Déployer un serveur DHCP Windows en failover avec réservations pas à pas

Distribuer les adresses IP du LAN manuellement à une centaine de postes est une perte de temps doublée d’un risque permanent de conflit d’adresses. Le service DHCP de Windows Server centralise cette distribution, mémorise les baux, et offre depuis Windows Server 2012 un mode failover qui rend la disponibilité du service indépendante d’un seul serveur. Pour une PME, c’est l’une des configurations les plus rentables à mettre en place : une heure de travail évite des journées d’incidents.

Ce tutoriel installe DHCP sur le DC principal (ou sur un serveur dédié), configure une étendue, met en place le failover avec un second DHCP, ajoute des réservations, configure les options DNS et passerelle, et autorise le serveur dans AD. Le résultat : tous les postes reçoivent leur configuration réseau cohérente, et la perte d’un serveur ne coupe pas l’attribution.

Prérequis : un domaine AD opérationnel avec un DC. Vue d’ensemble : Windows Server 2025 et Active Directory pour PME. Pour le DNS qui sera distribué : DNS intégré à Active Directory.

Prérequis

• Deux serveurs Windows Server 2025 (idéalement les deux DC) ou un DC + un serveur membre.
• Un compte Domain Admin pour autoriser le DHCP dans AD.
• Le plan d’adressage défini : par exemple LAN 10.10.0.0/24, passerelle 10.10.0.1, plage DHCP 10.10.0.100-10.10.0.250, IPs réservées 10.10.0.1-99 pour serveurs et imprimantes statiques.
• Le module DHCP PowerShell (installé automatiquement avec le rôle).
• Niveau attendu : intermédiaire.
• Temps estimé : 30 à 45 minutes pour les deux serveurs en failover.

Aparté — Comprendre le dialogue DORA

Un échange DHCP ne se résume pas à « le serveur donne une IP au client ». Quatre messages s’enchaînent, formant l’acronyme DORA :

• D — Discover : le client envoie un broadcast UDP 67 pour annoncer qu’il cherche un DHCP.
• O — Offer : chaque DHCP du segment répond avec une offre d’IP (broadcast UDP 68 vers le client).
• R — Request : le client retient une offre et la confirme par un nouveau broadcast.
• A — Acknowledge : le DHCP retenu envoie l’ACK final avec l’IP et la durée du bail. Les autres DHCP voient l’ACK et abandonnent leur offre.

Comprendre DORA aide à diagnostiquer les pannes : un poste qui ne reçoit pas d’IP a-t-il pu émettre son Discover (problème VLAN, port switch en mauvais état) ? Le DHCP a-t-il offert (vérifier les statistiques) ? Le poste a-t-il renvoyé un Request (parfois un antivirus bloque les broadcasts) ? L’ACK est-il revenu (potentiel timeout sur lien lent) ? Une capture Wireshark filtrée sur bootp montre tous les messages en quelques secondes.

Étape 1 — Installer le rôle DHCP sur le premier serveur

Sur DC01, installer le rôle et ses outils :

Install-WindowsFeature -Name DHCP -IncludeManagementTools

L’installation prend une à deux minutes. Aucun redémarrage requis. Vérifier :

Get-WindowsFeature -Name DHCP

L’état doit être Installed. Le service DHCP Server est créé mais pas encore démarré — c’est normal, on doit d’abord autoriser le serveur dans AD.

Étape 2 — Autoriser le DHCP dans Active Directory

Active Directory tient la liste des serveurs DHCP autorisés à distribuer des IP sur le réseau. Un serveur non autorisé refuse de servir des baux — une protection contre les serveurs DHCP pirates plantés sur le LAN. L’autorisation requiert d’être Enterprise Admin ou membre d’DHCP Administrators :

Add-DhcpServerInDC -DnsName 'DC01.ad.entreprise.com' -IPAddress 10.10.0.10

Vérifier la liste :

Get-DhcpServerInDC

DC01 doit apparaître. Démarrer ensuite le service :

Start-Service DHCPServer
Set-Service DHCPServer -StartupType Automatic

Notifier le Server Manager que la post-déploiement est faite (sinon une notification jaune persiste) :

Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\ServerManager\Roles\12' `
  -Name ConfigurationState -Value 2

Étape 3 — Créer la première étendue

Une étendue (scope) définit une plage d’adresses, un sous-réseau, et les options associées. Pour le LAN 10.10.0.0/24 avec la plage utilisable 10.10.0.100-250 :

Add-DhcpServerv4Scope -Name 'LAN-Bureaux' `
  -StartRange 10.10.0.100 -EndRange 10.10.0.250 `
  -SubnetMask 255.255.255.0 -State Active

Set-DhcpServerv4OptionValue -ScopeId 10.10.0.0 `
  -Router 10.10.0.1 `
  -DnsServer 10.10.0.10, 10.10.0.11 `
  -DnsDomain 'ad.entreprise.com'

Trois options sont essentielles : Router (option 3, la passerelle), DnsServer (option 6, le DNS — on pousse les deux DC), DnsDomain (option 15, le suffixe DNS de connexion). Vérifier :

Get-DhcpServerv4Scope
Get-DhcpServerv4OptionValue -ScopeId 10.10.0.0

L’étendue doit être Active et lister les trois options ci-dessus.

Étape 4 — Activer les mises à jour DNS dynamiques sécurisées

Quand un poste reçoit son bail, on veut que son enregistrement A soit créé automatiquement dans le DNS du domaine. La configuration par défaut laisse le client s’inscrire lui-même, mais les ordinateurs non-domaine (un Mac, un téléphone) ne le feront jamais. On confie l’inscription DNS au serveur DHCP, et on impose la mise à jour sécurisée :

Set-DhcpServerv4DnsSetting -ComputerName DC01 `
  -DynamicUpdates Always -UpdateDnsRRForOlderClients $true `
  -DeleteDnsRROnLeaseExpiry $true -NameProtection $false

Avec DynamicUpdates Always, le DHCP enregistre A et PTR pour tous les clients, même ceux qui ne le demandent pas. DeleteDnsRROnLeaseExpiry nettoie le DNS quand un bail expire. Le compte qui fait les enregistrements DNS depuis le DHCP est par défaut le compte machine du serveur DHCP — il faut donc ajouter ce compte au groupe DnsUpdateProxy :

Add-ADGroupMember -Identity 'DnsUpdateProxy' -Members 'DC01$'

Étape 5 — Créer des réservations

Une réservation lie une MAC à une IP fixe distribuée par DHCP. C’est la bonne pratique pour les imprimantes, les caméras IP, les serveurs avec MAC stable : on garde la commodité du DHCP centralisé mais l’IP reste prévisible.

Add-DhcpServerv4Reservation -ScopeId 10.10.0.0 `
  -IPAddress 10.10.0.50 `
  -ClientId '00-11-22-33-44-55' `
  -Description 'Imprimante reception'

Add-DhcpServerv4Reservation -ScopeId 10.10.0.0 `
  -IPAddress 10.10.0.51 `
  -ClientId 'AA-BB-CC-DD-EE-FF' `
  -Description 'Camera couloir'

Vérifier :

Get-DhcpServerv4Reservation -ScopeId 10.10.0.0

Pour récupérer la MAC d’un poste déjà connecté : Get-DhcpServerv4Lease -ScopeId 10.10.0.0 | Where-Object HostName -like '*imprimante*'.

Étape 6 — Installer DHCP sur le second serveur

Sur DC02 (ou un serveur dédié), même séquence : installation du rôle, autorisation dans AD, démarrage du service. À ce stade, DC02 a un DHCP installé mais aucune étendue. Le failover créé à l’étape suivante répliquera l’étendue de DC01 vers DC02 automatiquement.

Install-WindowsFeature -Name DHCP -IncludeManagementTools
Add-DhcpServerInDC -DnsName 'DC02.ad.entreprise.com' -IPAddress 10.10.0.11
Start-Service DHCPServer
Set-Service DHCPServer -StartupType Automatic

Étape 7 — Configurer le failover DHCP

Le mode failover partage une étendue entre deux serveurs DHCP. Deux modes coexistent :

• Hot Standby — un serveur primaire actif, un secondaire en veille. Le secondaire ne sert des baux que si le primaire est injoignable plus de quelques minutes. Recommandé pour les PME avec un site principal et un site distant.
• Load Balance — les deux serveurs servent des baux en parallèle, chacun répondant à une fraction du trafic (par défaut 50/50). Recommandé pour les PME mono-site avec deux serveurs proches.

Pour une PME mono-site avec DC01 et DC02 colocalisés, on choisit Load Balance :

Add-DhcpServerv4Failover -ComputerName DC01 `
  -Name 'Failover-LAN-Bureaux' `
  -PartnerServer DC02.ad.entreprise.com `
  -ScopeId 10.10.0.0 `
  -SharedSecret 'V0tr3Sh@redS3cr3t!2026' `
  -LoadBalancePercent 50 `
  -MaxClientLeadTime '0.01:00:00' `
  -AutoStateTransition $true `
  -StateSwitchInterval '0.01:00:00'

Le SharedSecret est une clé partagée qui authentifie les échanges entre les deux DHCP. Le MaxClientLeadTime à 1 heure définit la durée maximale pendant laquelle un serveur peut servir des baux après la perte de contact avec son partenaire — au-delà, il passe en mode partenaire indisponible et étend automatiquement les baux courts pour limiter le risque de double allocation.

Vérifier la création :

Get-DhcpServerv4Failover
Get-DhcpServerv4Scope -ComputerName DC02

Sur DC02, l’étendue LAN-Bureaux doit apparaître, répliquée depuis DC01.

Étape 8 — Configurer un ip helper-address pour les VLAN distants

DHCP fonctionne nativement en broadcast, ce qui le confine au segment réseau local du serveur. Si la PME a plusieurs VLAN (un VLAN bureautique, un VLAN imprimantes, un VLAN VoIP), un serveur DHCP unique ne peut pas servir tous les VLAN sauf si on configure un DHCP relay sur le routeur ou le switch L3 qui interconnecte les VLAN.

Sur un switch Cisco Catalyst, la commande s’écrit ainsi pour rediriger les broadcasts DHCP d’un VLAN client vers les deux serveurs DHCP :

interface Vlan20
 ip helper-address 10.10.0.10
 ip helper-address 10.10.0.11
 exit

Adapter selon l’équipement : ip dhcp relay address sur HP/Aruba, set forwarding-options helpers bootp sur Junos, config interface dhcp-relay enable sur FortiOS. Côté Windows DHCP, on crée une étendue distincte pour le VLAN, sans rien d’autre à faire : le serveur reconnaît l’origine du broadcast relayé via le champ giaddr et répond avec une IP de l’étendue correspondante.

Pour vérifier qu’un broadcast relayé est bien reçu, surveiller le compteur de paquets sur le serveur :

(Get-DhcpServerv4Statistics).PacketsReceived

Ce compteur incrémente à chaque Discover ou Request reçu, y compris en provenance des VLAN relayés.

Étape 9 — Tester la résilience

Un failover non testé n’est qu’une présomption. Procéder à un test contrôlé : arrêter le service DHCP sur DC01 et vérifier qu’un nouveau bail est servi par DC02.

# Sur DC01
Stop-Service DHCPServer

# Sur un poste de test, demander un nouveau bail
ipconfig /release
ipconfig /renew

# Sur le poste
ipconfig /all | findstr 'Bail'

L’IP attribuée doit appartenir à la plage 10.10.0.100-250. Sur DC02, lister les baux pour confirmer que c’est lui qui a servi :

Get-DhcpServerv4Lease -ScopeId 10.10.0.0 -ComputerName DC02

Le poste de test doit y figurer. Redémarrer le service sur DC01 :

Start-Service DHCPServer

La synchronisation reprend automatiquement.

Étape 10 — Configurer la sauvegarde DHCP

Le DHCP stocke ses données dans %SystemRoot%\System32\dhcp\. Une sauvegarde automatique a lieu toutes les 60 minutes par défaut dans %SystemRoot%\System32\dhcp\backup\. Pour exporter la configuration complète vers un emplacement de sauvegarde :

$path = "D:\Backup\DHCP\$(Get-Date -Format yyyyMMdd)"
mkdir $path -Force | Out-Null
Export-DhcpServer -ComputerName DC01 -File "$path\dc01-dhcp.xml" -Leases -Force
Export-DhcpServer -ComputerName DC02 -File "$path\dc02-dhcp.xml" -Leases -Force

L’option -Leases inclut les baux actifs, utile en cas de restauration sur un serveur neuf. Pour restaurer : Import-DhcpServer -File ... sur le nouveau serveur DHCP.

Étape 11 — Surveiller le service au quotidien

Le bon état du DHCP se contrôle en trois commandes :

Get-DhcpServerv4Statistics
Get-DhcpServerv4ScopeStatistics -ScopeId 10.10.0.0
Get-DhcpServerv4Failover -Name 'Failover-LAN-Bureaux'

Get-DhcpServerv4Statistics donne les compteurs globaux (paquets traités, baux actifs, refus). Get-DhcpServerv4ScopeStatistics montre le taux d’occupation de l’étendue — au-delà de 80 %, prévoir d’étendre la plage ou d’agrandir le subnet. Get-DhcpServerv4Failover renvoie l’état du partenariat ; le champ State doit être Normal.

Pour aller plus loin, créer une alerte si l’occupation dépasse 90 % via une tâche planifiée PowerShell qui envoie un e-mail au gestionnaire IT.

Étape 12 — Planifier la capacité et la durée des baux

La durée du bail (option 51) influence directement le confort des utilisateurs et la pression sur le serveur. Trop courte (1 heure), elle multiplie les renouvellements et le trafic. Trop longue (30 jours), elle ralentit le recyclage des IP libres et brouille les statistiques d’usage. Pour une PME bureautique classique avec postes mobiles, une durée de 8 jours est l’équilibre canonique : un poste en vacances une semaine garde sa réservation, mais l’IP retourne au pool si le poste disparaît durablement.

Set-DhcpServerv4Scope -ScopeId 10.10.0.0 -LeaseDuration '8.00:00:00'

Pour le calibrage de la plage, retenir une marge confortable : si l’entreprise compte 80 postes actifs, prévoir 150 adresses pour absorber les mobiles, les invités occasionnels et la croissance. Au-delà de 80 % d’occupation prolongée, on étend la plage ou on agrandit le sous-réseau en /23.

Pour le réseau invité ou le Wi-Fi visiteur, créer une étendue distincte avec un bail très court (4 heures) et des serveurs DNS publics (Cloudflare) au lieu des DC internes : on évite que des visiteurs résolvent les noms d’hôtes sensibles du LAN. Cette segmentation logique se combine idéalement avec un VLAN dédié et un pare-feu qui empêche tout trafic du segment invité vers le segment des serveurs. Une PME qui reçoit régulièrement des prestataires externes apprécie ce niveau de cloisonnement, qui se met en place en moins d’une heure une fois le DHCP maîtrisé. La même logique s’applique aux salles de réunion ou aux téléphones VoIP : un VLAN, une étendue, des options de scope dédiées (option 66 pour le serveur TFTP des téléphones IP, par exemple).

Erreurs fréquentes

Vérification finale

Vous disposez maintenant d’un service DHCP redondé en failover Load Balance entre DC01 et DC02, étendue active 10.10.0.100-250, options DNS et passerelle distribuées, réservations pour le matériel statique, mises à jour DNS dynamiques sécurisées, et export de configuration sauvegardé. La panne d’un serveur n’interrompt plus l’attribution des adresses, et tous les postes nouvellement connectés reçoivent une configuration cohérente.

La suite logique : joindre les premiers postes Windows 11 au domaine, puis poser les GPO essentielles. Pour le panorama complet : Windows Server 2025 et Active Directory pour PME.

Ressources officielles

• DHCP Server overview — Microsoft Learn
• DhcpServer PowerShell module reference — Microsoft Learn
• Deploy DHCP using PowerShell — Microsoft Learn
• DHCP failover overview — Microsoft Learn