Dépannage des services réseau (DHCP, DNS, NTP)
Définition
Les services réseau DHCP, DNS et NTP sont essentiels au fonctionnement quotidien d'un réseau. DHCP attribue automatiquement les adresses IP, DNS résout les noms en adresses IP, et NTP synchronise les horloges. Une panne de l'un de ces services a un impact immédiat et visible sur les utilisateurs. Le dépannage de ces services nécessite une compréhension de leur fonctionnement et des causes d'échec courantes.
Contexte
Un serveur DHCP en panne = les postes n'obtiennent plus d'IP. Un DNS défaillant = aucun site web n'est accessible par nom. Un NTP désynchronisé = les logs sont incohérents, les certificats TLS échouent, Kerberos refuse l'authentification. La certification CCST couvre le fonctionnement et le dépannage de base de ces services.
Détails techniques
Dépannage DHCP
Processus DHCP (DORA) :
| Étape | Message | Direction | Transport |
|---|---|---|---|
| Discover | DHCPDISCOVER | Client → Broadcast | UDP 67 |
| Offer | DHCPOFFER | Serveur → Client | UDP 68 |
| Request | DHCPREQUEST | Client → Broadcast | UDP 67 |
| Ack | DHCPACK | Serveur → Client | UDP 68 |
Causes d'échec DHCP :
| Problème | Symptôme | Diagnostic | Solution |
|---|---|---|---|
| Serveur DHCP en panne | Adresse APIPA (169.254.x.x) | show ip dhcp server statistics |
Relancer le service DHCP |
| Pool épuisé | Certains postes n'obtiennent pas d'IP | show ip dhcp pool → adresses restantes = 0 |
Agrandir le pool, réduire le lease |
| Relay agent manquant | DHCP ne fonctionne pas dans un autre subnet | Le DISCOVER ne traverse pas le routeur | ip helper-address <ip_serveur_dhcp> |
| Faux serveur DHCP | Les postes reçoivent une mauvaise passerelle | ipconfig /all → passerelle inattendue |
Activer DHCP Snooping |
| Conflit IP | Connectivité intermittente | Log Windows : « Conflit d'adresse IP » | Identifier via show ip dhcp binding, exclure les IP statiques du pool |
Commandes clés (Cisco) :
| Commande | Usage |
|---|---|
show ip dhcp pool |
Statistiques des pools (taille, utilisé, disponible) |
show ip dhcp binding |
Table des baux (MAC, IP, expiration) |
show ip dhcp conflict |
Conflits d'adresses détectés |
clear ip dhcp binding * |
Libérer tous les baux |
debug ip dhcp server events |
Trace des événements DHCP en temps réel |
Dépannage DNS
| Problème | Symptôme | Diagnostic | Solution |
|---|---|---|---|
| Serveur DNS injoignable | nslookup → timeout |
ping <serveur_dns> |
Vérifier le serveur DNS, le réseau, le pare-feu |
| Mauvais serveur DNS configuré | Résolution lente ou incorrecte | ipconfig /all → vérifier les DNS |
Corriger via DHCP ou manuellement |
| Cache DNS périmé | Un nom résout vers une ancienne IP | ipconfig /displaydns |
ipconfig /flushdns |
| Enregistrement DNS manquant | Un nom interne ne résout pas | nslookup <nom> <serveur_dns> → NXDOMAIN |
Ajouter l'enregistrement A/AAAA sur le serveur DNS |
| DNS récursif lent | Première résolution lente, les suivantes rapides | Serveur DNS fait la résolution récursive | Configurer des forwarders (8.8.8.8, 1.1.1.1) |
Types d'enregistrements DNS :
| Type | Description | Exemple |
|---|---|---|
| A | Nom → IPv4 | www.corp.local → 10.1.0.80 |
| AAAA | Nom → IPv6 | www.corp.local → 2001:db8::80 |
| CNAME | Alias vers un autre nom | mail.corp.local → exchange01.corp.local |
| MX | Serveur mail du domaine | corp.local → mail.corp.local (priorité 10) |
| PTR | IP → Nom (reverse DNS) | 10.1.0.80 → www.corp.local |
| NS | Serveur DNS autoritaire | corp.local → ns1.corp.local |
| SOA | Informations de la zone | Serial, refresh, retry, expire |
Dépannage NTP
Pourquoi NTP est critique :
- Logs : corrélation d'événements impossible si les horloges sont désynchronisées.
- Kerberos : l'authentification AD échoue si le décalage dépasse 5 minutes.
- Certificats TLS : validés contre l'heure système — un décalage peut invalider un certificat valide.
- DHCP leases : expiration incorrecte.
| Problème | Symptôme | Diagnostic | Solution |
|---|---|---|---|
| Serveur NTP injoignable | Horloge locale dérive | show ntp status → unsynchronized |
Vérifier la connectivité vers le serveur NTP, le pare-feu (UDP 123) |
| Stratum trop élevé | Source de temps peu fiable | show ntp associations → stratum > 5 |
Pointer vers un serveur stratum 1 ou 2 |
| NTP non configuré | Heure par défaut (souvent 1970 ou 2002) | show clock |
Configurer NTP |
Configuration NTP (Cisco) :
Router(config)# ntp server 0.pool.ntp.org
Router(config)# ntp server 1.pool.ntp.org
Router(config)# clock timezone CET 1
Router(config)# clock summer-time CEST recurring
Router# show ntp status
Clock is synchronized, stratum 3, reference is 129.6.15.28
Router# show ntp associations
address ref clock st poll reach delay offset disp
*~129.6.15.28 .GPS. 1 64 377 25.3 -0.4 1.2
Exemple concret
Scénario : lundi matin, 50 % des employés ne peuvent pas se connecter au réseau.
- Symptôme : les postes ont des adresses APIPA → problème DHCP.
- Diagnostic :
show ip dhcp pool→ le serveur DHCP est opérationnel, pool non épuisé. - Approfondir :
show ip dhcp binding→ aucun bail pour le VLAN 10 (employés). Les baux des VLANs 20 et 30 sont normaux. - Vérifier le relay : sur le routeur VLAN 10,
show running-config interface Vlan10→ip helper-addressest absent — il a été supprimé lors d'une maintenance vendredi soir. - Solution :
Router(config)# interface Vlan10 Router(config-if)# ip helper-address 10.0.0.10 - Les postes font
ipconfig /renew→ ils reçoivent leur IP → connectivité restaurée. - Bonus DNS : 3 postes ont toujours un problème —
nslookup intranet.corp.local→ SERVFAIL. Le serveur DNS secondaire (10.0.0.11) est en panne →ipconfig /flushdns+ pointer vers le DNS primaire → résolu.