Chapitre 3 : Gestion et analyse du service DHCP

Module S43
Chapitre 3 : Gestion et analyse du service DHCP
Chapitre 3 : Gestion et analyse du service DHCP
Vous pouvez restaurer une base de données à partir du répertoire de sauvegarde sur le lecteur
local. En cas d’échec, vous devez restaurer la base de données DHCP à partir d’un emplacement de
stockage hors connexion.
Chapitre 3 : Gestion et analyse du service DHCP
Bien qu’il soit possible de sauvegarder et de restaurer une base de données DHCP
automatiquement et manuellement vers et à partir d’un répertoire de sauvegarde sur le lecteur local, vous
ne pouvez effectuer ces opérations que manuellement si vous utilisez un emplacement de stockage hors
connexion.
3.1 Gestion d’une base de données DHCP
3.2.1 Vue d’ensemble de la gestion du service DHCP
Vous devez gérer le service DHCP pour qu’il réponde aux besoins changeants des clients en
matière d’adressage IP. Les besoins d’adressage IP des clients peuvent évoluer lorsque le nombre de
clients, de sous-réseaux ou de serveurs du réseau connaît des fluctuations.
Vous devez aussi gérer le service DHCP pour l’adapter aux changements des conditions de
serveur DHCP et pour protéger la base de données DHCP contre toute défaillance.
3.2.2 Qu’est-ce qu’une base de données DHCP ?
3.2.5 Modalités de réconciliation d’une base de données DHCP
La réconciliation est le processus consistant à vérifier les valeurs de base de données DHCP en
fonction des valeurs de Registre DHCP. Il est recommandé de réconcilier votre base de données DHCP :
•
•
La base de données DHCP est une base de données dynamique qui est mise à jour lorsque les
clients DHCP obtiennent ou libèrent leurs baux d’adresses TCP/IP (Transmission Control
Protocol/Internet Protocol).
La base de données DHCP contient les données de configuration DHCP (informations sur les
étendues, les réservations, les options, les baux, etc.). Le service DHCP ne peut pas démarrer sans cette
base de données.
Windows Server 2003 stocke la base de données DHCP dans le répertoire
%systemroot%\System32\Dhcp. Par défaut, elle est sauvegardée automatiquement dans le répertoire
Backup\New situé dans le répertoire de la base de données.
La base de données DHCP est composée des fichiers suivants :
Description
DHCP.mdb
Fichier de base de données du service DHCP. Le fichier contient deux tables : la première
mappe les adresses IP aux ID de propriétaire et la seconde les noms aux adresses IP.
Tmp.edb
Fichier temporaire que la base de données
J50.log et
J50*.log
Journaux où sont enregistrées toutes les transactions effectuées avec la base de données. S’il
y a lieu, le service DHCP utilise ces journaux pour récupérer des données.
Res*.log
Fichiers journaux réservés qui sont utilisés pour enregistrer les transactions existantes si
l’espace disque du système s’avère insuffisant.
J50.chk
Fichier de point de contrôle.
Lorsque les valeurs de la base de données DHCP sont configurées convenablement, mais ne
s’affichent pas correctement dans la console DHCP ;
Si la base de données DHCP que vous venez de restaurer ne contient pas les valeurs les plus récentes.
Lorsque vous réconciliez un serveur ou une étendue, le service DHCP reconstruit sa configuration
la plus récente à partir des informations résumées du Registre et des informations détaillées de la base de
données DHCP.
3.2.6 Comment réconcilier une base de données DHCP
Avant d’utiliser la fonctionnalité Réconcilier pour récupérer entièrement, à partir du Registre, les
informations relatives aux clients pour une étendue DHCP, vous devez vous assurer que l’ordinateur
serveur remplit les conditions suivantes.
•
•
Fichier
Toutes les clés de Registre du serveur DHCP doivent soit être restaurées, soit exister et être restées
intactes à la suite des opérations de service réalisées antérieurement sur l’ordinateur serveur.
Une nouvelle version du fichier de base de données du serveur DHCP doit être générée dans le
dossier %Systemroot%\System32\Dhcp sur l’ordinateur serveur.
Lorsque le Registre et la base de données satisfont à ces critères, vous pouvez redémarrer le
service DHCP. À ce stade, si vous ouvrez la console DHCP, vous pouvez remarquer que les informations
relatives aux étendues sont présentes, mais qu’aucun bail actif ne s’affiche. La fonctionnalité Réconcilier
vous permet alors de récupérer les baux actifs pour chaque étendue.
Après avoir utilisé la fonctionnalité Réconcilier, si vous affichez les propriétés de clients
individuels figurant dans la liste de baux actifs, vous remarquerez peut-être que les informations sur les
clients sont affichées de façon incorrecte. Ces informations sont corrigées et mises à jour dans le
Gestionnaire DHCP lorsque les clients d’étendue renouvellent leurs baux.
3.2 Analyse du service DHCP
3.2.3 Modalités de sauvegarde et de restauration d’une base de données DHCP
Pour assurer la tolérance de pannes en cas de défaillance du serveur, il est important de
sauvegarder la base de données DHCP. Ainsi, vous pourrez restaurer la base de données à partir de sa
copie de sauvegarde si le matériel tombe en panne.
Par défaut, le service DHCP sauvegarde automatiquement, toutes les 60 minutes, la base de
données DHCP et les entrées du Registre correspondantes dans un répertoire de sauvegarde situé sur le
lecteur local.
Par défaut, ce répertoire est \%Systemroot%\System32\Dhcp\Backup\New. L’administrateur peut
modifier l’emplacement de la sauvegarde. L’administrateur peut ensuite copier les fichiers DHCP
sauvegardés vers un emplacement de stockage hors connexion (par exemple une clé usb ou un disque).
3.2.4 Comment sauvegarder et restaurer une base de données DHCP
Professeur : Halima HOUSNY
Module S43
1
3.2.1 Vue d’ensemble de l’analyse du service DHCP
L’environnement DHCP est dynamique. Les besoins des clients changent constamment, à mesure
que des clients sont ajoutés ou enlevés, de nouvelles options sont configurées, les besoins d’organisation
évoluent et des étendues sont ajoutées pour desservir des clients supplémentaires. Par conséquent, il est
important de vérifier que les performances du serveur DHCP sur le réseau restent conformes aux attentes
lorsque le réseau change.
Bien qu’il soit important d’analyser les fonctions DHCP, il est tout aussi important de comprendre
que de nombreux ordinateurs qui hébergent le service Serveur DHCP hébergent aussi d’autres
applications et services réseau. Par conséquent, en évaluant les performances, vous devez examiner les
interactions entre tous les services exécutés sur le serveur DHCP et leur utilisation respective des
ressources système.
Professeur : Halima HOUSNY
2
Module S43
Chapitre 3 : Gestion et analyse du service DHCP
Module S43
Vous trouverez des informations sur le service DHCP dans les statistiques DHCP, les événements
DHCP et les données de performances DHCP.
3.2.2 Présentation des statistiques DHCP
Les statistiques DHCP représentent les statistiques collectées au niveau du serveur ou de l’étendue
depuis le dernier démarrage du service DHCP. Les statistiques offrent une vue en temps réel que vous
pouvez utiliser pour vérifier l’état de votre serveur ou des étendues DHCP.
2. Une fois que l’enregistrement d’audit a démarré, le serveur DHCP vérifie le disque à
intervalles réguliers, pour s’assurer qu’il reste de l’espace disque disponible sur le serveur et que le fichier
journal d’audit actuel ne devient pas trop volumineux ou qu’il ne grossit pas trop vite Le serveur DHCP
effectue une vérification totale du disque chaque fois que l’une des conditions suivantes est rencontrée :
Un nombre déterminé d’événements de serveur ont été enregistrés. Par défaut, ce nombre
d’événements de serveur est de 50.
L’horloge du serveur atteint 00:00 heure locale. À chaque vérification du disque, le serveur
détermine si l’espace disque est rempli. Le disque est considéré plein lorsque l’une des conditions
suivantes est vraie :
L’espace disque restant disponible sur le serveur est inférieur au minimum requis pour
l’enregistrement d’audit DHCP ( 20 Mo).
La taille du fichier journal d’audit actuel est supérieure à un septième (1/7) de l’espace
maximal alloué pour l’ensemble des journaux d’audit actuellement stockés sur le serveur. La
limite par défaut est configurée dans le Registre à 70 Mo
•
•
3.2.3 Qu’est-ce qu’un fichier journal d’audit DHCP ?
Un fichier journal d’audit DHCP est un journal où sont consignés des événements relatifs à un
service, par exemple le moment où :
•
•
•
Chapitre 3 : Gestion et analyse du service DHCP
• Si le fichier existe déjà mais n’a pas été modifié depuis plus d’une journée, il est remplacé.
• Si le fichier existe déjà mais a été modifié au cours des dernières 24 heures, il n’est pas remplacé. Les
nouveaux enregistrements viennent alors s’ajouter à la fin du journal existant. Il en est ainsi en cas de
redémarrage du système ou du service Serveur DHCP
Dans tous les cas, si le disque est plein, le serveur DHCP ferme le fichier en cours et ignore toute
demande d’enregistrement d’événement d’audit jusqu’à 00:00 ou jusqu’à ce que le disque ne soit plus
plein.
3. À 00:00 heure locale sur l’ordinateur serveur, le serveur DHCP ferme le journal existant et
passe au fichier journal du jour suivant de la semaine.
le service démarre ou s’arrête ;
des autorisations ont été vérifiées ;
des adresses IP sont louées, renouvelées, libérées ou refusées.
Vous pouvez utiliser les journaux d’audit DHCP pour examiner l’activité du serveur DHCP
pendant une journée spécifique ou sur des périodes de temps plus longues.
Par exemple, si le jour de la semaine passe à 00:00 de mercredi à jeudi, le fichier journal
DhcpSrvLog-Mer est fermé et le fichier DhcpSrvLog-Jeu est ouvert et utilisé pour l’enregistrement des
événements.
Les fichiers journaux sont des fichiers texte qui utilisent la virgule comme séparateur et
contiennent des entrées représentant une ligne de texte. Un fichier journal d’audit DHCP contient les
champs suivants :
3.3 Application des instructions de sécurité pour le service DHCP
Champs
Description
ID
Code d’identification d’événement de serveur DHCP
Lorsqu’un utilisateur se connecte au réseau, il n’est pas obligé de fournir son nom d’utilisateur et
son mot de passe pour obtenir un bail. Par conséquent, un utilisateur non authentifié peut obtenir un bail
pour un client DHCP chaque fois qu’un serveur DHCP est disponible pour fournir un bail.
Date
Date à laquelle cette entrée a été écrite dans le journal sur le serveur DHCP
Heure
Heure à laquelle cette entrée a été écrite dans le journal sur le serveur DHCP
Description
Description de cet événement de serveur DHCP
Adresse IP
Adresse IP du client DHCP
Nom d’hôte
Nom d’hôte du client DHCP
Adresse MAC
Adresse de contrôle d’accès au média utilisée par le matériel de la carte réseau du client
3.3.1
Instructions pour empêcher un utilisateur non autorisé d’obtenir un bail
Des utilisateurs mal intentionnés ayant un accès physique au réseau DHCP peuvent donc lancer
des attaques de refus de service sur des serveurs DHCP en demandant de nombreux baux au serveur afin
de diminuer le nombre de baux disponibles pour les autres clients DHCP.
Pour empêcher un utilisateur non autorisé d’obtenir un bail, appliquez les instructions suivantes :
3.2.4 Fonctionnement de l’enregistrement d’audit DHCP
Le processus suivant décrit comment l’enregistrement d’audit débute, fonctionne et se termine
durant une journée de 24 heures :
•
•
•
Vérifiez que les personnes non autorisées n’ont pas d’accès physique ou sans fil à votre réseau.
Activez l’enregistrement d’audit pour tous les serveurs DHCP de votre réseau.
Examinez régulièrement les fichiers journaux d’audit et analysez-les lorsque le serveur DHCP
reçoit un nombre de demandes de bail anormalement élevé de la part des clients.
• Utilisez des commutateurs de réseau local ou des points d’accès sans fil basés sur la norme 802.1X
pour accéder au réseau.
3.3.2
Instructions pour empêcher les serveurs DHCP non autorisés, non-Microsoft, de louer des
adresses IP
1. Lorsqu’un serveur DHCP démarre ou qu’un nouveau jour de la semaine commence, le serveur
écrit un message d’en-tête dans le fichier journal d’audit pour indiquer le début de l’enregistrement. Puis,
selon que le fichier journal d’audit est nouveau ou non, les actions suivantes se déclenchent :
Seuls les serveurs DHCP exécutant Microsoft Windows 2000 ou Windows Server 2003 peuvent
être autorisés dans le service d’annuaire Active Directory. S’il découvre qu’il n’est pas autorisé dans
Active Directory, un serveur DHCP exécutant Windows 2000 ou Windows Server 2003 cesse de
desservir les clients DHCP.
Professeur : Halima HOUSNY
Professeur : Halima HOUSNY
3
4
Module S43
Chapitre 3 : Gestion et analyse du service DHCP
Pour empêcher les serveurs DHCP non autorisés, non-Microsoft, de louer des adresses IP, vérifiez
que les personnes non autorisées n’ont pas d’accès physique ou sans fil à votre réseau.
3.3.3
Instructions pour limiter le cercle des personnes autorisées à administrer le service DHCP
Lorsque vous installez le service Serveur DHCP sur un serveur membre ou un serveur autonome,
deux groupes locaux sont créés : Utilisateurs DHCP et Administrateurs DHCP.
Lorsque vous installez le service Serveur DHCP sur un contrôleur de domaine, ces deux groupes
sont créés en tant que groupes locaux du domaine.
Les utilisateurs DHCP : Les membres du groupe Utilisateurs DHCP ont un accès en lecture seule
à la console DHCP sur le serveur, ce qui les autorise à afficher, mais non à modifier les données du
serveur, notamment la configuration du serveur DHCP, les clés du Registre, les fichiers journaux DHCP
et la base de données DHCP. Les utilisateurs DHCP ne peuvent ni créer d’étendues, ni changer des
valeurs d’option, ni modifier d’aucune manière la configuration du serveur DHCP.
Les administrateurs DHCP : Les membres du groupe Administrateurs DHCP peuvent afficher et
modifier toutes les informations disponibles dans le service DHCP. Les administrateurs DHCP peuvent
créer et supprimer des étendues, ajouter des réservations, modifier des valeurs d’option, créer des
étendues globales et effectuer toutes les autres tâches nécessaires pour administrer le serveur DHCP,
notamment exporter ou importer la configuration du serveur DHCP et la base de données DHCP. Les
administrateurs DHCP effectuent ces tâches à l’aide des commandes Netsh pour DHCP ou de la console
DHCP.
3.3.4
Module S43
Chapitre 3 : Gestion et analyse du service DHCP
………………………………………………………………………………………………………………
……………………………………………………………………………………………..……………….
……………………………………………………………………………………………..……………….
3) Donnez deux causes probables pour réconcilier une base de données DHCP.
………………………………………………………………………………………………………………
……………………………………………………………………………………………..……………….
4) A partir de quoi nous utilisons la fonctionnalité de Réconcilier ?
………………………………………………………………………………………………………………
5) Où trouvez-vous les informations sur le service DHCP ?
………………………………………………………………………………………………………………
Instructions pour sécuriser la base de données DHCP
Les autorisations par défaut pour le dossier DHCP ont pour but d’empêcher quiconque, à
l’exception des utilisateurs autorisés, d’accéder aux fichiers de base de données et aux fichiers d’audit.
Modifiez ces autorisations par défaut s’il y a lieu pour accorder un accès à ces fichiers aux personnes qui
doivent effectuer des tâches administratives (par exemple analyser et sauvegarder les fichiers journaux de
serveur DHCP).
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
Pour améliorer la protection de la base de données DHCP, appliquez les instructions suivantes :
•
•
•
•
Décidez s’il faut modifier les autorisations associées par défaut au dossier DHCP.
N’octroyez que les autorisations minimales indispensables aux utilisateurs pour effectuer leurs
tâches.
Accordez l’autorisation de Lecture aux utilisateurs chargés d’analyser les fichiers journaux de
serveur DHCP.
Retirez leurs autorisations aux Utilisateurs authentifiés et aux Utilisateurs avec pouvoir afin de
minimiser les accès aux fichiers du dossier DHCP.
3.4 Exercices
1) Comment peut-on sauvegarder puis restaurer une base de données DHCP ?
………………………………………………………………………………………………………………
………………………………………………………………………….…………………...……………….
………………………………………………………………………….…………………...……………….
2) Citez trois étapes nécessaires au déplacement d’une base de données DHCP vers un autre serveur.
Professeur : Halima HOUSNY
5
Professeur : Halima HOUSNY
6