[AD DS] Installation d’un contrôleur de domaine supplémentaire

Comme pour l'installation du premier contrôleur de domaine nous commençons par la configuration des paramètres réseaux. Il faudra en plus de l'adresse IP fixe, mettre comme DNS primaire un serveur qui dispose de la zone du domaine et de la forêt, comme par exemple le premier contrôleur de domaine que nous venons d'installer. En général il s'agit d'un contrôleur de domaine qui dispose des services DNS et qui est déjà opérationnel. Après la configuration du réseau nous renommons le serveur et l'ajoutons comme membre du domaine.

Pour ajouter un ordinateur client ou un serveur comme membre du domaine vous devez ouvrir les propriétés systèmes. A droite du « Nom de l'ordinateur », cliquez sur « Modifier les paramètres ». Dans « Nom de l'ordinateur », indiquez le nom de votre futur contrôleur de domaine, puis cochez « Membre d'un domaine » et indiquez le nom de votre domaine.

Vous devez renseigner un compte ayant le droit d'ajouter des postes au domaine. L'administrateur du domaine dispose de ce droit par défaut.

Le plus simple est d'utiliser le compte administrateur du domaine. Une fois le message de bienvenue apparu, vous devez redémarrer le serveur.

Après le redémarrage, ouvrez la session avec le compte administrateur du domaine.

La majorité des erreurs qui surviennent lors de l'intégration d'une machine comme membre du domaine provient de problème DNS ou d'un décalage entre la date et l'heure (attention également au fuseau horaire, les postes se basent tous sur l'heure GMT pour communiquer).

 

Vérifiez qu'il n'y a pas de serveur « ::1 » dans les paramètres DNS de IPV6. IPv6 étant prioritaire sur IPv4, lorsque vous ajouterez ce serveur en tant que contrôleur de domaine avec le rôle DNS celui-ci interrogera d'abord le serveur DNS configuré dans IPV6 et donc avec l'adresse « ::1 » il s'interrogera lui-même, sauf que la zone étant intégré AD n'est pas prête tant que la réplication initiale n'a pas lieu. Et pour que la réplication initiale se fasse il faut la résolution DNS.

 

Il n'est pas recommandé de désactiver IPv6. Si vous devez tout de même le faire suivez la procédure : https://support.microsoft.com/fr-fr/help/929852/how-to-disable-ipv6-or-itscomponents-in-windows

 

 

Vous pouvez ensuite ajouter le rôle « Active Directory Domain Services » soit par l'assistant « ajout ou suppression de rôle » comme nous l'avions décrit pour le premier contrôleur de domaine soit avec la commande PowerShell.

Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools

Une fois le rôle ajouté il faut exécuter l'assistant de configuration des services de domaine et sélectionner l'option « ajouter un contrôleur de domaine à un domaine existant ».

Dans les options du contrôleur de domaine il est préférable de laisser l'option « serveur DNS » et « catalogue global » dans le cas de forêt avec un seul domaine. Si vous avez plusieurs domaines dans la même forêt je vous conseille de lire le chapitre sur le placement des catalogues globaux. Il faut également renseigner le mot de passe de restauration d'annuaire. Puis cliquez sur « suivant ».

Sur la page « options DNS » cliquez sur « suivant ». Dans les options supplémentaires il est préférable d'utiliser comme source un contrôleur de domaine sur le même site. Si le contrôleur de domaine est le premier du site distant vous pouvez soit utiliser un DC d'un autre site soit réaliser une installation à partir d'un support (IFM : Install From Media) que nous détaillerons au chapitre suivant. Une fois le serveur sélectionné, cliquez sur « suivant ».

 

Dans la fenêtre « chemin d'accès » modifier le chemin du dossier contenant l'annuaire, les journaux et « SYSVOL » sur le lecteur « d : » comme pour le premier contrôleur de domaine.

Sur les autres pages cliquez sur « suivant » jusqu'à « installer ». Après l'exécution de l'assistant de configuration le serveur redémarre automatiquement. Vous pouvez également ajouter un contrôleur de domaine supplémentaire à l'aide de la commande PowerShell suivante en remplaçant le nom du domaine.

Import-Module ADDSDeployment

Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false `

-CriticalReplicationOnly:$false -DatabasePath "D:\NTDS" -DomainName "htrab.lan" `

-InstallDns:$true -LogPath "D:\NTDS" -NoRebootOnCompletion:$false `

-SiteName "Default-First-Site-Name" -SysvolPath "D:\SYSVOL" -Force:$true

 

Comme pour le premier contrôleur de domaine vous pouvez consulter le journal de l'assistant de configuration « dcpromo » dans le dossier « c:\windows\debug ».

Dès lors que vous ajoutez un 2ème contrôleur de domaine les opérations de contrôle sont un peu plus complexes. En effet il vous faudra vérifier l'état de santé de votre serveur à l'aide de « DCDiag », la réplication de l'annuaire avec « RepAdmin » et la réplication des stratégies de groupe. Le chapitre consacré à la maintenance Active Directory reprendra plus en détail ce type d'opération.

Une fois l'installation terminée il est utile de mettre à jour les configurations réseaux de nos DNS afin d'assurer la disponibilité. Une possibilité est de mettre sur les contrôleurs de domaine l'adresse d'un autre DC comme DNS primaire et son adresse en tant que DNS secondaire ou l'adresse de LoopBack (127.0.0.1).

Theme: 

Systeme: 

Annee: 

Type: