Nous allons dans ce chapitre installé le premier contrôleur de domaine de notre nouvelle forêt. Le contrôleur de domaine sera virtualisé dans un environnement Hyper-V. La machine virtuelle aura 2 processeurs virtuels et 2 Go de RAM ce qui est suffisant pour la présentation.
La première étape consiste à installer le système d'exploitation, à configurer les disques.
L'adresse IP des contrôleurs de domaines ne doit pas changer pour permettre au client de localiser les services sur le réseau. Il est fortement recommandé de mettre une adresse IP fixe.
Au niveau des serveurs DNS, vous pouvez utiliser l'adresse de loopback (127.0.0.1) ou mettre sa propre adresse IP. N'utilisez pas l'adresse DNS de votre fournisseur d'accès internet ou d'un autre serveur DNS sur internet. Pour la partie Internet nous verrons comment configurer les redirecteurs un peu plus loin.
La résolution DNS est un service critique dans un domaine car il permet de localiser les services et les ressources de votre environnement. Il est préférable d'utiliser des zones DNS intégrées AD et gérées par vos contrôleurs de domaines. Il est indispensable que l'ensemble des postes du domaine utilisent ces serveurs DNS et non un serveur DNS sur internet. |
Dans notre exemple le contrôleur de domaine aura également le rôle de serveur DNS et comme il n'y en a pas encore pour le nom de domaine que nous allons créer, nous pouvons mettre son IP en DNS primaire, même si à cette étape il ne remplit pas encore le rôle.
Renommer votre serveur avec le nom que vous avez défini lors de la préparation de votre déploiement.
Comme il s'agit d'un environnement virtuel sur Hyper-V avec des disques IDE utilisé par les machines virtuelles de génération1, nous avons ajouté un disque « D : » en SCSI pour stocker l'annuaire et les stratégies de groupe. Le disque doit être formaté en NTFS.
L'installation d'un nouveau contrôleur se fait en 2 étapes. La première consiste à installer les binaires d'Active Directory donc les consoles d'administrations et les outils. Cette opération n'existe que depuis Windows 2008.
L'étape d'installation des binaires n'existait pas de Windows 2000 à Windows 2003R2, elle n'était pas nécessaire. Néanmoins il fallait installer certains outils à l'aide des Kit de ressource et de support de Windows serveur. |
La deuxième étape est la configuration d'Active Directory. Depuis Windows 2012 il faut utiliser l'assistant de configuration des services de domaines ou PowerShell, avant de Windows 2000 à 2008 R2, il s'agissait de l'outil « dcpromo ».
Sur votre serveur Windows 2012 vous pouvez ajouter le rôle Active Directory depuis le gestionnaire de serveur, en passant par « Gérer » puis « Ajouter des rôles et fonctionnalités ».
Sur la première page de l'assistant, intitulé « avant de commencer », cliquez sur « suivant ».
Sur la page suivante « type d'installation » choisissez « Installation basée sur un rôle ou une fonctionnalité ».
Dans la page « Rôles de serveurs », sélectionner « services ADDS ».
Une fenêtre vous propose les fonctionnalités utiles comme les outils d'administration de serveur distant contenant les consoles Active Directory. En bas de la page cliquez sur « Ajouter des fonctionnalités ». Puis cliquez sur « suivant » pour valider les choix sur les rôles de serveur.
Dans la page « fonctionnalités », les options sont déjà sélectionnées. Il suffit de faire suivant.
Sur la page « AD DS » cliquez sur « suivant » et sur la dernière page, cliquez sur « installer ».
Une fois l'installation terminée cliquez sur « fermer ».
L'installation dure quelques minutes. Une fois terminé le gestionnaire de serveur de 2012 nous propose d'exécuter l'assistant de configuration des services de domaines. Si vous êtes sur une version 2008R2 ou plus ancienne encore vous devez exécuter manuellement la commande « dcpromo ».
Cliquez sur « promouvoir ce serveur en Contrôleur de Domaine » comme montré dans l'image ci-dessous.
Sélectionnez l'option « ajouter une nouvelle forêt »et indiquez le nom du domaine racine de la forêt.
Dans la partie option du contrôleur de domaine vous devez définir un mot de passe de restauration d'annuaire. Ce mot de passe est peu utilisé mais il est extrêmement important de le connaître. En effet, ce mot de passe locale au contrôleur de domaine que nous venons d'installer est utilisé lors d'opérations de dépannage ou de restauration d'objet Active Directory. Il n'est pas lié au mot de passe de l'administrateur du domaine.
L'autre point à définir, dans cette étape, est le niveau fonctionnel. Le niveau fonctionnel d'un domaine ou d'une forêt va définir les fonctionnalités Active Directory et la compatibilité avec les anciens contrôleurs de domaine.
Dans un domaine il ne peut y avoir de contrôleur de domaine dont le système d'exploitation est inférieur au niveau fonctionnel. Si votre niveau est de 2012 par exemple vous ne pourrez ajouter de contrôleur de domaine qui dispose d'un système d'exploitation Windows 2008 R2 ou plus ancien. Il est possible d'augmenter le niveau fonctionnel par la suite mais sauf de rare exception, il n'est pas possible de le baisser. |
Je vous recommande si vous n'envisagez pas d'ajouter des contrôleurs de domaines dans d'anciennes versions de Windows, de sélectionner « Windows 2016 », afin de profiter de toutes les améliorations. Une fois le niveau fonctionnel et le mot de passe de restauration défini cliquez sur « suivant ».
Le niveau minimal proposé à la création d'un nouveau domaine avec Windows Serveur 2016 est Windows Server 2008, mais le minimum requis est Windows Serveur 2003. Il est donc possible de migrer vers des contrôleurs de domaine sous Windows Server 2016 avec un niveau de forêt 2003. |
Dans la page option DNS cliquez sur « suivant » et conservez les paramètres par défaut. L'assistant de configuration installera automatiquement le service DNS. La résolution DNS est indispensable pour Active Directory. Même si techniquement il est possible d'utiliser un serveur DNS tierce, il n'est pas recommandé de le faire et cela complique l'environnement.
Le message d'avertissement ci-dessus est normal lors de la création du domaine racine. Il indique dans cet exemple que l'assistant ne peut créer une délégation pour « htrab », dans une zone DNS s'appelant « lan ». |
Dans les options supplémentaires le nom NetBIOS reprend par défaut la première partie du nom. L'option par défaut convient généralement mais il faut garder en mémoire qu'il ne peut excéder 15 caractères. Une fois renseignez cliquez sur « suivant ».
Dans la page chemin d'accès nous allons modifier le chemin par défaut pour utiliser le lecteur « D ». Nous sommes dans un environnement Hyper-V et le disque « c : » est un disque IDE. Nous utilisons donc « D:\NTDS » pour l'annuaire et les journaux et « D:\SYSVOL » pour les scripts et stratégies de groupe.
Dans la page « examiner les options, cliquez sur « suivant ».
Dans « vérification de la configuration requise » cliquez sur « installer ».
Une fois l'assistant de configuration des services de domaines terminés, vous pouvez consulter le résultat de l'installation dans le journal « dcpromo » sous le dossier « c:\windows\debug ».
En général lors de l'installation d'un contrôleur de domaine il faut surveiller l'état du serveur. Parmi les premiers contrôles un « Net Share » permet de s'assurer rapidement de la présence des partages « Netlogon » et « SYSVOL ».
Sinon l'utilitaire « DCDiag » permet de faire un diagnostic plus complet. Attention, lors de la promotion d'un contrôleur de domaine, des erreurs sans gravités peuvent apparaître dans l'observateur d'événement juste après le premier démarrage. Il est important de vérifier son état 24 heures après (DCDiag analyse reprends les erreurs sur 24 heures).
Il est possible de refaire les étapes d'installations des services Active Directory et la configuration avec les commandes PowerShell suivantes :
Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools
Import-Module ADDSDeployment
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath "D:\NTDS" `
-DomainMode " WinThreshold" -DomainName "htrab.lan" -DomainNetbiosName "HTRAB" `
-ForestMode " WinThreshold" -InstallDns:$true -LogPath "D:\NTDS" `
-SysvolPath "D:\SYSVOL" -Force:$true
Les valeurs possibles pour « DomainMode » ou « ForestMode » sont :
-
Windows Server 2003: 2 or Win2003
-
Windows Server 2008: 3 or Win2008
-
Windows Server 2008 R2: 4 or Win2008R2
-
Windows Server 2012: 5 or Win2012
-
Windows Server 2012 R2: 6 or Win2012R2
-
Windows Server 2016: 7 or WinThreshold
Vous pouvez consulter l'article suivant pour plus d'informations :
https://docs.microsoft.com/en-us/powershell/module/addsdeployment/install-addsforest?view=win10-ps