Serveur PXE IPv6 sous Windows Server 2022 : guide complet pas‑à‑pas

Combinez désormais la puissance de Windows Server 2022 et la flexibilité d’IPv6 : ce guide pas‑à‑pas vous explique comment étendre votre infrastructure PXE existante afin de permettre un démarrage réseau fiable en double‑stack IPv4 / IPv6, tout en maximisant la sécurité, la vitesse et l’automatisation.

Sommaire

Pré‑requis techniques

  • Un contrôleur de domaine Windows Server 2016 ou ultérieur (schéma AD à jour).
  • Un Windows Server 2022 déjà configuré pour le service de déploiement Windows (WDS) et le rôle DHCPv4.
  • Routeur/commutateur de niveau 3 capable de véhiculer le trafic multicast FF02::1:2 et de relayer DHCPv6 (si le serveur n’est pas dans le même segment).
  • Clients UEFI compatibles PXE IPv6 (option Network Stack IPv6 activée dans le microprogramme).
  • Domaine IPv6 routé (par ex. 2001:db8:100::/56) et plan d’adressage documenté.

Pourquoi basculer vers le démarrage PXE IPv6 ?

Le passage à IPv6 est inéluctable : épuisement des IPv4 publiques, segmentation réseau plus fine et simplicité du routage dans les grands campus. Activer PXE IPv6 vous permet :

  • d’amorcer des terminaux dans des VLAN isolés sans helper IPv4 ;
  • d’utiliser les services QoS et le routage hiérarchique spécifiques à IPv6 ;
  • de préparer l’arrivée d’UEFI HTTPBoot (Windows 11, HPE ILO 5, Dell iDRAC 10).

Vue d’ensemble du processus

Contrairement à IPv4, où les options 60, 66 et 67 du protocole DHCP véhiculent respectivement la signature PXE, l’adresse du serveur TFTP et le nom du fichier de démarrage, DHCPv6 se contente d’une unique option 59 (Boot File URL). C’est donc elle que le serveur doit transmettre pour indiquer au client où récupérer le chargeur EFI ou le WIM.

Étapes de déploiement détaillées

ÉtapeAction essentielleDétails et bonnes pratiques
1Activer et configurer DHCPv6Ouvrez la console DHCP, faites‑un clic droit sur le serveur → Nouvelle étendue IPv6. Type d’état : Stateful (obligatoire pour PXE). Plage : 2001:db8:100:10::100 – 2001:db8:100:10::1fff. Passerelle : 2001:db8:100:10::1. DNS : serveurs internes IPv6. Assurez‑vous que le routeur relaie les messages SOLICIT/ADVERTISE vers le serveur DHCPv6 ou placez le serveur dans le même sous‑réseau.
2Définir l’option 59 (Boot File URL)Dans l’étendue IPv6 → Configurer les options → cochez 00059 Bootfile URL et saisissez : tftp://[2001:db8:100:1::10]/boot/x64/wdsmgfw.efi Astuce performance : si le firmware du client supporte HTTPBoot, remplacez TFTP par https://[2001:db8:100:1::10]/wim/boot.wim. Le débit grimpe souvent de 50 %. Pensez à installer un certificat TLS dans IIS.
3Adapter la configuration WDSDans Services de déploiement Windows → Propriétés → onglet DHCP, décochez Configurer l’option DHCP 60 (réservé à IPv4). Onglet Réseau : vérifiez que l’interface IPv6 possède 2001:db8:100:1::10. Commande de contrôle :
wdsutil /get-server /show:transportserver Cherchez la ligne Boundary: 2001:db8:100:1::/64.
4Ouvrir les ports nécessairesExécutez dans PowerShell (administrateur) : New-NetFirewallRule -DisplayName "WDS TFTP IPv6" -Direction Inbound -Protocol UDP -LocalPort 69 -Action Allow New-NetFirewallRule -DisplayName "WDS HTTPBoot" -Direction Inbound -Protocol TCP -LocalPort 80,443 -Action Allow New-NetFirewallRule -DisplayName "WDS RPC Dyn" -Direction Inbound -Protocol TCP -LocalPort 49152-65535 -Action Allow N’oubliez pas de propager ces règles dans vos GPO si le serveur est protégé par une politique centralisée.
5Mettre à jour le micrologiciel clientSur les PC UEFI, activez IPv6 PXE Boot. Les versions antérieures à 2018 ne le proposent pas toujours. Reportez‑vous au guide constructeur : Dell BIOS 1.2.0 ou ultérieur : menu Integrated NIC → Enabled w/ PXE (IPv4+IPv6). HPE BIOS/UEFI P89 v2.72+ : System Configuration → USB/NIC Boot Options.
6Tester et diagnostiquerLancez Wireshark sur le serveur, filtrez dhcpv6 || icmpv6. Au moment du boot, vous devez observer :
SOLICIT → ADVERTISE → REQUEST → REPLY contenant l’option 59. Côté serveur, consultez %windir%\tracing\wdsserver.log ainsi que le journal Microsoft‑Windows‑Deployment‑Services‑Server. Pas de flux TFTP/HTTP observé ? Vérifiez le MTU IPv6 (surtout en VLAN 802.1Q) ; un Fragment Header bloqué provoque l’échec.

Choix du fichier de démarrage

Windows Server stocke les chargeurs dans RemoteInstall\Boot :

  • UEFI 64 bits : boot\x64\wdsmgfw.efi (supporte WIM et HTTPBoot).
  • UEFI ARM64 : boot\arm64\wdsmgfw.efi.
  • Bios legacy x86 (rare en IPv6) : boot\x86\pxeboot.n12.

Pour un scénario totalement sans contact (Zero Touch Provisioning), combinez wdsmgfw.efi avec un fichier de réponses unattend.xml placé dans le même répertoire ; le chargeur détecte automatiquement unattend\.

Configurer UEFI HTTPBoot sur IIS

  1. Ajoutez le rôle Services Internet (IIS) sur le même serveur ou un serveur dédié.
  2. Créez un site PXE-HTTPBoot lié à l’adresse IPv6 [2001:db8:100:1::10].
  3. Dans Répertoire virtuel, pointez vers RemoteInstall\Boot.
  4. Activez la liaison https avec un certificat interne (PXE-CA ou Let’s Encrypt).
  5. Mettez à jour l’option 59 avec l’URL https://[2001:db8:100:1::10]/boot/x64/wdsmgfw.efi.

Lors de la phase Contacting Server…, le client UEFI télécharge alors le fichier via TLS 1.2, ce qui protège le démarrage contre une attaque de type MitM.

Sécuriser l’environnement PXE

  • Désactivez l’anonymat TFTP : dans le rôle WDS, cochez Exiger une autorisation DHCP  de la machine ; seuls les équipements possédant un bail valide pourront télécharger wdsmgfw.efi.
  • Active Directory : placez les comptes d’ordinateurs dans une OU spécifique, appliquez une GPO Deny Log on Locally jusqu’à ce que le poste soit pleinement déployé.
  • Activez le journal Audit Policy → Object Access → File System sur RemoteInstall pour tracer l’accès aux WIM.

Troubleshooting avancé

Symptôme : “PXE‑E18: Server response timeout”

Vérifiez que le paquet REPLY DHCPv6 parvient au client. S’il est encapsulé via un relay‑agent, certains firmwares ne gèrent pas les options Relay‑msg supérieures à 1 024 octets. Réduisez la longueur du FQDN dans l’option 59 (wdsmgfw.efi au lieu de boot.wim).

Symptôme : bouclage infini “Retrieving file …”

Le serveur TFTP répond, mais le fichier ne progresse pas. C’est souvent :

  • un MTU incohérent : forcez 1 500 octets end‑to‑end ;
  • une fragmentation ICMPv6 bloquée par un pare‑feu intermédiaire ;
  • le paramètre TftpBlockSize trop élevé dans la clé HKLM\…\WDS → ramenez‑le à 1 456.

Symptôme : le client télécharge bien l’EFI mais pas le WIM

Assurez‑vous que le serveur WDS dispose de la règle RPC dynamique ouverte (49152‑65535). Sans elle, le service de transfert BITS ne négocie pas la session TFTP2.

Automatisation avec Microsoft MDT

Si vous gérez des centaines d’images, ajoutez Microsoft Deployment Toolkit (MDT) :

  1. Installez les ADK + WinPE pour Windows 11.
  2. Créer un Deployment Share : D:\DeploymentShare.
  3. Exécutez New-BootImage -IPv6Support -HTTPBoot (cmdlet fournie par MDT PowerShell).
  4. Importez le WIM généré dans WDS ; référencez‑le dans l’option 59.

Résultat : un catalogue d’OS (LiteTouch.vbs) que l’administrateur pilote via un Task Sequence 100 % sans contact.

Alternatives modernes : iPXE

Pour les environnements hybrides, iPXE – chargeur open‑source à flasher dans la ROM NIC ou à chaîner via undionly.kpxe – offre :

  • Scripts .ipxe pour choisir dynamiquement l’OS selon le numéro de série (${serial}).
  • Téléchargement HTTPS, iSCSI, NFS et même FCoE.
  • Authentification EAP intégrée.

iPXE peut consommer l’option 59 ou extraire un script via HTTP, vous laissant la main sur la logique de déploiement.

Questions fréquentes (FAQ)

IPv6 est‑il obligatoire sur l’ensemble du réseau ?

Seule la chaîne entre le client PXE et le serveur WDS doit transporter IPv6. Les serveurs AD/DNS peuvent rester en double‑stack. Puis‑je utiliser SLAAC (stateless) au lieu de DHCPv6 ?

Non. PXE IPv6 requiert absolument l’option 59 fournie par DHCPv6 stateful. Quid des serveurs multi‑sites ?

Configurez plusieurs étendues DHCPv6 avec des préfixes différents et utilisez le Load Balancing / Failover DHCP Hot Standby. WDS sélectionnera l’interface correspondant à l’étendue.

Bonnes pratiques de performance

  • Dédier un VLAN PXE pour éviter la saturation IGMPv3 sur les switch ;
  • TFTP WindowSize : laissez la valeur par défaut (8) ; la surdimensionner cause du packet‑loss sur les liaisons 1 Gb/s surchargées ;
  • HTTPBoot : le couple TLS + HTTP/2 double souvent la bande passante réelle grâce au multiplexing ;
  • Offload NIC : désactivez Large Send Offload v2 pour éviter la fragmentation VLAN 802.1Q/IPv6.

Résumé & résultats obtenus

En appliquant principalement l’ajout de l’option 59, en vérifiant l’écoute IPv6 du service WDS et en adaptant les ports pare‑feu, vos clients démarrent désormais indifféremment en IPv4 ou IPv6. Vous bénéficiez d’une infrastructure prête pour les réseaux de nouvelle génération, plus performante grâce au HTTPBoot et mieux sécurisée grâce au TLS. Les équipes de déploiement peuvent enchaîner les séquences MDT ou iPXE, tandis que les utilisateurs profitent d’un provisioning plus rapide et plus fiable.


Notes de bas de page

  1. Les préfixes IPv6 utilisés ici (2001:db8::/32) sont réservés à la documentation selon la RFC 3849.
  2. Le Windows Deployment Services Transport Server délègue les blocs WIM via TFTP ou HTTP, mais négocie le canal RPC dynamique avec l’agent BITS du client.
Sommaire