Chapitre 3 : Gestion et analyse du service DHCP
Transcription
Chapitre 3 : Gestion et analyse du service DHCP
Module S43 Chapitre 3 : Gestion et analyse du service DHCP Chapitre 3 : Gestion et analyse du service DHCP Vous pouvez restaurer une base de données à partir du répertoire de sauvegarde sur le lecteur local. En cas d’échec, vous devez restaurer la base de données DHCP à partir d’un emplacement de stockage hors connexion. Chapitre 3 : Gestion et analyse du service DHCP Bien qu’il soit possible de sauvegarder et de restaurer une base de données DHCP automatiquement et manuellement vers et à partir d’un répertoire de sauvegarde sur le lecteur local, vous ne pouvez effectuer ces opérations que manuellement si vous utilisez un emplacement de stockage hors connexion. 3.1 Gestion d’une base de données DHCP 3.2.1 Vue d’ensemble de la gestion du service DHCP Vous devez gérer le service DHCP pour qu’il réponde aux besoins changeants des clients en matière d’adressage IP. Les besoins d’adressage IP des clients peuvent évoluer lorsque le nombre de clients, de sous-réseaux ou de serveurs du réseau connaît des fluctuations. Vous devez aussi gérer le service DHCP pour l’adapter aux changements des conditions de serveur DHCP et pour protéger la base de données DHCP contre toute défaillance. 3.2.2 Qu’est-ce qu’une base de données DHCP ? 3.2.5 Modalités de réconciliation d’une base de données DHCP La réconciliation est le processus consistant à vérifier les valeurs de base de données DHCP en fonction des valeurs de Registre DHCP. Il est recommandé de réconcilier votre base de données DHCP : • • La base de données DHCP est une base de données dynamique qui est mise à jour lorsque les clients DHCP obtiennent ou libèrent leurs baux d’adresses TCP/IP (Transmission Control Protocol/Internet Protocol). La base de données DHCP contient les données de configuration DHCP (informations sur les étendues, les réservations, les options, les baux, etc.). Le service DHCP ne peut pas démarrer sans cette base de données. Windows Server 2003 stocke la base de données DHCP dans le répertoire %systemroot%\System32\Dhcp. Par défaut, elle est sauvegardée automatiquement dans le répertoire Backup\New situé dans le répertoire de la base de données. La base de données DHCP est composée des fichiers suivants : Description DHCP.mdb Fichier de base de données du service DHCP. Le fichier contient deux tables : la première mappe les adresses IP aux ID de propriétaire et la seconde les noms aux adresses IP. Tmp.edb Fichier temporaire que la base de données J50.log et J50*.log Journaux où sont enregistrées toutes les transactions effectuées avec la base de données. S’il y a lieu, le service DHCP utilise ces journaux pour récupérer des données. Res*.log Fichiers journaux réservés qui sont utilisés pour enregistrer les transactions existantes si l’espace disque du système s’avère insuffisant. J50.chk Fichier de point de contrôle. Lorsque les valeurs de la base de données DHCP sont configurées convenablement, mais ne s’affichent pas correctement dans la console DHCP ; Si la base de données DHCP que vous venez de restaurer ne contient pas les valeurs les plus récentes. Lorsque vous réconciliez un serveur ou une étendue, le service DHCP reconstruit sa configuration la plus récente à partir des informations résumées du Registre et des informations détaillées de la base de données DHCP. 3.2.6 Comment réconcilier une base de données DHCP Avant d’utiliser la fonctionnalité Réconcilier pour récupérer entièrement, à partir du Registre, les informations relatives aux clients pour une étendue DHCP, vous devez vous assurer que l’ordinateur serveur remplit les conditions suivantes. • • Fichier Toutes les clés de Registre du serveur DHCP doivent soit être restaurées, soit exister et être restées intactes à la suite des opérations de service réalisées antérieurement sur l’ordinateur serveur. Une nouvelle version du fichier de base de données du serveur DHCP doit être générée dans le dossier %Systemroot%\System32\Dhcp sur l’ordinateur serveur. Lorsque le Registre et la base de données satisfont à ces critères, vous pouvez redémarrer le service DHCP. À ce stade, si vous ouvrez la console DHCP, vous pouvez remarquer que les informations relatives aux étendues sont présentes, mais qu’aucun bail actif ne s’affiche. La fonctionnalité Réconcilier vous permet alors de récupérer les baux actifs pour chaque étendue. Après avoir utilisé la fonctionnalité Réconcilier, si vous affichez les propriétés de clients individuels figurant dans la liste de baux actifs, vous remarquerez peut-être que les informations sur les clients sont affichées de façon incorrecte. Ces informations sont corrigées et mises à jour dans le Gestionnaire DHCP lorsque les clients d’étendue renouvellent leurs baux. 3.2 Analyse du service DHCP 3.2.3 Modalités de sauvegarde et de restauration d’une base de données DHCP Pour assurer la tolérance de pannes en cas de défaillance du serveur, il est important de sauvegarder la base de données DHCP. Ainsi, vous pourrez restaurer la base de données à partir de sa copie de sauvegarde si le matériel tombe en panne. Par défaut, le service DHCP sauvegarde automatiquement, toutes les 60 minutes, la base de données DHCP et les entrées du Registre correspondantes dans un répertoire de sauvegarde situé sur le lecteur local. Par défaut, ce répertoire est \%Systemroot%\System32\Dhcp\Backup\New. L’administrateur peut modifier l’emplacement de la sauvegarde. L’administrateur peut ensuite copier les fichiers DHCP sauvegardés vers un emplacement de stockage hors connexion (par exemple une clé usb ou un disque). 3.2.4 Comment sauvegarder et restaurer une base de données DHCP Professeur : Halima HOUSNY Module S43 1 3.2.1 Vue d’ensemble de l’analyse du service DHCP L’environnement DHCP est dynamique. Les besoins des clients changent constamment, à mesure que des clients sont ajoutés ou enlevés, de nouvelles options sont configurées, les besoins d’organisation évoluent et des étendues sont ajoutées pour desservir des clients supplémentaires. Par conséquent, il est important de vérifier que les performances du serveur DHCP sur le réseau restent conformes aux attentes lorsque le réseau change. Bien qu’il soit important d’analyser les fonctions DHCP, il est tout aussi important de comprendre que de nombreux ordinateurs qui hébergent le service Serveur DHCP hébergent aussi d’autres applications et services réseau. Par conséquent, en évaluant les performances, vous devez examiner les interactions entre tous les services exécutés sur le serveur DHCP et leur utilisation respective des ressources système. Professeur : Halima HOUSNY 2 Module S43 Chapitre 3 : Gestion et analyse du service DHCP Module S43 Vous trouverez des informations sur le service DHCP dans les statistiques DHCP, les événements DHCP et les données de performances DHCP. 3.2.2 Présentation des statistiques DHCP Les statistiques DHCP représentent les statistiques collectées au niveau du serveur ou de l’étendue depuis le dernier démarrage du service DHCP. Les statistiques offrent une vue en temps réel que vous pouvez utiliser pour vérifier l’état de votre serveur ou des étendues DHCP. 2. Une fois que l’enregistrement d’audit a démarré, le serveur DHCP vérifie le disque à intervalles réguliers, pour s’assurer qu’il reste de l’espace disque disponible sur le serveur et que le fichier journal d’audit actuel ne devient pas trop volumineux ou qu’il ne grossit pas trop vite Le serveur DHCP effectue une vérification totale du disque chaque fois que l’une des conditions suivantes est rencontrée : Un nombre déterminé d’événements de serveur ont été enregistrés. Par défaut, ce nombre d’événements de serveur est de 50. L’horloge du serveur atteint 00:00 heure locale. À chaque vérification du disque, le serveur détermine si l’espace disque est rempli. Le disque est considéré plein lorsque l’une des conditions suivantes est vraie : L’espace disque restant disponible sur le serveur est inférieur au minimum requis pour l’enregistrement d’audit DHCP ( 20 Mo). La taille du fichier journal d’audit actuel est supérieure à un septième (1/7) de l’espace maximal alloué pour l’ensemble des journaux d’audit actuellement stockés sur le serveur. La limite par défaut est configurée dans le Registre à 70 Mo • • 3.2.3 Qu’est-ce qu’un fichier journal d’audit DHCP ? Un fichier journal d’audit DHCP est un journal où sont consignés des événements relatifs à un service, par exemple le moment où : • • • Chapitre 3 : Gestion et analyse du service DHCP • Si le fichier existe déjà mais n’a pas été modifié depuis plus d’une journée, il est remplacé. • Si le fichier existe déjà mais a été modifié au cours des dernières 24 heures, il n’est pas remplacé. Les nouveaux enregistrements viennent alors s’ajouter à la fin du journal existant. Il en est ainsi en cas de redémarrage du système ou du service Serveur DHCP Dans tous les cas, si le disque est plein, le serveur DHCP ferme le fichier en cours et ignore toute demande d’enregistrement d’événement d’audit jusqu’à 00:00 ou jusqu’à ce que le disque ne soit plus plein. 3. À 00:00 heure locale sur l’ordinateur serveur, le serveur DHCP ferme le journal existant et passe au fichier journal du jour suivant de la semaine. le service démarre ou s’arrête ; des autorisations ont été vérifiées ; des adresses IP sont louées, renouvelées, libérées ou refusées. Vous pouvez utiliser les journaux d’audit DHCP pour examiner l’activité du serveur DHCP pendant une journée spécifique ou sur des périodes de temps plus longues. Par exemple, si le jour de la semaine passe à 00:00 de mercredi à jeudi, le fichier journal DhcpSrvLog-Mer est fermé et le fichier DhcpSrvLog-Jeu est ouvert et utilisé pour l’enregistrement des événements. Les fichiers journaux sont des fichiers texte qui utilisent la virgule comme séparateur et contiennent des entrées représentant une ligne de texte. Un fichier journal d’audit DHCP contient les champs suivants : 3.3 Application des instructions de sécurité pour le service DHCP Champs Description ID Code d’identification d’événement de serveur DHCP Lorsqu’un utilisateur se connecte au réseau, il n’est pas obligé de fournir son nom d’utilisateur et son mot de passe pour obtenir un bail. Par conséquent, un utilisateur non authentifié peut obtenir un bail pour un client DHCP chaque fois qu’un serveur DHCP est disponible pour fournir un bail. Date Date à laquelle cette entrée a été écrite dans le journal sur le serveur DHCP Heure Heure à laquelle cette entrée a été écrite dans le journal sur le serveur DHCP Description Description de cet événement de serveur DHCP Adresse IP Adresse IP du client DHCP Nom d’hôte Nom d’hôte du client DHCP Adresse MAC Adresse de contrôle d’accès au média utilisée par le matériel de la carte réseau du client 3.3.1 Instructions pour empêcher un utilisateur non autorisé d’obtenir un bail Des utilisateurs mal intentionnés ayant un accès physique au réseau DHCP peuvent donc lancer des attaques de refus de service sur des serveurs DHCP en demandant de nombreux baux au serveur afin de diminuer le nombre de baux disponibles pour les autres clients DHCP. Pour empêcher un utilisateur non autorisé d’obtenir un bail, appliquez les instructions suivantes : 3.2.4 Fonctionnement de l’enregistrement d’audit DHCP Le processus suivant décrit comment l’enregistrement d’audit débute, fonctionne et se termine durant une journée de 24 heures : • • • Vérifiez que les personnes non autorisées n’ont pas d’accès physique ou sans fil à votre réseau. Activez l’enregistrement d’audit pour tous les serveurs DHCP de votre réseau. Examinez régulièrement les fichiers journaux d’audit et analysez-les lorsque le serveur DHCP reçoit un nombre de demandes de bail anormalement élevé de la part des clients. • Utilisez des commutateurs de réseau local ou des points d’accès sans fil basés sur la norme 802.1X pour accéder au réseau. 3.3.2 Instructions pour empêcher les serveurs DHCP non autorisés, non-Microsoft, de louer des adresses IP 1. Lorsqu’un serveur DHCP démarre ou qu’un nouveau jour de la semaine commence, le serveur écrit un message d’en-tête dans le fichier journal d’audit pour indiquer le début de l’enregistrement. Puis, selon que le fichier journal d’audit est nouveau ou non, les actions suivantes se déclenchent : Seuls les serveurs DHCP exécutant Microsoft Windows 2000 ou Windows Server 2003 peuvent être autorisés dans le service d’annuaire Active Directory. S’il découvre qu’il n’est pas autorisé dans Active Directory, un serveur DHCP exécutant Windows 2000 ou Windows Server 2003 cesse de desservir les clients DHCP. Professeur : Halima HOUSNY Professeur : Halima HOUSNY 3 4 Module S43 Chapitre 3 : Gestion et analyse du service DHCP Pour empêcher les serveurs DHCP non autorisés, non-Microsoft, de louer des adresses IP, vérifiez que les personnes non autorisées n’ont pas d’accès physique ou sans fil à votre réseau. 3.3.3 Instructions pour limiter le cercle des personnes autorisées à administrer le service DHCP Lorsque vous installez le service Serveur DHCP sur un serveur membre ou un serveur autonome, deux groupes locaux sont créés : Utilisateurs DHCP et Administrateurs DHCP. Lorsque vous installez le service Serveur DHCP sur un contrôleur de domaine, ces deux groupes sont créés en tant que groupes locaux du domaine. Les utilisateurs DHCP : Les membres du groupe Utilisateurs DHCP ont un accès en lecture seule à la console DHCP sur le serveur, ce qui les autorise à afficher, mais non à modifier les données du serveur, notamment la configuration du serveur DHCP, les clés du Registre, les fichiers journaux DHCP et la base de données DHCP. Les utilisateurs DHCP ne peuvent ni créer d’étendues, ni changer des valeurs d’option, ni modifier d’aucune manière la configuration du serveur DHCP. Les administrateurs DHCP : Les membres du groupe Administrateurs DHCP peuvent afficher et modifier toutes les informations disponibles dans le service DHCP. Les administrateurs DHCP peuvent créer et supprimer des étendues, ajouter des réservations, modifier des valeurs d’option, créer des étendues globales et effectuer toutes les autres tâches nécessaires pour administrer le serveur DHCP, notamment exporter ou importer la configuration du serveur DHCP et la base de données DHCP. Les administrateurs DHCP effectuent ces tâches à l’aide des commandes Netsh pour DHCP ou de la console DHCP. 3.3.4 Module S43 Chapitre 3 : Gestion et analyse du service DHCP ……………………………………………………………………………………………………………… ……………………………………………………………………………………………..………………. ……………………………………………………………………………………………..………………. 3) Donnez deux causes probables pour réconcilier une base de données DHCP. ……………………………………………………………………………………………………………… ……………………………………………………………………………………………..………………. 4) A partir de quoi nous utilisons la fonctionnalité de Réconcilier ? ……………………………………………………………………………………………………………… 5) Où trouvez-vous les informations sur le service DHCP ? ……………………………………………………………………………………………………………… Instructions pour sécuriser la base de données DHCP Les autorisations par défaut pour le dossier DHCP ont pour but d’empêcher quiconque, à l’exception des utilisateurs autorisés, d’accéder aux fichiers de base de données et aux fichiers d’audit. Modifiez ces autorisations par défaut s’il y a lieu pour accorder un accès à ces fichiers aux personnes qui doivent effectuer des tâches administratives (par exemple analyser et sauvegarder les fichiers journaux de serveur DHCP). ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… Pour améliorer la protection de la base de données DHCP, appliquez les instructions suivantes : • • • • Décidez s’il faut modifier les autorisations associées par défaut au dossier DHCP. N’octroyez que les autorisations minimales indispensables aux utilisateurs pour effectuer leurs tâches. Accordez l’autorisation de Lecture aux utilisateurs chargés d’analyser les fichiers journaux de serveur DHCP. Retirez leurs autorisations aux Utilisateurs authentifiés et aux Utilisateurs avec pouvoir afin de minimiser les accès aux fichiers du dossier DHCP. 3.4 Exercices 1) Comment peut-on sauvegarder puis restaurer une base de données DHCP ? ……………………………………………………………………………………………………………… ………………………………………………………………………….…………………...………………. ………………………………………………………………………….…………………...………………. 2) Citez trois étapes nécessaires au déplacement d’une base de données DHCP vers un autre serveur. Professeur : Halima HOUSNY 5 Professeur : Halima HOUSNY 6