[AD DS] Pré requis pour les contrôleurs de domaine

Au niveau de l'édition de Windows Serveur 2016 et supérieur, vous pouvez, utiliser une version standard ou entreprise. Nous ne donnerons pas plus de détail sur la version Essentiel qui est très limitée.

Avec Windows Serveur 2012 la nouveauté était la disparition des versions intermédiaires comme Enterprise qui existait sur Windows Serveur 2008. La version Standard et Datacenter ne se différenciaient que par la limite de droits à la virtualisation. Sur Windows Server 2016, certaines fonctionnalités comme « Storage Space Direct » ne sont disponibles que dans l'édition Datacenter.

A partir de Windows Server 2016 la méthode de calcul des licences n'est plus le processeur physique mais le nombre de cœur. Chaque licence couvre 2 cœurs et il faut un minimum de 8*2 cœurs pour un serveur.

Je vous suggère le lien suivant :l

https://www.microsoft.com/fr-fr/cloud-platform/windows-server-pricing

 

Les contrôleurs de domaine Active Directory nécessitent que peu de ressources en comparaison d'autres services comme Microsoft Exchange ou SQL serveur. Les recommandations pour la version de l'OS sont souvent suffisantes. Néanmoins les valeurs minimales présentées dans les prérequis du Windows 2016 sont vraiment justes :

https://docs.microsoft.com/en-us/windows-server/get-started/system-requirements

Un serveur avec 2 processeurs ou 2Vpcu, un mémoire de 2Go à 4 Go de RAM et 60 Go de disque est suffisant pour ce type d'usage. Si vous installez d'autres éléments comme un antivirus par exemple il faudra tenir compte des préconisations de ces éléments.

Si vous disposez d'une forêt avec plusieurs domaines il est recommandé de mettre un peu plus de mémoire pour le rôle de catalogue global.

Il est possible de virtualiser les contrôleurs de domaines, néanmoins ce n'est pleinement supporté que depuis Windows Serveur 2012. Ceci est dû à l'utilisation de clichés instantanés (Snapshot) » au niveau de l'Hyperviseur. Le retour en arrière d'un contrôleur de domaine avant Windows Serveur 2012 crée un problème de réplication (USNRollback).

A partir de Windows 2012 un Contrôleur de Domaine est en mesure de détecter un retour en arrière et peut en informer les autres afin de rattraper un retard. L'utilisation de cette technologie n'est pas une méthode de restauration d'objets Active Directory. Il existe d'autres techniques pour la restauration d'objets comme la corbeille Active Directory. L'Hyperviseur doit être compatible avec l'identifiant de génération de machines virtuelles.

 

Il est recommandé de conserver un contrôleur de domaine physique ce qui facilitera le démarrage de l'Hyperviseur intégré à l'AD (surtout avec du cluster) et conservera au moins un DC intègre. Néanmoins les services de cluster ont été améliorés avec Windows 2016 et certains problèmes présents avec Windows Server 2012 sont maintenant gérés.

De plus Microsoft Hyper-V avec les machines virtuelles de génération 1 utilisent des disques virtuels IDE, il est recommandé d'ajouter un 2ème disque en SCSI pour héberger l'annuaire Active Directory. Le problème est lié au fait qu'Active Directory impose de désactiver le cache en écriture sur le disque où se trouve l'annuaire. Il est donc préférable d'utiliser des disques SCSI qui fournit cette option dans le protocole. Vous pouvez consulter l'extrait suivant qui vous donneront plus d'informations sur ce point :

http://technet.microsoft.com/enus/library/virtual_active_directory_domain_controller_virtualization_Hype r-V(v=ws.10).aspx#usn_and_usn_rollback

Il est également important de ne pas synchroniser les horloges des machines virtuelles sur l'hôte. Active Directory utilise ses propres mécanismes de synchronisation d'horloge via l'émulateur PDC du domaine racine. Dans un domaine Active Directory la synchronisation des horloges entre les postes clients et les contrôleurs de domaines est importante pour garantir le bon déroulement des processus d'authentification.

Lors de l'installation d'un contrôleur de domaine dans un environnement existant ou dans une nouvelle forêt vous devez disposer de droits spécifiques en fonction de votre déploiement. Le tableau suivant, décrit les droits minimums requis pour effectuer l'opération.

Que voulez-vous faire ?

Vous devez utiliser :

Installer une nouvelle forêt AD.

Un compte qui dispose du droit administrateur local sur le futur contrôleur de domaine.

Installer un nouveau domaine dans une forêt existante.

Un compte membre du groupe administrateurs de l'entreprise.

La version du schéma doit correspondre à la version du système du nouveau serveur, sinon il faut mettre à jour le schéma. La mise à jour est automatique (ADPrep) depuis Windows Serveur 2012, mais vous devez utiliser un compte disposant des droits sur le schéma.

Installer un contrôleur de domaine supplémentaire dans un domaine existant.

Un compte administrateur du domaine, si la version du schéma de l'AD existant correspond à la version de l'OS du serveur. Sinon vous devez mettre à jour le schéma.

Mettre à jour le schéma dans un domaine existant (ADPrep / ForestPrep )

Un compte membre du groupe « administrateurs du schéma ».

Préparer les domaines pour une version plus récente (ADPrep / DomainPrep ou ADPrep / DomainPrep /GPPPrep)

Un compte administrateur du domaine.

Préparer l'ajout un contrôleur de domaine en lecture seul

( ADPrep / rodcprep )

Vous devez utiliser un compte membre du groupe « administrateurs de l'entreprise ».

 

Theme: 

Systeme: 

Annee: 

Type: