.shock - Fotolia

Réseau : comment résoudre les problèmes de DHCP grâce aux logs

Cet article explique comment exploiter les journaux d’activité du service d’attribution des adresses IP afin de diagnostiquer et solutionner les dysfonctionnements.

Le protocole DHCP (configuration dynamique des hôtes) nécessite généralement peu de maintenance. Mais lorsque des problèmes de réseau apparaissent, il est impératif d’en trouver la source.

Le protocole DHCP est une fonction critique du réseau. Il est essentiel de garantir son fonctionnement et de maintenir sa sécurité. Le service DHCP stocke ses propres enregistrements de service dans l’Observateur d’événements, mais il conserve les informations relatives aux baux dans des journaux – ou logs – distincts. Apprendre à gérer et à utiliser ces logs vous permet de dépanner le service plus efficacement.

Comment fonctionne le DHCP ?

La gestion des adresses IP est une tâche importante, mais simple pour l’administrateur. Il existe deux options pour attribuer des paramètres d’adresse IP à un système sur le réseau :

  • L’adressage IP statique. L’administrateur saisit manuellement les valeurs, notamment l’adresse IP, le masque de sous-réseau, la passerelle par défaut et les serveurs DNS. Cette approche est courante pour les serveurs et les appareils réseau.
  • L’adressage IP dynamique. Un administrateur établit un pool d’adresses IP et de paramètres connexes sur un serveur DHCP, et les ordinateurs clients louent une configuration d’adresse IP au cours du processus de démarrage. La plupart des appareils clients sont configurés de manière dynamique.

L’adressage statique est un processus manuel, tandis que l’adressage dynamique repose sur des serveurs DHCP. La plupart des réseaux utilisent un mélange des deux.

Les avantages d’une configuration dynamique sont la simplicité et la cohérence. L’adressage IP statique introduit le risque d’erreurs typographiques et de doublons, mais fournit des adresses IP fixes pour les périphériques du réseau.

Le service DHCP de Windows peut offrir aux clients des adresses et des options IPv4 et IPv6. Le service fait la distinction entre les deux en utilisant des champs d’application distincts et une journalisation spécifique.

Cet article examine le mécanisme de journalisation du serveur DHCP Windows géré par le service DHCP. Il stocke des informations sur les tentatives de bail des clients et sur l’état du service, ce qui permet de conserver un enregistrement utile pour le dépannage et l’audit.

Comment sont générés les baux DHCP ?

Le processus de génération des baux DHCP comporte quatre étapes. L’appareil client initie l’échange :

1/ Le client recherche un serveur DHCP : Client > DHCPDiscover > DHCPServer.

2/ Le serveur répond au client : DHCPServer > DHCPOffer > Client.

3/ Le client accepte l’offre : Client > DHCPRequest > DHCPServer.

4/ Le serveur finalise le bail : DHCPServer > DHCPAck > Client.

Le client commence l’interaction par une diffusion DHCPDiscover, qui vérifie la disponibilité du serveur DHCP sur le réseau. Le serveur DHCP entend la requête et répond par une offre DHCP contenant une configuration d’adresse IP disponible. Le client accepte l’offre avec DHCPRequest. Le serveur finalise l’échange en accusant réception de la demande avec DHCPAcknowledge.

L’appareil client dispose désormais d’une configuration d’adresse IP complète – généralement une adresse IP, un masque de sous-réseau, une passerelle par défaut et deux serveurs DNS. Les administrateurs appellent ce processus DORA : Discover (découverte), Offer (offre), Request (demande), Acknowledge (accusé de réception).

Le bail est temporaire et doit être renouvelé périodiquement. Le client commence le renouvellement par une demande DHCPRequest. Le client demande à utiliser la configuration actuelle, et le serveur accuse généralement réception de la demande avec DHCPAck et renouvelle le bail. Si les paramètres d’adresse IP du serveur DHCP ont changé, la demande est rejetée et le client doit redémarrer le processus DORA. Le client reçoit alors les paramètres d’adresse IP mis à jour.

La durée de bail par défaut d’un serveur DHCP Windows est de huit jours, et le renouvellement a lieu tous les quatre jours.

Comment fonctionne la journalisation DHCP ?

La configuration du pool d’adresses IP du serveur DHCP n’est pas difficile, mais il faut veiller à ne pas faire de fautes de frappe lors de la saisie des valeurs. La plupart des appareils clients sont configurés par défaut en tant que client DHCP, il y a donc rarement quelque chose à faire à ce niveau.

Les problèmes sont rares, mais les logs aident à résoudre ceux liés au service DHCP. L’Observateur d’événements permet de suivre les principaux événements DHCP qui affectent le service. Cependant, les événements de bail DHCP étape par étape sont stockés dans des fichiers de log DHCP dédiés, indépendants de l’Observateur d’événements. Le mécanisme de journalisation identifie les problèmes DHCP entre les clients et le service DHCP.

Les entrées d’un fichier log comprennent les éléments suivants :

  • Baux, renouvellements et libérations réussis des clients.
  • Tentatives de bail échouées.
  • Événements de démarrage et d’arrêt du log.
  • Adresses IP utilisées.
  • Épuisement du pool.
  • Événements de mise à jour du DNS.

Windows active la journalisation DHCP par défaut, vous n’avez donc pas besoin de fournir une configuration supplémentaire au service. Le service conserve des enregistrements en plaçant une entrée dans le fichier log approprié pour chaque échange avec un ordinateur client.

Utilisez ces entrées de log pour résoudre les situations dans lesquelles les clients ne parviennent pas à obtenir une configuration, quand la configuration est incorrecte ou quand le serveur DHCP ne répond pas comme prévu. Vous pouvez également confirmer la disponibilité du service selon les niveaux de disponibilité attendus à l’aide des logs. Enfin, vous pouvez vérifier ces logs dans le cadre d’un audit de sécurité afin de déterminer si tous les clients connectés font bien partie des appareils attendus.

Comment activer la journalisation DHCP dans le cadre d’un audit ?

La console d’administration DHCP contrôle la journalisation DHCP. Dans le Gestionnaire de serveur, allez dans Outils > DHCP pour ouvrir la console. Descendez jusqu’au nœud IPv4. Cliquez avec le bouton droit de la souris sur le nœud IPv4 et sélectionnez Propriétés > onglet Avancé. L’entrée "Audit log file path" définit l’emplacement du fichier log.

Par défaut, le log du serveur DHCP se trouve dans le dossier C:\NWindows\Nsystem32\Ndhcp.

Windows enregistre les logs du serveur DHCP chaque jour de la semaine dans un fichier distinct. Chaque fichier log est écrasé le jour de la semaine correspondant, ce qui permet à l’administrateur de consulter les fonctions DHCP une semaine en arrière. Les logs sont spécifiques à la version IP. Le format des logs IPv4 est DhcpV6SrvLog-<DAY>.log, tandis que le format des logs IPv6 est DhcpV6SrvLog-<DAY>.log.

Logs du serveur DHCP
Le serveur DHCP stocke ses logs dans des fichiers séparés et, par défaut, écrase les anciens journaux par le nouveau.

 

Comment travailler avec les logs de DHCP ?

Ouvrez les fichiers logs à l’aide d’un éditeur de texte classique. Le log commence par une explication des identifiants d’événements. Ces catégories permettent de trouver plus facilement les informations recherchées.

Windows enregistre les logs du serveur DHCP avec une extension .log dans un format séparé par des virgules, que vous pouvez ouvrir dans Microsoft Excel pour une vue plus conviviale.

ID d'événement dans les logs d'audit du serveur DHCP
Cette liste partielle montre l'ID de l'événement et la description correspondante de l'activité enregistrée que les administrateurs peuvent trouver dans les fichiers log d'audit du serveur DHCP.

Les événements les plus intéressants pour les administrateurs sont les entrées d’échec, comme ces ID d’événement et leur description :

13 : Une adresse IP a été trouvée en cours d’utilisation sur le réseau.

14 : Une demande de bail n’a pas pu être satisfaite parce que le pool d’adresses du scope était épuisé.

15 : Un bail a été refusé.

Ces champs indiquent qu’un client a tenté de louer une configuration, mais que le serveur n’a pas pu répondre à la demande.

Les champs les plus référencés dans le fichier log sont l’ID, la date, l’heure, la description, l’adresse IP, le nom d’hôte, l’adresse MAC et le nom d’utilisateur.

Le champ ID se rapporte au tableau d’identification des événements et résume le type général d’événement. La date et l’heure de l’événement, ainsi que toute description disponible, viennent ensuite. Si possible, l’adresse IP, le nom de l’hôte, l’adresse MAC et le nom de l’utilisateur sont indiqués. Bien que tous les événements n’aient pas une entrée dans l’en-tête du champ, les plus courants sont l’adresse IP et l’adresse MAC.

Comment diagnostiquer les logs de DHCP à des fins de dépannage ?

Voici quelques exemples pratiques et méthodes d’utilisation des logs DHCP pour identifier des événements réseau courants. Ils s’appliquent aux champs d’application DHCP IPv4 et IPv6.

Processus réussis. Les ID suivantes d’événement facilitent le processus de dépannage en indiquant que les événements du client DHCP se sont déroulés avec succès :

10 : Une nouvelle adresse IP a été attribuée à un client.

11 : Un bail a été renouvelé par un client.

12 : Un bail a été libéré par un client.

La plupart des entrées devraient indiquer un bail réussi avec l’ID d’événement 10. L’événement ID 11 devrait également être courant, indiquant que les clients ont rétabli avec succès leur configuration actuelle. Attendez-vous à un grand nombre de ces événements, car la plupart des systèmes conservent leurs paramètres IP pendant longtemps.

Périodiquement, les machines clientes renvoient leur configuration IP au serveur. Les dépanneurs réseau peuvent effectuer cette opération manuellement à l’aide de la commande ipconfig /release, généralement avant la commande ipconfig /renew, qui lance manuellement le processus DORA. Ces versions sont identifiées par l’ID d’événement 12.

Adresses IP en double. Les administrateurs doivent veiller à ne pas utiliser des adresses IP identiques sur un réseau. La plupart des systèmes Windows se retirent du réseau s’ils détectent que leur adresse IP est déjà utilisée, ce qui est signalé par l’ID d’événement suivant :

13 : Une adresse IP a été trouvée en cours d’utilisation sur le réseau.

S’il est correctement configuré, le protocole DHCP ne loue pas d’adresses IP en double. Le problème survient généralement lorsque les administrateurs ne conservent pas d’enregistrements précis des attributions d’adresses statiques. Il est courant d’attribuer des adresses IP statiques aux serveurs et aux périphériques du réseau, tandis que les systèmes clients Windows obtiennent leurs paramètres IP du serveur DHCP. Si le scope du DHCP comprend des adresses IP statiques, le serveur DHCP n’a aucun moyen de le savoir et loue les adresses utilisées.

Un message d’erreur est affiché sur le périphérique Windows concerné, mais il est plus facile de découvrir l’adresse IP dupliquée en examinant les logs.

Utilisez cette option en combinaison avec le paramètre "Tentatives de détection de conflit", qui envoie une requête ping à une adresse avant de la proposer à la location. En cas de réponse au ping, l’adresse est utilisée.

Épuisement du pool d’adresses IP. Le pool DHCP, ou « scope », est constitué de la plage d’adresses IP disponibles. Ce scope doit contenir suffisamment d’adresses pour prendre en charge tous les clients qui ont besoin d’une configuration. Il est possible que le nombre de clients sur le segment dépasse le nombre d’adresses disponibles et que l’ID d’événement suivant apparaisse :

14 : Une demande de bail n’a pas pu être satisfaite parce que le pool d’adresses dans le scope était épuisé.

Vous ne vous attendez peut-être pas à ce que tous les clients soient présents simultanément sur le réseau, mais des baux de courte durée peuvent être utilisés pour libérer rapidement les adresses inutilisées.

Il est facile de vérifier le nombre d’adresses disponibles et celles en cours d’utilisation dans la console DHCP. Le fichier log affiche également une entrée si une tentative de bail échoue en raison de l’épuisement du scope.

Comment archiver les logs de DHCP ?

Les noms des fichiers logs de DHCP utilisent des noms de jours abrégés. Chaque semaine, le système écrase le log correspondant par un nouveau log portant le même nom, ne laissant au service informatique que les sept fichiers logs les plus récents à examiner. Si vous ne les archivez pas, vos enregistrements DHCP sont relativement incomplets, ce qui peut poser problème lors de la confirmation des niveaux de service ou de l’analyse des événements de sécurité.

Pour conserver les logs pendant plus d’une semaine, copiez ou renommez le fichier log actuel. Nous suggérons de le copier et d’ajouter la date du calendrier au nom du fichier pour faciliter la consultation. Si votre log s’appelle DhcpSrvLog-Sun.log, copiez-le en DhcpSrvLog-Sun-07-31-2023.log pour le conserver.

Pour automatiser l’archivage des logs, essayez PowerShell. Le code suivant copie le fichier log du dimanche avec un nom de fichier contenant la date :

Copy-Item "C:\Windows\system32\dhcp\*Sun.log" "C:\Windows\system32\dhcp\archive\dhcplog-Sun-$(Get-Date -UFormat %d-%m-%Y).log"

Pensez à copier le log dans un dossier d’archivage. Nous avons ici modifié le chemin de destination en C:\NWindows\NSystem32\Ndhcp\Narchive. Utilisez ce qui convient le mieux à votre organisation.

Quelles sont les bonnes pratiques concernant les logs DHCP ?

Les lignes directrices et les recommandations suivantes permettent d’optimiser la journalisation DHCP et de gérer efficacement ses logs :

  • Examinez de manière proactive les logs DHCP en quête d’informations relatives au scope et aux clients.
  • Assurez une maintenance régulière du service DHCP pour éviter les situations de dépannage.
  • Automatisez l’archivage des logs à des fins de dépannage et d’audit.

Votre service DHCP sera d’autant plus robuste si vous respectez les bonnes pratiques suivantes :

  • Configurez les options du scope DHCP avec précision.
  • Créez un nombre suffisant d’adresses IP pour le nombre prévu de clients.
  • Définissez une durée de bail correspondant à l’activité des clients sur le réseau.
  • Configurez le basculement DHCP pour les serveurs DHCP basés sur Windows.
  • Autorisez les serveurs DHCP basés sur Windows dans Active Directory.

Utilisez des sondes DHCP si des clients se trouvent sur des segments réseau différents de ceux où se trouvent les serveurs DHCP.

Pour approfondir sur Administration de réseaux