Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
1985 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Securiser serveur dhcp

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Securiser serveur dhcp

n°144922
skoizer
tripoux et tête de veau
Posté le 22-02-2017 à 09:59:39  profilanswer
 

bonjour,
J'aimerai savoir quel serait la technique pour securiser un serveur DHCP.
quelle méthode utiliseriez vous ?
Car en cas de panne/blocage du serveur DHCP et bien je suis géné. Il faut que cela fonctionne 24h/24, on n'est pas tout le temps là :/
 
Mon serveur dhcp est un Windows.
Au niveau de mes commut sur les reseau/vlan distant je met dhcp helper.
ip helper-address 172.1.0.2
 
 
Qui l'a mis en place ?


Message édité par skoizer le 22-02-2017 à 09:59:59

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
mood
Publicité
Posté le 22-02-2017 à 09:59:39  profilanswer
 

n°144936
Je@nb
Modérateur
In ze cloud
Posté le 22-02-2017 à 13:08:30  profilanswer
 

dhcp en hot standby depuis 2012 ça marche bien.

n°144943
skoizer
tripoux et tête de veau
Posté le 22-02-2017 à 15:47:59  profilanswer
 

hot standby, je ne connais pas le principe. C'est quoi le principe ?
le serveur ne s'allume pas t'en que l'autre est up ?
n'y a t'il pas une autre méthode. Car c'est critique un serveur dhcp. Si l'hote ne trouve pas de serveur dhcp, il garde son ancienne ip un peu plus longtemps ?


Message édité par skoizer le 22-02-2017 à 15:50:31

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°144955
nebulios
Posté le 23-02-2017 à 09:31:32  profilanswer
 

Le DHCP devient actif quand l'autre tombe.
 
Si le DHCP est un service critique son fonctionnement permet généralement un délai avant remise en service.
Les clients Windows tentent de renouveler le bail à 50% pour éviter de tomber à court d'adresse au dernier moment.

n°144966
campesinos
Posté le 23-02-2017 à 14:24:39  profilanswer
 

Sans vouloir être pointilleux il me semle qu'il s'agisse plus d'un soucis disponibilité du service DHCP que de sécurité.
Quand au ip helper-address je vois pas ce qu'il vient faire là dedans sachant qu'il à une tout autre fonction.

n°144979
HJ
Posté le 23-02-2017 à 23:57:06  profilanswer
 

Sinon, 2 serveurs DHCP distribuant chacun sur une plage IP du sous-réseau.

n°144988
skoizer
tripoux et tête de veau
Posté le 24-02-2017 à 10:01:57  profilanswer
 

je pensai qu'il pouvait y avoir une option avec
 ip helper-address
pour definir 2 DHCP dont un actif et un en secours.
 
c'est un "point of failure" le DHCP, cela a un impact global et critique.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°144990
nebulios
Posté le 24-02-2017 à 10:54:50  profilanswer
 

HJ a écrit :

Sinon, 2 serveurs DHCP distribuant chacun sur une plage IP du sous-réseau.


C'est une méthode crade qui n'a plus d'intérêt depuis WS 2012.

n°144991
nebulios
Posté le 24-02-2017 à 11:04:44  profilanswer
 

skoizer a écrit :

je pensai qu'il pouvait y avoir une option avec
 ip helper-address
pour definir 2 DHCP dont un actif et un en secours.
 
c'est un "point of failure" le DHCP, cela a un impact global et critique.


C'est justement ce que te proposes WS 2012, relis les posts plus haut...

n°144992
skoizer
tripoux et tête de veau
Posté le 24-02-2017 à 11:25:27  profilanswer
 

C'est bizarre que Microsoft réfléchisse a cette problématique que depuis W2012...
je n'ai pas de licence W2012 mais que W2008R2.
Ce n'est pas quelque chose que je vais pouvoir rapidement faire...
 
Mais dans l’immédiat que pensez vous d'une autre solution.
Augmenter le bail
Si je met le bail à 6 jours, cela me permet de le detecter la casse du DHCP, car sur le renouvellement des 50% (donc 3 jours si il y a un le week end et jours férié) cela me donne de la marge.
Cela ne fonctionnerait pas pour des machines qui était éteinte et qui demanderait une nouvelle ip ?
c'est pas envisageable ?


Message édité par skoizer le 24-02-2017 à 11:25:49

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
mood
Publicité
Posté le 24-02-2017 à 11:25:27  profilanswer
 

n°144993
nebulios
Posté le 24-02-2017 à 11:36:45  profilanswer
 

Par défaut le bail c'est 7 jours de mémoire. Mais encore une fois, quand ton serveur DHCP pète, tu as normalement largement le temps d'en remonter un from scratch (avec restauration de la conf derrière) avant d'avoir des incidents.
 
Et 2008 R2 sera en fin de vie dans 3 ans, il est temps que tu commences à déployer du 2012 voire du 2016.

n°144997
Je@nb
Modérateur
In ze cloud
Posté le 24-02-2017 à 21:16:47  profilanswer
 

en 2008 R2 et avant tu avais le cluster DHCP mais vu que les clients savent pas gérer des clusters ils sont revenus sur un mode plus applicatif de la gestion de la haute dispo

n°145001
ShonGail
En phase de calmitude ...
Posté le 25-02-2017 à 09:26:02  profilanswer
 

Bah on peut scripter un check de son DHCP 2008R2 et si KO lancer l'autorisation d'une étendue DHCP préconfiguré sur un autre 2008R2.
 
Check du DHCP sur le réseau : https://gallery.technet.microsoft.c [...] y-34262d82
Gestion du serveur DHCP via NETSH
 
Au passage, on peut rajouter dans son script que si DHCPLOC trouve un serveur DHCP non connu, on en soit notifié.

n°145012
skoizer
tripoux et tête de veau
Posté le 27-02-2017 à 09:03:57  profilanswer
 

oui nebulios c'est dans les cartons.
en terme de licence, je vais partir sur 16 licences datastore W2016 (car j'ai 8 serveur ESXI avec 2 processeurs sur chaqu'un)
nebulios comme tu propose de nous aider, je te propose que je te transfére un RIB pour que vous nous aidiez a financier les licences ?
J'ai aussi augmenté le bail de 1 jours à 7jours.
 
merci Je@nb et ShonGail
je vais voir pour mettre une sonde sur mon service DHCP
 
Y a t'il une procédure spécifique pour la sauvegarde du DHCP ?


Message édité par skoizer le 27-02-2017 à 09:04:17

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°145015
ShonGail
En phase de calmitude ...
Posté le 27-02-2017 à 09:14:54  profilanswer
 

Je pense qu'augmenter la durée du bail ne change rien à ton problème.
Si DHCP HS et que l'interface réseau du poste client est coupée (redémarrage du PC par exemple), le poste ne prendra pas son IP précédente car le bail serait non écoulé.

 

Pour la sauvegarde, cela a surtout un intérêt si tu as des paramètres spécifiques (réservations, options poussées aux clients) car sinon c'est aussi rapide de reconfigurer.
Voir https://technet.microsoft.com/en-us [...] s.11).aspx


Message édité par ShonGail le 27-02-2017 à 09:17:41
n°145016
skoizer
tripoux et tête de veau
Posté le 27-02-2017 à 09:47:07  profilanswer
 

merci ShonGail
oui j'avais pensé a ce cas la.
 
pour l'instant je travaille avec une liste "verte" seule 20 pc ont le droit d'utiliser le DHCP. donc oui j'aimerai sauvegarder la conf.
Nous allons généraliser le DHCP, il faudra donc mieux le  securiser.
Je vais plutot regarder du coté de mon stormshield si il peut plutot s'en occuper, car cet équipement est en haute dispo (doublé).


Message édité par skoizer le 27-02-2017 à 09:47:33

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°145019
clockover
That's the life
Posté le 27-02-2017 à 17:04:12  profilanswer
 

nebulios a écrit :

Par défaut le bail c'est 7 jours de mémoire. Mais encore une fois, quand ton serveur DHCP pète, tu as normalement largement le temps d'en remonter un from scratch (avec restauration de la conf derrière) avant d'avoir des incidents.
 
Et 2008 R2 sera en fin de vie dans 3 ans, il est temps que tu commences à déployer du 2012 voire du 2016.


Oui enfin il n'y a pas que le cout des licences serveurs. Il y a aussi les CALs clients. Suivant son parc ca eut être un joli budget!


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Securiser serveur dhcp

 

Sujets relatifs
[RESOLU] Question sur serveur DHCPplus assez d'adresses sur le DHCP
[RESOLU] Question sur serveur DHCP et imprimante[DHCP 2012] Migration de 2012 à 2012
prob de nom de DHCP (Résolu)Serveur DHCP et VLAN
Apprendre à sécuriser son réseau par l'exempleWDS & DHCP
DHCP & AD : n'autoriser que les PC du domaine 
Plus de sujets relatifs à : Securiser serveur dhcp


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR