Les serveurs DHCP non autorisés peuvent provoquer des conflits d’adresses et fragiliser la sécurité réseau. Ces incidents surviennent souvent après des migrations, des déploiements hétérogènes ou des erreurs de configuration.
Le diagnostic impose une méthode systématique pour vérifier l’autorisation et les services AD DS en place. Pour gagner du temps, suivez d’abord une checklist précise avant toute modification, jusqu’au point suivant.
A retenir :
- Présence d’une autorisation DHCP correctement enregistrée dans Active Directory
- Plages d’adresses DHCP disponibles et exclusions configurées correctement
- Services AD DS et DHCP démarrés et synchronisés sur le réseau
- Ports UDP 67 et 68 libres, relais DHCP et exemptions IPsec vérifiés
Diagnostic initial des serveurs DHCP non autorisés
Après ces points clairs, la phase de diagnostic initial se concentre sur l’autorisation, les services et les liaisons IP. Il faut parcourir les vérifications élémentaires avant d’engager des corrections plus lourdes.
Vérifications de base et commandes pour l’autorisation DHCP
Pour établir l’état, commencez par valider les services DHCP et les liaisons réseau du serveur exposé. Cette étape élimine rapidement les erreurs évidentes et oriente les investigations suivantes.
Selon Microsoft Learn, vérifier les services et les liaisons permet d’écarter les pannes locales avant d’examiner Active Directory. Les commandes net start et Get-DhcpServerv4Binding sont utiles pour ces contrôles.
Vérifications initiales :
- Contrôle du service Serveur DHCP via net start et la console Services
- Exécution de Get-DhcpServerv4Binding pour valider les liaisons IPv4
- Inspection des baux et des listes BAD_ADDRESS dans la console DHCP
- Relevé des ports UDP 67 et 68 avec netstat -anb pour conflits
Fournisseur
Support DHCP
Usage typique
Cisco
Généralement supporté
Routage d’entreprise et serveurs intégrés
Fortinet
Généralement supporté
Pare-feu avec fonctions DHCP serveur
Aruba
Généralement supporté
Commutateurs et contrôleurs WLAN
HPE
Généralement supporté
Switches et contrôleurs de réseau
Juniper
Généralement supporté
Réseau d’opérateur et entreprise
Palo Alto Networks
Relay / limité
Inspection sécurité, relay souvent utilisé
SonicWall
Généralement supporté
PME, fonctions DHCP intégrées
Ubiquiti
Généralement supporté
Contrôleurs UniFi, EdgeOS
Netgear
Généralement supporté
Équipements SOHO et PME
Alcatel-Lucent
Généralement supporté
Solutions opérateur et entreprise
L’analyse de ces éléments permet de savoir si le problème est local ou lié à l’annuaire Active Directory. Cette distinction oriente ensuite la lecture des journaux et des traces réseau.
Analyse des baux, filtres et conflits IP
Ce volet confirme la disponibilité des adresses et l’absence d’adresses statiques en conflit dans les étendues DHCP. Il évite des interventions inutiles sur l’autorisation Active Directory.
Selon Microsoft Learn, vérifier les baux et les listes BAD_ADDRESS permet d’identifier les clients problématiques et les plages saturées. Corriger ces éléments prévient les interruptions prolongées.
« J’ai résolu un conflit réseau en excluant des adresses statiques oubliées, puis en redémarrant le service DHCP. »
Alex D.
Un contrôle soigné des baux montre aussi si les clients obtiennent bien des réponses du bon serveur DHCP. Cette étape prépare la collecte de logs et de traces réseau plus détaillées.
otoyoutube query= »DHCP troubleshooting Windows Server tutorial »>
Journaux et collecte de données pour diagnostiquer l’autorisation
Par suite des vérifications initiales, l’examen des journaux et des traces devient indispensable pour corréler les événements. Les journaux système et d’application révèlent la chronologie des échecs d’autorisation.
Journaux d’événements et canaux à contrôler
Pour cibler les erreurs d’autorisation, ouvrez les canaux spécifiques du serveur DHCP dans l’observateur d’événements Windows. Les événements opérationnels et d’administration montrent des erreurs liées à AD DS.
Selon Microsoft Learn, consultez les journaux sous Applications et services > Microsoft > Windows > Serveur DHCP pour obtenir des codes précis. Ces traces orientent vers des permissions manquantes ou des doublons.
Points de vérification des journaux :
- Événements opérationnels du serveur DHCP pour erreurs d’allocation
- Événements d’administration indiquant problèmes d’autorisation AD DS
- Événements système montrant erreurs de service ou de réseau
- Notifications de filtre et événements d’audit pour sécurité
La lecture attentive des messages d’erreur facilite le choix d’une action corrective ciblée, sans remise en question globale du service. Cette démarche limite les interruptions et les modifications risquées.
Traces réseau et journaux de débogage DHCP
Outre les événements, une trace réseau corrélée montre les échanges DHCPDISCOVER et DHCPOFFER entre client et serveur. Cette corrélation confirme si le serveur répond ou si un relais bloque les paquets.
Fichier / Source
Objectif
Emplacement ou outil
Journaux de débogage DHCP
Analyse détaillée des baux et mises à jour DNS
%windir%System32Dhcp
Trace réseau corrélée
Identifier échanges DHCP et relais impliqués
Outils de capture Windows ou Wireshark
Journaux d’événements DHCP
Codes d’erreur d’autorisation et problèmes AD
Observateur d’événements Windows
Logs de relais DHCP
Vérifier connectivité entre agent et serveur
Configuration du relais ou du routeur
Selon Microsoft Learn, les journaux de débogage donnent des indices sur l’attribution de baux et sur les mises à jour DNS dynamiques. Ce niveau de détail guide la suppression ou la réautorisation de serveurs.
« Les logs ont révélé que le relais ne pingait plus, ce qui empêchait toute offre DHCP d’atteindre le client. »
Marie L.
Résolution des erreurs d’autorisation et codes 20079 / 20070
Suivant l’analyse des logs, les correctifs immédiats s’orientent vers les services, l’annuaire et la suppression d’entrées obsolètes. Les erreurs 20079 et 20070 surviennent souvent à cause d’entrées persistantes dans AD DS.
Causes courantes et remèdes immédiats
Ceux-ci incluent des services arrêtés, des doublons d’enregistrement et des permissions insuffisantes sur Active Directory. Les actions rapides évitent de réinstaller le rôle DHCP inutilement.
Mesures pratiques :
- Redémarrer le service DHCP et vérifier le type de démarrage automatique
- Redémarrer Active Directory Domain Services si des erreurs d’annuaire apparaissent
- Supprimer le serveur obsolète depuis Active Directory Sites and Services
- Désinstaller puis réinstaller le rôle DHCP si les autres mesures échouent
« J’ai autorisé le serveur après suppression manuelle dans Sites and Services, la reconnection a été immédiate. »
Thierry P.
Selon des retours de terrain, la suppression manuelle d’un serveur listé en double résout fréquemment le code 20079. Cette méthode évite d’accorder des droits d’administration excessifs pour une tâche ponctuelle.
Délégation des permissions et commandes utiles
Pour déléguer sans recourir aux groupes Domain Admins, utilisez Active Directory Sites and Services et attribuez des droits précis. La délégation limite l’empreinte des privilèges et améliore la sécurité opérationnelle.
Étapes clés :
- Utiliser netsh dhcp show servers pour lister les serveurs autorisés
- Déléguer via Sites and Services en limitant aux opérations DHCP nécessaires
- Vérifier les informations d’identification avec des comptes DA temporaires si nécessaire
- Documenter chaque changement pour faciliter les retours en arrière
« Après avoir délégué les droits adaptés, nous avons évité de donner des privilèges Domain Admins à des techniciens. »
Lucas M.
Une bonne délégation réduit le risque d’erreurs humaines et permet d’autoriser proprement de nouveaux serveurs DHCP. L’étape suivante consiste à valider les corrections en contrôlant les journaux et les baux clients.
Source : « Résoudre les problèmes sur le serveur DHCP », Microsoft Learn ; « Non-autorisation des serveurs DHCP », Le Journal du Frreenaute ; « Comment autoriser le service Serveur DHCP », Connaissances Informatiques.