bonjour,
J'aimerai savoir quel serait la technique pour securiser un serveur DHCP.
quelle méthode utiliseriez vous ?
Car en cas de panne/blocage du serveur DHCP et bien je suis géné. Il faut que cela fonctionne 24h/24, on n'est pas tout le temps là
 
Mon serveur dhcp est un Windows.
Au niveau de mes commut sur les reseau/vlan distant je met dhcp helper.
ip helper-address 172.1.0.2
 
 
Qui l'a mis en place ?

dhcp en hot standby depuis 2012 ça marche bien.

hot standby, je ne connais pas le principe. C'est quoi le principe ?
le serveur ne s'allume pas t'en que l'autre est up ?
n'y a t'il pas une autre méthode. Car c'est critique un serveur dhcp. Si l'hote ne trouve pas de serveur dhcp, il garde son ancienne ip un peu plus longtemps ?

Le DHCP devient actif quand l'autre tombe.
 
Si le DHCP est un service critique son fonctionnement permet généralement un délai avant remise en service.
Les clients Windows tentent de renouveler le bail à 50% pour éviter de tomber à court d'adresse au dernier moment.

Sans vouloir être pointilleux il me semle qu'il s'agisse plus d'un soucis disponibilité du service DHCP que de sécurité.
Quand au ip helper-address je vois pas ce qu'il vient faire là dedans sachant qu'il à une tout autre fonction.

Sinon, 2 serveurs DHCP distribuant chacun sur une plage IP du sous-réseau.

je pensai qu'il pouvait y avoir une option avec
 ip helper-address
pour definir 2 DHCP dont un actif et un en secours.
 
c'est un "point of failure" le DHCP, cela a un impact global et critique.

C'est une méthode crade qui n'a plus d'intérêt depuis WS 2012.

C'est justement ce que te proposes WS 2012, relis les posts plus haut...

C'est bizarre que Microsoft réfléchisse a cette problématique que depuis W2012...
je n'ai pas de licence W2012 mais que W2008R2.
Ce n'est pas quelque chose que je vais pouvoir rapidement faire...
 
Mais dans l’immédiat que pensez vous d'une autre solution.
Augmenter le bail
Si je met le bail à 6 jours, cela me permet de le detecter la casse du DHCP, car sur le renouvellement des 50% (donc 3 jours si il y a un le week end et jours férié) cela me donne de la marge.
Cela ne fonctionnerait pas pour des machines qui était éteinte et qui demanderait une nouvelle ip ?
c'est pas envisageable ?

Par défaut le bail c'est 7 jours de mémoire. Mais encore une fois, quand ton serveur DHCP pète, tu as normalement largement le temps d'en remonter un from scratch (avec restauration de la conf derrière) avant d'avoir des incidents.
 
Et 2008 R2 sera en fin de vie dans 3 ans, il est temps que tu commences à déployer du 2012 voire du 2016.

en 2008 R2 et avant tu avais le cluster DHCP mais vu que les clients savent pas gérer des clusters ils sont revenus sur un mode plus applicatif de la gestion de la haute dispo

Bah on peut scripter un check de son DHCP 2008R2 et si KO lancer l'autorisation d'une étendue DHCP préconfiguré sur un autre 2008R2.
 
Check du DHCP sur le réseau : https://gallery.technet.microsoft.c [...] y-34262d82
Gestion du serveur DHCP via NETSH
 
Au passage, on peut rajouter dans son script que si DHCPLOC trouve un serveur DHCP non connu, on en soit notifié.

oui nebulios c'est dans les cartons.
en terme de licence, je vais partir sur 16 licences datastore W2016 (car j'ai 8 serveur ESXI avec 2 processeurs sur chaqu'un)
nebulios comme tu propose de nous aider, je te propose que je te transfére un RIB pour que vous nous aidiez a financier les licences ?
J'ai aussi augmenté le bail de 1 jours à 7jours.
 
merci Je@nb et ShonGail
je vais voir pour mettre une sonde sur mon service DHCP
 
Y a t'il une procédure spécifique pour la sauvegarde du DHCP ?

Je pense qu'augmenter la durée du bail ne change rien à ton problème.
Si DHCP HS et que l'interface réseau du poste client est coupée (redémarrage du PC par exemple), le poste ne prendra pas son IP précédente car le bail serait non écoulé.

Pour la sauvegarde, cela a surtout un intérêt si tu as des paramètres spécifiques (réservations, options poussées aux clients) car sinon c'est aussi rapide de reconfigurer.
Voir https://technet.microsoft.com/en-us [...] s.11).aspx

merci ShonGail
oui j'avais pensé a ce cas la.
 
pour l'instant je travaille avec une liste "verte" seule 20 pc ont le droit d'utiliser le DHCP. donc oui j'aimerai sauvegarder la conf.
Nous allons généraliser le DHCP, il faudra donc mieux le  securiser.
Je vais plutot regarder du coté de mon stormshield si il peut plutot s'en occuper, car cet équipement est en haute dispo (doublé).

Oui enfin il n'y a pas que le cout des licences serveurs. Il y a aussi les CALs clients. Suivant son parc ca eut être un joli budget!