Configurer un serveur DHCP sous Linux et Windows Server 2026

Publié le 05/05/2026 · Certifexpress

Mettre en place un serveur DHCP reste l'une des opérations fondamentales d'un administrateur système ou réseau. Ce tutoriel explique pas à pas comment installer et configurer un serveur DHCP sous Linux (ISC DHCP, dnsmasq, Kea) et sous Windows Server, gérer les scopes, créer des réservations, mettre en place la redondance (failover ou DHCP HA) et appliquer les bonnes pratiques de sécurité. Il s'adresse aux étudiants en certification réseau, aux administrateurs débutants et à ceux qui migrent une infrastructure DHCP vers un nouveau moteur.

Pré-requis : notions de base sur l'adressage IP, les VLAN et le processus DORA. Voir notre fiche glossaire DHCP et notre parcours Cisco Réseaux pour les fondamentaux.

1. Choisir son serveur DHCP en 2026

Le marché propose plusieurs solutions matures. Le choix dépend du système, du volume de baux et de la nécessité d'API d'intégration.

Solution	Plateforme	Cas d'usage
ISC DHCP (dhcpd)	Linux/BSD	Historique, simple, fin de support officiel en 2022 mais toujours présent
ISC Kea	Linux	Successeur officiel, modulaire, base SQL, API REST
dnsmasq	Linux	Réseaux SOHO, lab, PXE, intégration DNS
systemd-networkd	Linux	Petite infrastructure pure systemd
Windows DHCP Server	Windows Server	Environnement Active Directory, intégration AD/DNS
Infoblox / EfficientIP	Appliance	DDI entreprise, IPAM, audit, MFA

2. Installer ISC DHCP sur Debian/Ubuntu

ISC DHCP reste le plus enseigné dans les cursus Linux. L'installation prend deux minutes.

sudo apt update
sudo apt install -y isc-dhcp-server

Le démon s'appelle isc-dhcp-server et lit son fichier principal dans /etc/dhcp/dhcpd.conf. Il faut également indiquer l'interface d'écoute dans /etc/default/isc-dhcp-server :

INTERFACESv4="eth0"
INTERFACESv6=""

Exemple de dhcpd.conf complet

default-lease-time 28800;
max-lease-time 86400;
authoritative;
log-facility local7;

option domain-name "lab.local";
option domain-name-servers 192.168.10.10, 1.1.1.1;
option ntp-servers 192.168.10.10;

subnet 192.168.10.0 netmask 255.255.255.0 {
  range 192.168.10.50 192.168.10.200;
  option routers 192.168.10.1;
  option broadcast-address 192.168.10.255;

  host imprimante-rdc {
    hardware ethernet 00:1A:2B:3C:4D:5E;
    fixed-address 192.168.10.30;
  }
}

Le mot-clé authoritative indique que ce serveur DHCP est officiellement autorisé sur ce subnet : il enverra des DHCPNAK aux clients qui demanderaient une mauvaise adresse. Validez la configuration et démarrez :

sudo dhcpd -t -cf /etc/dhcp/dhcpd.conf
sudo systemctl enable --now isc-dhcp-server
sudo systemctl status isc-dhcp-server

Les baux actifs sont visibles dans /var/lib/dhcp/dhcpd.leases. C'est aussi ce fichier qu'il faut sauvegarder lors d'une bascule.

3. Mettre en place la redondance ISC DHCP failover

Le protocole DHCP failover (draft-IETF) permet à deux serveurs de se partager les baux, l'un primary, l'autre secondary. Configuration minimale :

failover peer "lab-failover" {
  primary;
  address 192.168.10.10;
  port 519;
  peer address 192.168.10.11;
  peer port 520;
  max-response-delay 30;
  max-unacked-updates 10;
  load balance max seconds 3;
  mclt 3600;
  split 128;
}

subnet 192.168.10.0 netmask 255.255.255.0 {
  pool {
    failover peer "lab-failover";
    range 192.168.10.50 192.168.10.200;
  }
}

L'option split 128 distribue 50/50 les baux entre les deux serveurs. Si l'un tombe, l'autre prend la charge complète après le délai mclt.

4. Configurer dnsmasq pour un lab ou une PME

dnsmasq est idéal pour les petits réseaux car il gère DNS, DHCP, TFTP et PXE en un seul binaire de quelques centaines de Ko.

sudo apt install -y dnsmasq

# /etc/dnsmasq.d/lab.conf
interface=eth0
domain=lab.local
dhcp-range=192.168.10.50,192.168.10.200,12h
dhcp-option=option:router,192.168.10.1
dhcp-option=option:dns-server,192.168.10.1
dhcp-host=00:1A:2B:3C:4D:5E,192.168.10.30

sudo systemctl restart dnsmasq

Avantage : la résolution DNS locale du hostname envoyé par chaque client est automatique. Inconvénient : pas de failover natif, et la scalabilité est limitée à quelques milliers de baux.

5. Migrer vers ISC Kea

Kea est le successeur officiel d'ISC DHCP. Il est packagé sur la plupart des distributions modernes. Son principal atout : une API REST/JSON, un backend MySQL/PostgreSQL et un système de hooks (HA, lease commands, host_cache).

sudo apt install -y kea-dhcp4-server

# /etc/kea/kea-dhcp4.conf (extrait)
{
  "Dhcp4": {
    "interfaces-config": { "interfaces": ["eth0"] },
    "valid-lifetime": 28800,
    "renew-timer": 14400,
    "rebind-timer": 24500,
    "subnet4": [{
      "subnet": "192.168.10.0/24",
      "pools": [{ "pool": "192.168.10.50 - 192.168.10.200" }],
      "option-data": [
        { "name": "routers", "data": "192.168.10.1" },
        { "name": "domain-name-servers", "data": "192.168.10.10" }
      ]
    }]
  }
}

sudo systemctl enable --now kea-dhcp4-server

La haute disponibilité Kea HA remplace l'ancien failover ISC DHCP. Elle propose trois modes : load-balancing, hot-standby et passive-backup.

6. Installer le rôle DHCP sur Windows Server 2025

Sous Windows Server, l'installation se fait depuis le Server Manager ou en PowerShell :

Install-WindowsFeature DHCP -IncludeManagementTools
Add-DhcpServerSecurityGroup
Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ServerManager\Roles\12 -Name ConfigurationState -Value 2
Restart-Service dhcpserver

Si le serveur est dans un domaine Active Directory, il faut autoriser le serveur DHCP :

Add-DhcpServerInDC -DnsName srv-dhcp01.lab.local -IPAddress 192.168.10.10

Créer un scope DHCP en PowerShell

Add-DhcpServerv4Scope -Name "VLAN10-Users" `
  -StartRange 192.168.10.50 -EndRange 192.168.10.200 `
  -SubnetMask 255.255.255.0 -State Active

Set-DhcpServerv4OptionValue -ScopeId 192.168.10.0 `
  -Router 192.168.10.1 -DnsServer 192.168.10.10 -DnsDomain "lab.local"

Add-DhcpServerv4Reservation -ScopeId 192.168.10.0 `
  -IPAddress 192.168.10.30 -ClientId "00-1A-2B-3C-4D-5E" -Description "Imprimante RDC"

DHCP Failover sous Windows

Windows propose un mécanisme de DHCP Failover entre deux serveurs (Hot Standby ou Load Balance). Création d'une relation :

Add-DhcpServerv4Failover -Name "Failover-VLAN10" `
  -PartnerServer srv-dhcp02.lab.local `
  -ScopeId 192.168.10.0 -SharedSecret "MotDePasseFort!" `
  -LoadBalancePercent 50

7. Réservations, exclusions et options avancées

Trois notions à différencier dans tout serveur DHCP :

Scope : la plage d'adresses distribuables pour un sous-réseau
Exclusion : une sous-plage que le serveur ne distribuera jamais (souvent les premières IP réservées aux serveurs et imprimantes statiques)
Réservation : une IP fixe attribuée à une MAC précise (équivalent d'une attribution statique gérée par DHCP)

Les options DHCP les plus utilisées :

Option 3 (router), 6 (DNS), 15 (domain name), 42 (NTP), 51 (lease time)
Option 43 / 60 : découverte de contrôleurs Wi-Fi Aruba ou Cisco
Option 66 / 67 : PXE boot
Option 121 : routes statiques classless

8. Sécuriser le serveur DHCP

Quelques règles incontournables :

Activer DHCP snooping sur les commutateurs d'accès pour bloquer les rogue DHCP
Limiter l'écoute DHCP à l'interface dédiée uniquement (jamais Internet)
Sauvegarder régulièrement les fichiers dhcpd.leases ou la base Kea/Windows
Surveiller les pics de demandes (DHCP starvation) : alerter au-delà de 80 % du pool
Mettre en place une réplication DHCP HA pour éviter le SPOF
Restreindre l'accès SSH/RDP à la machine hôte (bastion ou jump host)

Audit obligatoire : toute modification de scope ou de réservation doit être tracée. Sous Windows, activez l'audit logging DHCP (%windir%\System32\dhcp\). Sous Linux, syslog vers un SIEM (Splunk, Wazuh, Graylog).

9. Dépannage : clients qui ne reçoivent pas d'IP

Vérifier la connectivité L2 et le VLAN d'accès
Capturer le trafic UDP 67/68 avec tcpdump -i eth0 port 67 or port 68
Examiner les journaux serveur : journalctl -u isc-dhcp-server -e
Sur les routeurs intermédiaires, contrôler la commande ip helper-address
Vérifier la saturation du pool (show ip dhcp pool côté routeur Cisco, ou cat /var/lib/dhcp/dhcpd.leases | grep "binding state active" | wc -l)
Tester avec un client de référence (laptop Linux, dhclient -v eth0)

10. Aller plus loin

La maîtrise de DHCP est un prérequis solide pour de nombreuses certifications. Pour la pratique côté Linux et sysadmin, suivez notre parcours Linux. Pour le côté réseau et les attaques L2 associées, consultez notre préparation Cisco Réseaux. Pour rappel des fondamentaux et lexique, la fiche glossaire DHCP reste votre point de référence.

DHCP est testé en profondeur dans plusieurs certifications de référence : Cisco CCNA 200-301, CompTIA Network+, et les programmes Aruba (voir notre fiche éditeur Aruba HPE).

11. Surveillance et observabilité d'un serveur DHCP

Un serveur DHCP en production doit être surveillé en continu. Voici les indicateurs (SLI) à instrumenter :

Taux d'occupation du pool : alerter au-dessus de 80 % (saturation imminente)
Nombre de DHCPDISCOVER reçus par minute : pic anormal = potentiel DHCP starvation
Nombre de DHCPNAK envoyés : indique un mauvais scope ou un conflit
Disponibilité du démon (port UDP/67 ouvert)
Latence de réponse : temps entre Discover et Offer (idéal < 50 ms)
État du failover/HA : communication avec le peer

Outils recommandés : Prometheus + node_exporter + dhcpd_exporter côté Linux, SCOM ou Azure Monitor + AMA agent côté Windows, ou bien une supervision centralisée par Zabbix / Centreon avec scripts custom. Pour Kea, le module REST natif facilite l'intégration directe.

12. Sauvegarde et reprise d'activité

Les éléments à sauvegarder pour un serveur DHCP :

Linux (ISC DHCP) : /etc/dhcp/dhcpd.conf et /var/lib/dhcp/dhcpd.leases
Linux (Kea) : /etc/kea/*.conf + base MySQL/PostgreSQL des baux
Linux (dnsmasq) : /etc/dnsmasq.d/*.conf et /var/lib/misc/dnsmasq.leases
Windows : %windir%\System32\dhcp\backup\ (sauvegarde automatique toutes les heures par défaut, configurable via BackupInterval)

Sous Windows, l'export complet en PowerShell :

Export-DhcpServer -ComputerName srv-dhcp01 -File C:\backup\dhcp-export.xml -Leases -Force
# Restauration vers un autre serveur
Import-DhcpServer -ComputerName srv-dhcp02 -File C:\backup\dhcp-export.xml -BackupPath C:\backup\dhcp -Leases -Force

13. Cas particulier : PXE boot et provisionnement automatisé

Pour booter des postes ou serveurs en PXE (Preboot Execution Environment), le serveur DHCP doit fournir l'option 66 (TFTP server name) et 67 (Boot file name). Avec ISC DHCP :

subnet 192.168.10.0 netmask 255.255.255.0 {
  range 192.168.10.50 192.168.10.200;
  next-server 192.168.10.5;          # serveur TFTP
  filename "pxelinux.0";              # bootloader

  if option arch = 00:07 or option arch = 00:09 {
    filename "BOOTX64.EFI";           # client UEFI x64
  }
}

Cette technique est utilisée par FOG Project, Cobbler, MAAS (Canonical) ou SCCM/MECM côté Microsoft pour déployer en masse des postes Windows ou Linux.

Conclusion

Que vous choisissiez ISC DHCP, Kea, dnsmasq ou Windows Server, la logique reste identique : un scope, des options, des réservations, et une stratégie de haute disponibilité. La grande tendance 2026 est la migration ISC DHCP → Kea (avec backend MySQL/PostgreSQL et API REST), ainsi que l'intégration aux solutions DDI (Infoblox, EfficientIP, Men&Mice) qui mutualisent DNS, DHCP et IPAM dans une seule pile. Maîtriser ces produits est aujourd'hui un atout différenciant sur le marché des administrateurs réseau et systèmes.

Pratiquez avec de vraies questions d'examen

Certifexpress propose des examens blancs gratuits avec corrections détaillées.

Voir les examens →

← Retour au blog