Professional Documents
Culture Documents
SOURCES
http://technet.microsoft.com/en-us/network/bb643151.aspx
http://technet.microsoft.com/en-us/library/cc896553%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/cc780311%28WS.10%29.aspx
http://support.microsoft.com/kb/816592
http://technet.microsoft.com/en-us/library/dd145315%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/cc787034%28WS.10%29.aspx
http://technet.microsoft.com/en-us/library/dd296649%28WS.10%29.aspx
Icones DHCP :
http://technet.microsoft.com/en-us/library/gg722802%28WS.10%29.aspx
Prambule
En premier lieu, vous devez savoir quil est ncessaire de matriser un minimum les
fonctionnalits de base dun domaine Windows Server 2008 ( savoir Active Directory et
DNS) pour comprendre ce tutorial. Par ailleurs, sachez que leur installation ne sera pas
dtaille la suite. Pensez donc vrifier que votre serveur DNS fonctionne correctement et
pensez crer une zone de recherche inverse.
Si vous ne disposez pas dune version de Windows Server 2008 R2 x64 SP1
Standard/Entreprise, vous pouvez tlcharger une dmo ici depuis le site officiel de
Microsoft. Vous pouvez mme le tlcharger en VHD si vous utilisez Hyper-V ou Virtual PC.
Attention, mes serveurs sont installs en anglais, donc je vous recommande dopter pour
cette langue lors de votre tlchargement ou bien de tlcharger le pack multilingue en
anglais ici pour ne pas perdre le fil
Lobjectif de ce tuto sera de mettre en place un serveur DHCP scuris et de comprendre le
fonctionnement de ce protocole au sein de Windows. Notez que le rle DHCP sera install
sur un autre serveur afin de mettre en valeur certains aspects ou problmes inexistants
lorsque le DNS et le DHCP sont installs sur le mme serveur. De plus, la majorit des
entreprises prfrent sparer ce rle pour des raisons de scurit et de redondance.
Pour ce tuto, jutiliserai deux serveurs :
SRV-AD : serveur Active Directory et DNS
SRV-DHCP : serveur DHCP membre du domaine
Choisissez ensuite sur quels rseaux le service DHCP coutera (vous pourrez modifier
ces options ultrieurement) et cliquez sur Next
Vous pouvez ici ajouter plusieurs plages DHCP. Laissez ce champ vide pour le
moment
Voil, votre serveur DHCP est install. Il ne reste plus qu configurer ses options
7
Depuis la console, clic droit sur IPv4 > New scope > Next
Loption suivante vous permet de configurer la dure du bail DHCP, autrement dit la
dure de vie de lIP avant une prochaine demande de renouvellement. Sur un
rseau cbl, prfrez 1 8 jours, sur un rseau WIFI 1 8 heures
Lassistant vous demande ensuite si vous voulez configurer les options du DHCP.
Dites-lui que No
10
Lassistant a termin
11
Les options suivantes peuvent tre alors ajoutes selon vos besoins :
o 003 : Router : passerelle par dfaut
o 006 : DNS Servers : adresses IP de vos serveurs DNS
o 015 : DNS Domain name : nom de votre domaine
12
o 066 : Boot Server Host name : adresse IP de votre serveur WDS (et PXE la
fois)
o 067 : Bootfile name : nom du fichier de boot : boot\x86\wdsnbp.com
(optionnel)
Note : les options 66 et 67 sont rajouter seulement si vous avez lintention dinstaller un
serveur WDS sur un autre serveur de votre rseau.
La fentre ci-dessous apparat. Il ne vous reste plus qu slectionner les IP des cartes
rseaux adquates et redmarrer le service DHCP
14
Pour authentifier un serveur DHCP, clic droit sur DHCP > Manage authorized servers.
La fentre suivante apparat :
Par dfaut votre serveur DHCP est autoris grce au compte fourni durant
linstallation du rle. Si vous souhaitez rajouter un serveur cliquez sur Authorize
Note : le serveur DHCP est automatiquement autoris sil est install sur un contrleur de
domaine
Le message ci-dessous vous confirmera que votre serveur est bien autoris dans votre
domaine :
2.1.2 Fonctionnement
Quand le service DHCP dmarre, un message de type DHCP Inform est envoy lensemble
du rseau via diffusion (255.255.255.255) afin de dcouvrir dautres serveurs DHCP.
15
Note : Le processus de dtection des serveurs authentifis est lanc toutes les 60 minutes.
Quant au processus des serveurs non authentifis, il est lanc toutes les 10 minutes.
En rsum :
16
Depuis la console DHCP, clic droit sur IPv4 > Proprits > DNS
La fentre suivante apparat avec diffrentes options :
17
Pour client antrieur Windows 2000, les entres (A) et (PTR) sont cres par le serveur
DHCP directement auprs du DNS, en raison dune incompatibilit des clients avec loption
81 du DHCP (Cf. explication la suite).
18
Renseignez alors les informations du compte ddi au DHCP (un compte utilisateur suffit)
20
et non plus un compte local membre des groupes DHCP Users ou DHCP
Administrators (Cf. image ci-dessous) :
De plus, un compte de service possde moins de privilges quun compte local. Cela rduit
donc le risque dlvation de privilges au travers du service DHCP.
21
Depuis la console DHCP, clic droit sur IPv4 > Proprits > DNS > Configure
Pour activer une des listes, cochez la case cocher souhaite puis Ok
23
Augmentez alors la valeur avec le nombre de ping effectuer avant dallouer une IP
24
25
26
27
3.6 Performances
Afin de surveiller le fonctionnement de votre serveur, plusieurs indicateurs peuvent vous
tre utiles :
28
29
Conclusion
En dfinitive, il existe de nombreux articles, blogs et sites web sur internet dcrivant le
fonctionnement du protocole DHCP au sein de Windows. Cela dit, peu dentre eux mettent
un accent sur la scurit de ce protocole tout en prenant soin dexpliquer techniquement,
mais de faon claire, le fonctionnement de ces techniques de protection.
Cest donc au travers de cet article que jai essay de rsumer au mieux lensemble des
technologies permettant de scuriser un serveur DHCP sous Windows Server 2008 R2.
Je vous recommande de lire mon article Serveur DNS redondants que vous trouverez
galement sur Scribd.
30