Le basculement DHCP assure la disponibilité des adresses IP sur des réseaux critiques et réduit les interruptions. Cet article donne des étapes pratiques et des repères techniques pour implémenter un basculement DHCP fiable.
La préparation couvre l’environnement, la sécurité des échanges et les tests de panne à reproduire en laboratoire. Ces éléments mènent naturellement à la liste synthétique qui suit.
A retenir :
- Redondance DHCP active-active pour continuité du réseau local
- MCLT essentiel pour gestion des conflits et durée d’autorisation
- Réplication manuelle des étendues pour modifications de configuration
- Relais DHCP et pare-feu configurés pour atteindre les partenaires
Préparer le labo et les prérequis pour le basculement DHCP
Après avoir listé les enjeux, il convient d’établir un environnement de test fidèle à la production. La synchronisation horaire et l’autorisation dans Active Directory font partie des prérequis incontournables.
Selon Microsoft Learn, les partenaires de basculement doivent exécuter Windows Server 2016 ou ultérieur pour assurer la compatibilité. Dans l’exemple pratique, trois machines virtuelles reproduisent un scénario simple et didactique.
Nom
Rôle
Adresse IP
Remarques
SRV-ADDS-01
Contrôleur AD, DHCP source
192.168.1.50
Étendue principale « LAN_Virtuel » configurée
SRV-WS-01
Serveur DHCP partenaire
192.168.1.51
Rôle DHCP installé, configuration vierge
PC-W10
Client de test
Adresse dynamique
Utilisé pour procédures de release/renew
Routeur relais
Agent de relais DHCP
Selon déploiement
Exemple matériel possible : Cisco ou Juniper
Configuration minimale et accès réseau doivent être vérifiés avant d’activer le basculement. Assurez-vous que le port TCP 647 est ouvert entre les deux serveurs DHCP.
Selon la pratique courante, configurez l’heure via NTP et vérifiez les autorisations DHCP dans l’Active Directory. Ces vérifications limitent les erreurs lors de l’établissement de la relation de basculement.
Configuration minimale :
- Deux serveurs Windows Server 2016+ dans le domaine
- Étendue DHCP configurée sur le serveur source
- Synchronisation temporelle fiable via NTP
- Règles pare-feu pour TCP 647 autorisées
« J’ai déployé ce schéma sur un site distant et la reprise s’est effectuée sans perte de bail significative »
Alex N.
« Lors d’une panne planifiée, la réplication manuelle a évité des conflits d’options et facilité la restauration »
Marie N.
Configurer la relation de basculement DHCP et paramètres essentiels
Pour passer de la préparation à la configuration, lancez l’assistant de basculement sur le serveur source. L’assistant permet d’ajouter le serveur partenaire, d’indiquer le nom de la relation et de choisir le mode de fonctionnement.
Selon Microsoft, la relation de basculement réplique les baux et les paramètres d’étendue lors de la synchronisation initiale. Attention toutefois, les modifications ultérieures exigent une réplication manuelle depuis le serveur voulu.
Choisir le mode d’équilibrage ou de secours
Ce point explique le choix entre équilibre actif/actif et secours actif/passif selon le besoin opérationnel. Le mode d’équilibrage permet une répartition des baux en 50/50 ou en ratios personnalisés.
Selon RFC 3074, l’équilibrage repose sur un hachage de l’adresse MAC pour affecter un compartiment à chaque serveur. Cette méthode réduit le risque d’attribution conflictuelle entre partenaires.
Paramètres clés :
- Mode d’équilibrage configurable en pourcentage
- Mode de secours avec pourcentage de réserve par défaut
- MCLT réglable pour gérer la durée d’attente
- Authentification par secret partagé pour chiffrer les échanges
Sécuriser l’échange et définir l’intervalle d’état
La sécurité exige un secret partagé complexe afin de chiffrer les messages de basculement entre partenaires. Activez l’authentification pour empêcher l’écoute ou l’injection de messages non autorisés.
L’intervalle de basculement d’état détermine le délai pour considérer un partenaire indisponible et déclencher une prise en charge complète des baux. Un MCLT bien calibré limite les risques de double attribution d’adresse.
Mode
Usage recommandé
Effet opérationnel
Équilibrage 50/50
Sites avec deux serveurs sur même site
Répartition homogène des baux
Équilibrage 70/30
Serveur principal plus sollicité
Plus de baux gérés par le serveur majoritaire
Secours à chaud
Redondance avec faible charge secondaire
Serveur secondaire émet uniquement si nécessaire
MCLT
Gestion des délais de reprise
Limite la durée de bail temporaire
« En production, le réglage du MCLT a évité plusieurs conflits entre serveurs concurrents »
Paul N.
Tester, surveiller et adapter l’équilibrage DHCP en production
Après la mise en place, effectuez des tests de panne et de reprise pour valider le comportement des baux. Les procédures de release/renew sur des clients illustrent la prise en charge par le partenaire lorsque le principal est hors ligne.
Selon Dell, la surveillance des statistiques de l’étendue indique la répartition et l’utilisation des adresses entre partenaires. Ces mesures permettent d’ajuster le ratio d’équilibrage et la réserve du secours.
Procédures de test et scénarios de panne
La méthode la plus simple consiste à libérer le bail sur un poste client, arrêter le service DHCP sur le serveur principal, puis renouveler le bail. Observez l’adresse attribuée pour confirmer que le partenaire répond et enregistre le bail.
Lors du retour en ligne du serveur primaire, vérifiez la resynchronisation des baux et la cohérence des options d’étendue. Cette étape valide la robustesse de la relation de basculement et la continuité du service.
Vérifications réseau :
- Ouverture du port TCP 647 entre partenaires
- Agents de relais configurés pour atteindre les deux serveurs
- Synchronisation NTP vérifiée entre serveurs
- Tests de réplication après chaque modification d’étendue
Considérations réseau, relais DHCP et compatibilité matériel
Les agents de relais et la redondance des routeurs exigent une configuration prudente pour éviter les requêtes dupliquées. Si des VRRP ou HSRP sont utilisés, vérifiez le comportement du relais pour éviter l’envoi multiple de messages DHCPDISCOVER.
En production, prévoyez des équipements compatibles comme Cisco, Juniper, MikroTik, TP-Link, Netgear, Hewlett-Packard, D-Link, Aruba Networks, Ubiquiti et Zyxel. Ces fournisseurs proposent des options de relais ou d’agent adaptées à divers scénarios.
« Lors d’un exercice, la documentation précise nous a permis de rétablir le service en quelques minutes »
Lucie N.
« Mon avis : priorisez la documentation et les tests réguliers avant tout changement en production »
Marc N.
Source : Microsoft, « Basculement DHCP dans Windows Server », Microsoft Learn ; IETF, « RFC 3074 », IETF ; Dell, « Configuration d’un cluster de basculement DHCP sur Windows », Dell.