Securiser serveur dhcp

Securiser serveur dhcp - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 22-02-2017 à 09:59:39    

bonjour,
J'aimerai savoir quel serait la technique pour securiser un serveur DHCP.
quelle méthode utiliseriez vous ?
Car en cas de panne/blocage du serveur DHCP et bien je suis géné. Il faut que cela fonctionne 24h/24, on n'est pas tout le temps là :/
 
Mon serveur dhcp est un Windows.
Au niveau de mes commut sur les reseau/vlan distant je met dhcp helper.
ip helper-address 172.1.0.2
 
 
Qui l'a mis en place ?


Message édité par skoizer le 22-02-2017 à 09:59:59

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 22-02-2017 à 09:59:39   

Reply

Marsh Posté le 22-02-2017 à 13:08:30    

dhcp en hot standby depuis 2012 ça marche bien.

Reply

Marsh Posté le 22-02-2017 à 15:47:59    

hot standby, je ne connais pas le principe. C'est quoi le principe ?
le serveur ne s'allume pas t'en que l'autre est up ?
n'y a t'il pas une autre méthode. Car c'est critique un serveur dhcp. Si l'hote ne trouve pas de serveur dhcp, il garde son ancienne ip un peu plus longtemps ?


Message édité par skoizer le 22-02-2017 à 15:50:31

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 23-02-2017 à 09:31:32    

Le DHCP devient actif quand l'autre tombe.
 
Si le DHCP est un service critique son fonctionnement permet généralement un délai avant remise en service.
Les clients Windows tentent de renouveler le bail à 50% pour éviter de tomber à court d'adresse au dernier moment.

Reply

Marsh Posté le 23-02-2017 à 14:24:39    

Sans vouloir être pointilleux il me semle qu'il s'agisse plus d'un soucis disponibilité du service DHCP que de sécurité.
Quand au ip helper-address je vois pas ce qu'il vient faire là dedans sachant qu'il à une tout autre fonction.

Reply

Marsh Posté le 23-02-2017 à 23:57:06    

Sinon, 2 serveurs DHCP distribuant chacun sur une plage IP du sous-réseau.

Reply

Marsh Posté le 24-02-2017 à 10:01:57    

je pensai qu'il pouvait y avoir une option avec
 ip helper-address
pour definir 2 DHCP dont un actif et un en secours.
 
c'est un "point of failure" le DHCP, cela a un impact global et critique.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 24-02-2017 à 10:54:50    

HJ a écrit :

Sinon, 2 serveurs DHCP distribuant chacun sur une plage IP du sous-réseau.


C'est une méthode crade qui n'a plus d'intérêt depuis WS 2012.

Reply

Marsh Posté le 24-02-2017 à 11:04:44    

skoizer a écrit :

je pensai qu'il pouvait y avoir une option avec
 ip helper-address
pour definir 2 DHCP dont un actif et un en secours.
 
c'est un "point of failure" le DHCP, cela a un impact global et critique.


C'est justement ce que te proposes WS 2012, relis les posts plus haut...

Reply

Marsh Posté le 24-02-2017 à 11:25:27    

C'est bizarre que Microsoft réfléchisse a cette problématique que depuis W2012...
je n'ai pas de licence W2012 mais que W2008R2.
Ce n'est pas quelque chose que je vais pouvoir rapidement faire...
 
Mais dans l’immédiat que pensez vous d'une autre solution.
Augmenter le bail
Si je met le bail à 6 jours, cela me permet de le detecter la casse du DHCP, car sur le renouvellement des 50% (donc 3 jours si il y a un le week end et jours férié) cela me donne de la marge.
Cela ne fonctionnerait pas pour des machines qui était éteinte et qui demanderait une nouvelle ip ?
c'est pas envisageable ?


Message édité par skoizer le 24-02-2017 à 11:25:49

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 24-02-2017 à 11:25:27   

Reply

Marsh Posté le 24-02-2017 à 11:36:45    

Par défaut le bail c'est 7 jours de mémoire. Mais encore une fois, quand ton serveur DHCP pète, tu as normalement largement le temps d'en remonter un from scratch (avec restauration de la conf derrière) avant d'avoir des incidents.
 
Et 2008 R2 sera en fin de vie dans 3 ans, il est temps que tu commences à déployer du 2012 voire du 2016.

Reply

Marsh Posté le 24-02-2017 à 21:16:47    

en 2008 R2 et avant tu avais le cluster DHCP mais vu que les clients savent pas gérer des clusters ils sont revenus sur un mode plus applicatif de la gestion de la haute dispo

Reply

Marsh Posté le 25-02-2017 à 09:26:02    

Bah on peut scripter un check de son DHCP 2008R2 et si KO lancer l'autorisation d'une étendue DHCP préconfiguré sur un autre 2008R2.
 
Check du DHCP sur le réseau : https://gallery.technet.microsoft.c [...] y-34262d82
Gestion du serveur DHCP via NETSH
 
Au passage, on peut rajouter dans son script que si DHCPLOC trouve un serveur DHCP non connu, on en soit notifié.

Reply

Marsh Posté le 27-02-2017 à 09:03:57    

oui nebulios c'est dans les cartons.
en terme de licence, je vais partir sur 16 licences datastore W2016 (car j'ai 8 serveur ESXI avec 2 processeurs sur chaqu'un)
nebulios comme tu propose de nous aider, je te propose que je te transfére un RIB pour que vous nous aidiez a financier les licences ?
J'ai aussi augmenté le bail de 1 jours à 7jours.
 
merci Je@nb et ShonGail
je vais voir pour mettre une sonde sur mon service DHCP
 
Y a t'il une procédure spécifique pour la sauvegarde du DHCP ?


Message édité par skoizer le 27-02-2017 à 09:04:17

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 27-02-2017 à 09:14:54    

Je pense qu'augmenter la durée du bail ne change rien à ton problème.
Si DHCP HS et que l'interface réseau du poste client est coupée (redémarrage du PC par exemple), le poste ne prendra pas son IP précédente car le bail serait non écoulé.

 

Pour la sauvegarde, cela a surtout un intérêt si tu as des paramètres spécifiques (réservations, options poussées aux clients) car sinon c'est aussi rapide de reconfigurer.
Voir https://technet.microsoft.com/en-us [...] s.11).aspx


Message édité par ShonGail le 27-02-2017 à 09:17:41
Reply

Marsh Posté le 27-02-2017 à 09:47:07    

merci ShonGail
oui j'avais pensé a ce cas la.
 
pour l'instant je travaille avec une liste "verte" seule 20 pc ont le droit d'utiliser le DHCP. donc oui j'aimerai sauvegarder la conf.
Nous allons généraliser le DHCP, il faudra donc mieux le  securiser.
Je vais plutot regarder du coté de mon stormshield si il peut plutot s'en occuper, car cet équipement est en haute dispo (doublé).


Message édité par skoizer le 27-02-2017 à 09:47:33

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 27-02-2017 à 17:04:12    

nebulios a écrit :

Par défaut le bail c'est 7 jours de mémoire. Mais encore une fois, quand ton serveur DHCP pète, tu as normalement largement le temps d'en remonter un from scratch (avec restauration de la conf derrière) avant d'avoir des incidents.
 
Et 2008 R2 sera en fin de vie dans 3 ans, il est temps que tu commences à déployer du 2012 voire du 2016.


Oui enfin il n'y a pas que le cout des licences serveurs. Il y a aussi les CALs clients. Suivant son parc ca eut être un joli budget!

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed