autorises
Une deny list avec les adresses MAC refuses
Attention ! En activant allow list , seuls les postes dont les adresses MAC auront t
renseignes pourront obtenir une IP. Si aucune adresse MAC est renseigne, aucune IP ne
sera alloue.
Pour activer la restriction par adresse MAC :
Depuis la console DHCP, clic droit sur IPv4 > Proprits > Filters
La fentre suivante apparat :

Pour activer une des listes, cochez la case cocher souhaite puis Ok

Vous devriez voir la console passer de ceci

cela
Pour ajouter un filtre dadresse MAC, clic droit sur Filters > Deny ou Allow puis New
filter
La fentre suivante apparat. Ajoutez alors ladresse MAC souhaite :

23

2.6 Dtection de conflit dIP

2.6.1 Fonctionnement
En activant la dtection de conflit, vous augmentez le nombre de ping (0 par dfaut) envoys
une IP afin de savoir sil elle est dj utilise ou non. Si jamais le serveur DHCP constate un
conflit dIP, il cre une entre bad address avec un bail valable une heure.
Attention ! En augmentant le nombre de tentatives, vous augmentez le dlai de ngociation
du bail. Les performances du DHCP peuvent donc tre dgrades.

2.6.2 Mise en place

Pour activer la dtection de conflit dIP :
Clic droit sur IPv4 > Proprits > Advanced

Augmentez alors la valeur avec le nombre de ping effectuer avant dallouer une IP
24

3. Le service DHCP dans son fonctionnement

3.1 Fichiers de configuration
Par dfaut, les emplacements de configuration du serveur DHCP sont stocks dans
C:\Windows\system32\dhcp

Ci-dessous la description de chacun des fichiers (plus dinformations ici) :

dhcp.mdb : base de donnes du service DHCP
tmp.edb : fichier SWAP utilise par la base de donnes
j50* : journaux des transactions de la base de donnes
j50.chk : point de contrle avec la dernire configuration oprationnelle
/backup : dossier de sauvegarde
o dhcpcfg : fichier contenant la configuration actuelle du serveur. Il permet
galement dexporter les paramtres vers un autre serveur. Attention, il
ninclut pas les exceptions dIP. Ci-dessous, le fichier en question :

25

3.2 Structure de la base de donnes dhcp.mdb

Pour fonctionner, le service DHCP enregistre une grande partie de ses donnes dans un
fichier dhcp.mdb. Ce fichier utilise le moteur de base de donnes Jet Databse Engine (Jet
pour Joint Engine Technology) dvelopp par Microsoft en 1992. Il est utilis dans Access via
lextension JET Red . Cela dit, Jet Pack est aujourdhui considr comme obsolte et a t
remplac successivement par MSDE (Microsoft Desktop SQL Engine) et SQL Server Express
Edition. Plus dinformations sur Microsoft Jet en franais ici et en anglais ici.
Attention, il existe aussi JET Blue (aussi appel Extensible Storage Engine) qui est un
moteur de base de donnes cr par Microsoft en 1996 pour les produits Exchange et Active
Directory. Il est issu dESE 98. Plus dinformations en franais ici et en anglais ici.
Daprs ce que jai trouv, le fichier en question contient 2 tables :
Une mappant les IP aux ID des propritaires
Une autre mappant les noms aux adresses IP

3.3 Accder la base de donnes

Par curiosit, je me suis demand comment consulter les tables de ce fameux fichier
dhcp.mdb : sans succs
Jai essay avec Access 2003, Access 2007/2010, MDB Viewer Plus (tlchargement ici) et
aussi le composant MDAC (Microsoft Data Access Components, tlchargement ici ou l),
mais aucun moyen dy accder. Il existerait galement une API dnomme Exchange
Performance Enhanced Database Engine permettant dinterroger ce fichier, mais Microsoft
ne la jamais publi.
Au final je pense que pour exploiter ce fichier il est ncessaire de procder des requtes
SQL directement sur la base de donnes en sy connectant via un composant ODBC.

26

3.4 Compactage de la base de donnes

Daprs Microsoft, il est conseill de compacter cette base chaque fois quelle dpasse les
30 Mo. Pour cela, il faut utiliser la commande jetpack. Sous Windows Server 2003 cette
commande est disponible par dfaut. En revanche, sous Windows Server 2008 il faut lancer
une recherche pour trouver lobjet jetpack.exe dans C:\Windows\winsxs\. Avant de
lancer la compression prenez soin darrter le service DHCP server. Ensuite excuter une
fentre DOS et tapez :
jetpack dhcp.mdb temp.mdb
Enter

3.5 Visualisation des logs

Il est possible de consulter les logs du DHCP de deux faons.

3.5.1 Observateur dvnements

La solution la plus simple consiste consulter la console Event viewer
. A partir de
celle-ci il vous sera possible de visualiser tout vnement en relation avec le DHCP grce au
filtre prdfini.

3.5.2 Journaux DHCP

Si vous souhaitez connatre plus en dtail les distributions dIP, les baux expirs, les mises
jour DNS, vous pouvez consulter les journaux crs quotidiennement par le DHCP. Pour
cela allez dans %systemroot%\system32\dhcp et consultez les fichiers DhcpSrvLog[day].txt. En voici un extrait :

27

Prenez soin de bien lire et comprendre la lgende situe au dbut du fichier :

3.6 Performances
Afin de surveiller le fonctionnement de votre serveur, plusieurs indicateurs peuvent vous
tre utiles :

Packets Received/sec : nombre de paquets reus par seconde

Duplicates Dropped/sec : nombre de paquets dupliqus. Un dlai dexpiration trop
court des clients ou des temps de rponse trop longs de la part du serveur peuvent
en tre la cause
Packets Expired/sec : nombre de paquets expirs et rejets par le serveur (au-del
de 30s). Une saturation des ressources du serveur avec des temps de traitement trop
levs peut en tre la cause
Milliseconds per packet (avg.) : temps moyen de traitement dun paquet par le
serveur. Ce nombre peut varier selon les capacits physiques du serveur
Active Queue Length : longueur de la file dattente des messages en attente dtre
traits. Une hausse du trafic sur le serveur aura pour consquence un accroissement
de la file dattente
Conflict Check Queue Length : nombre de conflits dans file de traitement du DHCP.
Ce nombre varie selon lintensit du trafic sur le serveur

28

Discovers/sec : nombre de messages DHCPDISCOVER reu par seconde. Ces

messages sont envoys par les clients pour obtenir une IP. Un nombre important de
messages peut tre reu lorsque de nombreux clients dmarrent en mme temps
Offers/sec : nombre de messages DHCPOFFERS envoys par seconde
Requests/sec : nombre de messages DCHPREQUEST reus par seconde. Un nombre
important de messages signifie que de nombreux clients essaient de renouveler leur
IP en mme temps
Informs/sec : nombre de messages DCHPINFORM reus par seconde. Ces messages
sont envoys lorsque le serveur interroge lannuaire de service racine et galement
lorsque des mises jour dynamiques sont envoyes
Acks/sec : nombre de messages DHCPACKS envoys par seconde du serveur aux
clients. Une variation du nombre de message peut tre la consquence de baux trop
courts
Nacks/sec : nombre de messages DHCPNAK envoys par seconde du serveur aux
clients. Un nombre lev peut indiquer de graves dysfonctionnements sur le rseau
ou une mauvaise configuration du serveur
Releases/sec : nombre de messages DCHPRELEASE reus par seconde. Un nombre
levs peut signifier que plusieurs clients ont reus des paramtres incorrects, ou
quil existe des problmes sur le rseau. Activer le dtecteur de conflit peut aider
solutionner ce problme

29

Conclusion
En dfinitive, il existe de nombreux articles, blogs et sites web sur internet dcrivant le
fonctionnement du protocole DHCP au sein de Windows. Cela dit, peu dentre eux mettent
un accent sur la scurit de ce protocole tout en prenant soin dexpliquer techniquement,
mais de faon claire, le fonctionnement de ces techniques de protection.
Cest donc au travers de cet article que jai essay de rsumer au mieux lensemble des
technologies permettant de scuriser un serveur DHCP sous Windows Server 2008 R2.
Je vous recommande de lire mon article Serveur DNS redondants que vous trouverez
galement sur Scribd.

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :

michel_de A-R-0-B-A-5 hotmail . com

Soyez-en dores et dj remerci

30