installation d active directory sous windows server 2008 r2 (1)

Installation d'Active Directorysous Windows Server 2008 R2

par Michal Todorovic (Autres articles) (Blog)

Date de publication : 3 mai 2010

Dernire mise jour :

Cet article va vous permettre d'acqurir des bases d'Active Directory, notamment surl'aspect du nommage et donc du DNS.

Installation d'Active Directory sous Windows Server 2008 R2 par Michal Todorovic (Autres articles) (Blog)

- 2 -Copyright 2010 - Michal Todorovic. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes,documents, images, etc sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' 3 ans de prison et jusqu' 300 000 Ede dommages et intrts. Droits de diffusion permanents accords developpez LLC.

http://mtodorovic.developpez.com/tutoriels/windows/installation-active-directory-sous-windows-server-2008-r2/

I - Introduction..............................................................................................................................................................3II - Les bases...............................................................................................................................................................3

II-A - Les composants............................................................................................................................................ 3II-B - Sites et domaines......................................................................................................................................... 3II-C - Arborescences et forts................................................................................................................................5II-D - Niveau fonctionnel de fort et de domaine : diffrentes fonctionnalits....................................................... 5II-E - Utilisateurs et ordinateurs............................................................................................................................. 6II-F - Groupes......................................................................................................................................................... 6II-G - RODC............................................................................................................................................................7II-H - DNS...............................................................................................................................................................7

III - Choisir correctement le nom de votre Active Directory........................................................................................ 7IV - Installation d'Active Directory................................................................................................................................9

IV-A - Installation du rle....................................................................................................................................... 9IV-B - Assistant Installation des services de domaine Active Directory (dcpromo.exe).......................................16

V - Configuration sommaire.......................................................................................................................................26V-A - Configuration du site...................................................................................................................................26V-B - Suffixe UPN................................................................................................................................................ 29V-C - Configuration DNS......................................................................................................................................29

V-C-1 - Zone de recherche inverse..............................................................................................................29V-C-2 - Zone de recherche directe publique usage priv...........................................................................34V-C-3 - Redirecteurs....................................................................................................................................... 37

V-D - Rglage de l'heure via NTP.......................................................................................................................37VI - Conclusion.......................................................................................................................................................... 37VII - Remerciements.................................................................................................................................................. 37




I - Introduction

Active Directory est un annuaire d'entreprise qui existe depuis 1996 et est utilisable depuis Windows 2000 ServerEdition sorti en 1999. Il s'agit donc d'un produit prouv par les annes. Cet annuaire d'entreprise vient enremplacement des bases SAM (Security Account Manager) qui taient exploites avec NT4 et les groupes de travail.Ces bases prsentaient notamment des limitations d'administration. L'arrive d'Active Directory a permis de passerdes groupes de travail aux domaines Active Directory et ainsi de centraliser toute l'administration et la gestiondes droits dans un annuaire de type LDAP. Tout logiciel utilisant LDAP sera capable de communiquer avec ActiveDirectory : on peut, par exemple, grer (partiellement) des postes Linux partir d'un Active Directory.

La conception de votre Active Directory est trs importante. Toute erreur de conception pourra avoir desconsquences plus ou moins importantes selon l'volution des besoins de votre entreprise. Par exemple, un mauvaischoix de nom pour votre Active Directory peut amener jusqu' une migration force. Je vais exposer les bases d'uneconception prenne.

Il est ncessaire d'avoir des connaissances dans les rseaux IP (adressage, masque,CIDR), de savoir ce qu'est un port TCP ou encore de connaitre de manire globale leprincipe du DNS.

II - Les bases

II-A - Les composants

Il existe diffrents composants dans Active Directory. A partir de Windows 2008, des termes sont apparus pour lesdsigner.

ADDS : Active Directory Domain Services. Il s'agit du composant principal qui va grer les utilisateurs,ordinateurs, stratgies de groupe, etc.

ADCS : Active Directory Certificate Services. Il s'agit du composant d'autorit de certification. Il va vouspermettre de gnrer des certificats de scurit pour vos utilisateurs et votre rseau. J'ai crit plusieursarticles sur ce sujet, le principal tant Configuration d'une infrastructure cls publiques 2 niveauxsous Windows 2008 (R2).

ADFS : Active Directory Federation Services. Il s'agit du composant permettant la fdration de services entrediffrents environnements Active Directory. Cela va vous permettre d'tablir des relations de confiance avecdes partenaires externes votre entreprise (fournisseurs, fabricants, etc.) afin de leur donner un accs certains de vos services internes de manire contrle et scurise.

ADLDS : Active Directory Lightweight Directory Services (anciennement ADAM). C'est ADDS mais allg :seul l'annuaire est disponible. Cela est utile dans les cas o vous avez besoin d'un accs des donnesde l'Active Directory sans avoir une autorisation de lecture totale dessus. C'est utilis notamment dans lapasserelle d'hygine d'Exchange (Edge). ADLDS contiendra une copie partielle de votre Active Directory.Attention, ADDS n'utilise pas ADLDS, c'est un composant part entire.

ADRMS : Active Directory Rights Management Services. Ce composant permet de grer les droits demanire pointue dans votre entreprise. Il ne s'agit pas des droits sur le fichier mais sur le contenu du fichier.Vous pouvez dire sur un document Word qu'il ne peut pas tre imprim, transfr par e-mail, etc.

Ce tutoriel traite de l'installation d'ADDS.

II-B - Sites et domaines

Dans Active Directory, il existe un certain nombre de types d'objets et de concepts que je vais expliquer ici.Commenons par les sites et domaines.




Dans la conception d'Active Directory, Microsoft a tent d'tre le plus proche possible dela structure d'une entreprise. La structure d'une entreprise se compose en deux partiesdistinctes : physique et logique. Physique par son organisation gographique en diffrentssites et logique par sa hirarchie. Il est important de garder cela l'esprit.

Un site dsigne la combinaison d'un ou plusieurs sous-rseaux IP. Bien souvent, on attribue un sous-rseau IP un site physique d'une entreprise. Cela permet de distinguer les postes sur le rseau de l'entreprise. En crant dessites Active Directory, les ordinateurs sauront qu'ils font partie de tel ou tel site. Cela est trs important dans uneconfiguration multisites du mme domaine Active Directory. Si un contrleur de domaine fait partie du site Agenceet qu'un ordinateur du site Agence a besoin d'un accs Active Directory, alors il n'aura pas besoin de contacter lesite Siege : il ira directement voir le serveur de l'agence. Si le serveur de l'agence est en panne alors il pourra allervoir le serveur du sige en utilisant des liens WAN. Les sites sont gnralement symboliss par des ovales ou descamemberts. Voici la reprsentation des sites mentionns prcdemment. Le lien WAN n'est pas reprsent.

Reprsentation des sites

Un domaine, contrairement un site, mappe la structure logique de l'organisation. C'est--dire bien souvent lahirarchie. Le domaine n'a aucun lien avec le rseau IP : c'est un ensemble d'ordinateurs et d'utilisateurs partageantle mme annuaire. Un domaine porte un nom : nous le verrons plus loin, il est trs important de bien le choisir.L'espace de nommage est ralis grce au systme DNS. Un domaine peut avoir plusieurs sous-domaines : on creainsi une arborescence. Le sparateur est le point. Si l'on souhaite crer un sous-domaine corp dans un domaineexistant developpez.adds, alors le domaine se nommera corp.developpez.adds.

Chaque domaine doit tre gr par au moins un serveur distinct. Cela veut dire qu'unserveur Active Directory ne peut pas grer plusieurs domaines Active Directory. Si vousvoulez un domaine et un sous-domaine, il vous faudra deux serveurs Active Directorydistincts. Un domaine peut tre gr par plusieurs serveurs Active Directory : cela permetde rpartir les cinq rles FSMO (Flexible Single Master Operation).

Bien qu'il soit possible de crer plusieurs domaines et sous-domaines, il est conseill d'tre le plus possible prochede la configuration idale : une configuration mono-domaine. Il est trs simple de crer des domaines tour de bras.Cependant, crer des domaines multiplie la charge administrative par le nombre de domaines crs. La crationd'un domaine supplmentaire doit tre justifie dans la mesure o elle va fortement impacter votre charge de travail.Voici des justifications possibles :

la dlgation de l'administration d'Active Directory ne convient pas dans votre organisation (pour des raisonsprincipalement politiques) ;

la scurit des donnes de votre domaine, par exemple, lors de l'utilisation de serveurs BlackBerry ; etc.

Un domaine est gnralement reprsent par un triangle.




Reprsentation d'un domaine

Ce qu'il faut retenir, c'est qu'un domaine peut tre sur plusieurs sites mais qu'un site (au sens Active Directory) nepeut pas avoir plusieurs domaines. Un site mappe la structure physique alors que le domaine mappe la structurelogique de l'organisation.

II-C - Arborescences et forts

Une arborescence est une notion qui dcoule du systme DNS et des domaines Active Directory. Comme nousl'avons vu prcdemment, il est possible de crer des domaines dans des domaines. Cette cration se fait dansun espace de nommage contigu : le sous-domaine corp fait partie du domaine developpez.adds et portera donc lenom corp.developpez.adds. Cette notion d'arborescence est diffrente de celle de fort. Une fort peut comprendreplusieurs arborescences. La fort developpez.adds prsente ci-dessous comporte quatre arborescences :

de developpez.adds windows.developpez.adds ; de developpez.adds dev.corp.developpez.adds ; de developpez.adds corp.developpez.adds ; de corp.developpez.com dev.corp.developpez.adds.

Fort et arborescence

Les arborescences d'une mme fort peuvent partager des ressources et des fonctions administratives. Commepour les domaines, il est conseill d'tre, le plus possible dans la configuration idale, c'est--dire en mono-fort. Laconfiguration idale est donc un Active Directory mono-domaine mono-fort.

II-D - Niveau fonctionnel de fort et de domaine : diffrentes fonctionnalits

Active Directory est un produit en volution depuis sa cration. Afin de conserver des niveaux de compatibilit entreles diffrentes versions de Windows et des produits s'implantant dans Active Directory (Exchange, MOM, SCCM,etc.), il a t introduit la notion de niveau de fort et de domaine. Il existe actuellement plusieurs niveaux de fortet de domaine :

Windows 2000 mixte ; Windows 2000 natif ;




Windows 2003 ; Windows 2003 R2 ; Windows 2008 ; Windows 2008 R2.

Pour augmenter le niveau fonctionnel d'une fort, il faut que tous les domaines soient au minimum de ce niveaufonctionnel. Un niveau fonctionnel impose que tous les contrleurs de domaine soient capables de grer ce niveaufonctionnel. Par exemple, pour avoir un niveau fonctionnel Windows 2008, il faut que tous les contrleurs de domainesoient en Windows 2008. Il est possible d'avoir des contrleurs de domaine de version suprieure dans un domainede niveau infrieur : on peut avoir un niveau fonctionnel Windows 2003 avec des contrleurs de domaine Windows2003 et Windows 2008.

Je ne vais pas faire le comparatif des niveaux fonctionnels, je vous propose donc de consulter la page suivante :Prsentation des niveaux fonctionnels des services de domaine Active Directory.

Jusqu'en Windows 2008, il n'tait pas possible de baisser le niveau fonctionnel d'undomaine ou d'une fort. Depuis Windows Server 2008 R2, cela est possible. Je vous invite consulter ceci : Baisser le niveau fonctionnel d'une fort sous 2008R2. C'estmaintenant possible mais je conseille d'viter le plus possible d'utiliser cette fonctionnalit.En effet, cela peut avoir des effets de bord qui seront difficilement rcuprables.Rflchissez bien avant d'lever votre niveau fonctionnel, cela vous vitera une perte detemps considrable.

II-E - Utilisateurs et ordinateurs

Chaque utilisateur dans Active Directory est associ un objet. Cet objet contient plusieurs attributs qui dcriventl'utilisateur (nom, prnoms, login, adresse e-mail, tlphone, dpartement, etc.). Ces attributs peuvent permettre detrouver des utilisateurs dans votre domaine. Ils peuvent par exemple tre utiliss dans Exchange pour constituer deslistes dynamiques de distribution d'e-mails. Ces utilisateurs peuvent se voir attribuer des autorisations sur d'autresobjets de votre Active Directory. Lorsque vous commencerez avoir plusieurs utilisateurs, vous pourrez les grerpar groupe.

Les ordinateurs disposent galement de comptes spcifiques dans Active Directory. Ces comptes existent pour grerla scurit pour les accs certaines ressources comme les stratgies de groupe, les logins, l'accs au rseau (avec

NAP par exemple). Vous pourrez galement grer les ordinateurs par groupe.

II-F - Groupes

Il existe deux types de groupes. Le premier et le plus courant est le groupe de scurit. Ce type permet de grer lascurit pour l'accs et l'utilisation des ressources de votre rseau. Le deuxime type est le groupe de distribution.Ce type permet simplement de grer des listes de distribution d'e-mails dans un serveur de messagerie.

Pour ces groupes, il existe trois tendues :

Domaine local : vous pourrez y ajouter des comptes de n'importe quel domaine et/ou des groupes "Domainelocal" du mme domaine et/ou des groupes universels/globaux de n'importe quel domaine. Les autorisationsportent uniquement sur le domaine auquel le groupe appartient ;

Globale : vous pourrez y ajouter des comptes du domaine d'appartenance et/ou des groupes globaux dudomaine d'appartenance. Les autorisations peuvent tre accordes dans n'importe quel domaine ;

Universelle : vous pourrez y ajouter des comptes de n'importe quel domaine et/ou des groupes globaux etuniversels de n'importe quel domaine. Les autorisations pour cette tendue portent sur tout le contenu de lafort.




II-G - RODC

Il s'agit d'une nouveaut apparue avec Windows 2008. RODC signifie Read-Only Domain Controller ou Contrleurde domaine en lecture seule. Il s'agit d'un contrleur de domaine spcialement prvu pour les architectures de typeBranch Office ou rseau d'agences donc en architecture multisites. Un contrleur de domaine en lecture seule serainstall dans les agences : les seules modifications possibles seront faites par le biais du contrleur de domaineresponsable de la rplication. Ce contrleur de domaine responsable de la rplication est nomm tte de pont.L'avantage principal du RODC est qu'il ne ncessite quasiment aucune maintenance et est plus scuris qu'uncontrleur de domaine classique puisqu'il est en lecture seule. Ce type de contrleur de domaine est parfait pourles agences o il n'y a pas d'administrateur systme. Cependant, cela est problmatique pour les applications ayantbesoin d'un accs en criture sur Active Directory comme Exchange par exemple.

Je ne vais pas dvelopper la configuration d'un RODC dans ce tutoriel. Je vous propose donc la page TechnetRead-Only Domain Controller Planning and Deployment Guide.

II-H - DNS

Voici la partie la plus importante d'Active Directory. Le DNS est la base d'Active Directory : comme dans un chteaude cartes, retirez le DNS et votre architecture Active Directory s'croule. C'est grce au DNS que vos clients (postesutilisateurs ou serveurs membres du domaine) vont pouvoir trouver le ou les serveur(s) Active Directory.

Pour trouver le serveur Active Directory, les clients vont demander au DNS l'enregistrement de type SRV ayant pournom _ldap._tcp.developpez.adds (o developpez.adds est votre nom de domaine). Cet enregistrement SRV contientle nom du serveur qui possde l'annuaire ainsi que le port TCP utiliser pour accder ce serveur en LDAP. Pardfaut, ce port est le 389 pour les communications non cryptes. Une requte DNS supplmentaire sera effectuepour connaitre l'IP du serveur en question. Une fois que le client saura quel serveur contacter, il pourra avoir accs (condition d'avoir des identifiants) aux diffrentes ressources proposes grce Active Directory : partage de fichierset d'imprimantes, messagerie, etc. Il est dont vital pour votre architecture d'avoir un service DNS qui fonctionnecorrectement. Gnralement, on va utiliser le serveur DNS fourni avec Windows Server et la plupart du temps, placerle serveur DNS sur le serveur Active Directory. Il est possible d'utiliser des serveurs diffrents du type Bind9 sousLinux. Cependant, cela requiert une certaine configuration, notamment pour la rplication des informations entreserveurs : celle-ci ne sera plus gre par Active Directory mais par votre serveur DNS.

Avoir un service DNS fonctionnel est trs important mais le choix du nom de votre fort et domaine racine l'est encoreplus. Voyons comment le choisir correctement.

III - Choisir correctement le nom de votre Active Directory

Pourquoi une partie ddie au nommage de votre Active Directory ? "Mais c'est pourtant simple, je prends n'importequel nom DNS et a va marcher !". C'est vrai qu'en prenant n'importe quel nom DNS non utilis sur votre rseau, ava marcher... jusqu' une certaine limite. La limite n'est pas bien loin : ds que vous voudrez donner accs depuisInternet un service de votre entreprise, a risque de poser problme. Cela posera galement problme aux postesLinux (uniquement ceux qui fonctionnent avec mDNS) et Apple.

Le service Bonjour peut tre install sur Windows par iTunes ou encore Acrobat Reader.Cependant, le service n'est pas utilis comme client DNS principal : c'est celui de Windowsqui est toujours utilis. Sur Mac, le service Bonjour est utilis comme client DNS principald'o le problme.

Alors quelles sont les rgles respecter pour bien nommer votre domaine ?

Pour commencer, vous ne devez pas utiliser un TLD nomm .local. Ce TLD pose problme aux postes Apple cause du service Bonjour et aux postes Linux fonctionnant avec Zeroconf ou mDNS. Ce service rserve le




TLD .local la machine locale : tous les noms de domaine finissant par .local sont quivalent localhost doncaucune requte destination d'un domaine en .local ne sortira de la machine. Ainsi, un poste Apple ne pourra jamaiscontacter votre Active Directory.

Le nom de domaine choisi ne doit pas exister sur Internet : en effet, vos postes internes pourraient aller consulterles DNS d'Internet pour accder votre Active Directory. Ce n'est pas souhaitable. Vous pouvez acheter le nomde domaine pour tre certain qu'il vous appartienne. Cependant, je vous dconseille d'utiliser un nom public maisil existe deux "coles".

La premire consiste utiliser un nom de domaine public (mais que vous possdez !). Vous n'avez qu'une zone grer dans votre Active Directory pour l'accs interne de votre entreprise et une zone publique pour les services quevous pouvez proposer sur Internet comme un site web (commercial, webmail, etc.) ou d'autres services comme lamessagerie lectronique (SMTP principalement). Cette mthode est simple. Cependant, selon la dimension de votrerseau, votre zone interne sera plus ou moins remplie.

Si vous avez cinq postes et deux serveurs, la zone sera simple grer. Vous saurez quel enregistrement estpubli pour vos collaborateurs : par exemple, vous saurez que l'enregistrement webmail pointe sur votre serveur demessagerie. Vous avez galement cr cet enregistrement dans votre DNS externe pour que l'on puisse accderau webmail depuis n'importe o. Bref, c'est assez simple de s'y retrouver. La situation est diffrente quand vousavez plus de postes. La zone devient difficile grer et vous ne retrouverez pas simplement les serveurs publis.Personnellement, je n'aime pas cette mthode de nom public pour Active Directory. Je prfre la mthode suivantequi peut paraitre plus complique mais qui permet de bien diffrencier ce que l'on fait.

Cette deuxime mthode se nomme le split-dns (principe expliqu ici). Dans ce cas, on ne va pas utiliser unnom de domaine public mais un nom de domaine priv. Pour qu'il soit priv, il ne faut pas que le TLD choisi fassepartie de cette liste. Je dconseille d'utiliser des TLD courts (sur deux lettres) puisqu'ils risquent d'tre ouvertsun jour. Personnellement, j'utilise des TLD du genre ".adds" : cela n'est pas un mot, c'est assez long et relativement"insignifiant" pour qu'il soit ouvert au public un jour. Le nom de domaine doit tre le plus passe-partout possible :aucune entreprise n'est l'abri d'un rachat, d'une alliance avec une autre entreprise qui mnerait un changementde nom ou simplement d'un changement de nom pour des raisons marketing. Vous pouvez tout fait prendre le nomde votre entreprise comme nom de domaine mais en cas de changement de nom de l'entreprise, on pourra vousdemander de supprimer toute rfrence l'ancien nom (a fait partie des aspects "corporate"). C'est une oprationqui n'est pas faisable en trois minutes ou en deux clics. Cela se planifie et a prend plusieurs mois. Renseignez-vous auprs des directions pour savoir si vous tes susceptibles de changer de nom, si oui prvenez-les que aprendra plusieurs mois s'il faut changer le nom de l'AD et essayez de savoir si un nom gnrique leur convient.Par nom gnrique, j'entends un nom qui ne pourra pas changer comme la ville o est implante l'entreprise, largion, etc. C'est la situation idale. Cependant, dans le cadre d'un rachat ou d'une fusion, les politiques dans lesDSI peuvent diffrer et donc changer votre politique de nommage. Dans ce tutoriel, j'ai choisi le domaine racine defort todorovic.adds.

Je reviens rapidement sur le split-dns. J'ai install mon domaine Active Directory todorovic.adds et je possdele domaine todorovic.fr. Je veux mettre disposition des services sur Internet. Je vais prendre l'exemple d'unwebmail install dans mes locaux sur un serveur nomm exchange. Ce serveur est disponible sur Internet grce une publication dans un reverse-proxy ou simplement un PAT (dangereux). Dans mon dns externe (disponible surInternet), j'ai cr un enregistrement webmail. Je peux donc accder mon webmail via webmail.todorovic.fr. Eninterne, je souhaite accder au webmail. Je peux donc y aller avec exchange.todorovic.adds ou si un alias a t cravec webmail.todorovic.adds. J'arriverai directement sur le serveur de messagerie interne sans passer par Internet.C'est un comportement normal : il n'y a aucune raison d'aller sur Internet pour revenir en interne. Cela ajoute unecharge sur le routeur/firewall de votre entreprise alors que c'est tout fait inutile. Cependant, pour l'utilisateur, an'est pas trs pratique : il faut retenir deux adresses et utiliser la bonne selon qu'il est l'intrieur ou l'extrieur del'entreprise. On a donc cr une deuxime zone sur le dns interne nomme todorovic.fr. Dans cette zone, on a crun enregistrement webmail pointant vers le serveur de messagerie interne. Ainsi, les utilisateurs, o qu'ils soient,accderont au webmail via webmail.todorovic.fr. Ce besoin de split-dns est encore plus fort lorsque vous tes ensituation de mobilit avec Outlook Anywhere ou Office Communicator.




Maintenant que vous avez les lments pour bien slectionner votre nom de domaine, passons l'installation d'ActiveDirectory.

IV - Installation d'Active Directory

Je vais exposer l'installation d'une configuration Active Directory idale (elle n'est pas pour autant irraliste), c'est dire un Active Directory mono-fort et mono-domaine.

Vous aurez besoin d'une configuration IP fixe. Votre serveur devra porter un nomcorrect : le nom de serveur par dfaut cr lors de l'installation de Windows n'est passatisfaisant. Attention au nom de votre contrleur de domaine (Domain Controller ouappel frquemment DC). Il ne doit pas tre nomm "dc" : cela semble poser desproblmes dans ADCS et certainement dans d'autres produits.

IV-A - Installation du rle

Sous Windows 2000 et 2003, il n'y avait pas d'installation des binaires d'Active Directory : ils taient installs pardfaut. Un serveur peut tre utilis pour autre chose qu'Active Directory donc Microsoft a dcid de ne plus installerces binaires par dfaut depuis Windows 2008.

Allez dans le gestionnaire de serveur puis faites un clic droit sur Rles, Ajouter des rles.




Ajout du rle

Slectionnez le rle Services de domaine Active Directory et cliquez sur Suivant.




Slection du rle ADDS

Si vous n'avez rien install prcdemment sur votre serveur, vous devrez ajouter des fonctionnalits duframework .NET en cliquant sur Ajouter les fonctionnalits requises.




Ajout de fonctionnalit

Vous aurez ensuite quelques informations sur Active Directory et son fonctionnement. On retrouve la ncessit dusystme DNS. Il est galement conseill d'installer deux contrleurs de domaine pour la haute disponibilit : je netraite pas la haute disponibilit ici.




Informations propos d'Active Directory

Vous aurez ensuite le rsum de l'installation qui va tre faite.




Rsum de ce qui va tre fait




Installation en cours

L'installation des binaires ne doit poser aucun problme, sauf si vous manquez d'espace disque. Une fois l'installationfinie, vous avez le rsum de l'installation.




Installation finie !

Nous allons maintenant pouvoir commencer l'installation d'Active Directory. Habituellement, il fallait lancermanuellement le programme dcpromo.exe. Maintenant, nous avons un lien Fermez cet assistant et lancez l'AssistantInstallation des services de domaine Active Directory (dcpromo.exe). Choisissez la mthode que vous souhaitez ;)

IV-B - Assistant Installation des services de domaine Active Directory (dcpromo.exe)

L'assistant commence par vous proposer l'installation en mode avanc. Ce mode avanc vous permet de fournirun fichier de rponses issu d'une autre installation ou encore de charger une sauvegarde de votre Active Directory.Pourquoi charger une sauvegarde ? Vous avez un Active Directory au sige de votre socit et vous devez installer unautre contrleur de domaine pour une agence. Si vous installez le DC de votre agence sans charger de sauvegardealors le mcanisme de rplication va se mettre en route et cela va prendre du temps car tout le trafic passera par uneconnexion Internet. Au lieu de cela, vous pourrez envoyer une sauvegarde de votre Active Directory du sige pourla charger dans celui de l'agence. Cette sauvegarde faite un moment M sera injecte dans votre nouveau serveurau moment M+1. La diffrence entre M et M+1 sera rplique. Normalement, cela reprsente beaucoup moins dedonnes donc une rplication moins longue.




dcpromo.exe

Windows 2008 et 2008 R2 fonctionnent par dfaut avec des algorithmes de chiffrement plus forts. Par consquent,certains anciens clients sont incompatibles avec ce nouveau rglage. Il est possible d'abaisser cette scurit parstratgie de groupe. Consultez le kb 942564 pour plus d'informations.




Avertissement sur un nouveau rglage par dfaut

Nous allons maintenant commencer la cration de votre Active Directory. Vous aurez le choix entre rejoindre unefort existante ou crer un nouveau domaine dans une nouvelle fort. Nous allons crer un nouveau domaine.




Crer ou rejoindre une fort ?

Vous allez ensuite pouvoir indiquer le nom mrement rflchi de votre domaine racine de fort.




Nom du domaine racine de fort

L'assistant va alors dtecter si le domaine DNS est dj utilis ou non sur votre rseau.

Dtection de la disponibilit du domaine choisi

Voici quelque chose dont je n'ai pas parl jusqu' maintenant : le nom NetBIOS ( fr ou plus complet) devotre domaine. Ce nom est galement important : il prend la partie la plus gauche de votre nom DNS. En modeavanc, vous pouvez slectionner un nom NetBIOS diffrent. Pour le nom DNS todorovic.adds, le nom NetBIOSest TODOROVIC. Ce nom est repris dans les logins pre-Windows 2000 (TODOROVIC\utilisateur). Il est conseilld'abandonner cette criture pour la notation UPN (User Principal Name) de la forme [email protected] nous verrons dans la partie suivante. Etant donn l'importance du nom NetBIOS, l'assistant doit contrler ladisponibilit de ce dernier.




Nom NetBIOS disponible ?

Si les noms DNS et NetBIOS ne sont pas dj pris, vous pourrez slectionner le niveau fonctionnel de votre fort(pour rappel, ce choix ne doit pas tre fait la lgre). Si vous ne savez pas quel niveau fonctionnel mettre, je vousconseille de mettre le niveau Windows 2003. Vous pourrez augmenter le niveau fonctionnel quand vous serez srde pouvoir le faire (compatibilit applicative au niveau des serveurs). Dans mon cas, je peux prendre le niveau 2008R2 puisque ma future infrastructure (Exchange 2010) supporte ce niveau fonctionnel.

Slection du niveau fonctionnel

Si vous n'avez pas dj install un serveur DNS compatible avec les besoins d'Active Directory, vous devrezslectionner l'installation du serveur DNS de Windows. Comme vous installez votre premier contrleur de domaine,celui-ci sera obligatoirement catalogue global. Le catalogue global est utilis dans la rplication : il contient un sous-ensemble des attributs de tous les objets de l'Active Directory. Ce sous-ensemble est cr par dfaut et il est possibled'ajouter manuellement des attributs qui seraient frquemment utiliss par des produits sur les autres sites de votre




architecture. Vous ne pouvez pas configurer ce premier contrleur de domaine comme RODC (un RODC est un DCen lecture seule qui prend sa source sur le catalogue global).

Options pour le contrleur de domaine

Un message d'avertissement apparat ensuite parce que le serveur n'arrive pas contacter le DNS qui gre la zoneparente. Dans mon cas, cette zone est nomme adds. Il n'existe pas de DNS grant cette zone dans mon rseauet les serveurs indiqus dans les root hints (liste des adresses IP des serveurs DNS racines grant notamment leszones correspondant aux TLD) ne grent pas cette zone. Le serveur ne trouvant pas de serveur DNS parent, il nepeut pas demander de dlgation. Cet avertissement est donc normal. Cliquez sur Oui pour continuer l'installationdu contrleur de domaine.




Impossible de crer une dlgation DNS

Vous devrez ensuite indiquer le futur emplacement des fichiers servant Active Directory. Il est recommand deplacer ces fichiers ailleurs que sur le disque systme.

Emplacement des fichiers

Si votre Active Directory, pour une raison quelconque, venait tomber en panne, vous pourrez le restaurer. Pourprotger votre serveur et ainsi viter des restaurations non souhaites, vous devrez donner un mot de passe fortdiffrent du mot de passe administrateur. Vous pouvez mettre le mme mais c'est dconseill.




Cration d'un mot de passe de restauration

Vous arrivez ensuite sur le rsum de l'installation qui va tre faite. Vous pourrez exporter les paramtres de cetteinstallation afin de la reproduire ailleurs : il s'agit du fichier de rponses exploitable en mode avanc.




Rsum de l'installation

L'installation peut prendre quelques minutes et doit se passer sans problmes.

Installation en cours




Installation termine

Vous serez invit redmarrer votre serveur.

V - Configuration sommaire

Il existe certaines manipulations effectuer. Elles ne sont pas obligatoires en tant que telles mais je les recommande,notamment si vous souhaitez par la suite configurer plusieurs sites ou un serveur de messagerie Microsoft Exchange.

V-A - Configuration du site

La premire tape consiste simplement changer le nom du site courant et crer le sous-rseau correspondant.Pour cela, allez dans Menu dmarrer, Outils d'administration, Sites et services Active Directory.




Sites et services Active Directory

Dans la fentre qui s'ouvrira, vous verrez le site Default-First-Site-Name ainsi qu'un dossier Subnets (sous-rseaux)et enfin un dossier Inter-Site Transports.




Renommez Default-First-Site-Name en quelque chose de plus explicite. Pour cela, double-cliquez dessus ou faitesun clic droit Renommer.

Afin que les serveurs et les postes sachent sur quel site ils se trouvent, il faut crer un sous-rseau et l'associer un site. Faites un clic droit sur Subnet, Nouveau sous-rseau.

Cration du sous-rseau

Vous devrez entrer le sous-rseau sous la forme d'un CIDR dans le champ prfixe. Slectionnez le site associ ausous-rseau.

Association du sous-rseau au site




V-B - Suffixe UPN

Vous pouvez en profiter pour ajouter un suffixe UPN qui sera attribu vos futurs utilisateurs. Grce au suffixe UPNet une politique de nommage adquate, vos utilisateurs pourront se connecter avec leur adresse e-mail... ou dumoins le croire puisque ce n'est pas l'attribut e-mail qui sera utilis lors de la connexion mais l'UPN. Il est souhaitablede ne plus utiliser le login pre-Windows 2000 (domaine\utilisateur) et de lui prfrer le login UPN.

Pour ajouter un suffixe UPN, ouvrez Menu dmarrer, Outils d'administration, Domaines et approbations ActiveDirectory. Dans la fentre qui s'ouvre, faites un clic droit sur Domaines et approbations Active Directory, Proprits.N'ouvrez pas les proprits de votre domaine, c'est une erreur frquente.

Proprits des domaines et approbations

Vous pourrez ensuite ajouter votre nouveau suffixe UPN (idalement votre nom de domaine public) et cliquer surAjouter. Lorsque vous ajouterez des utilisateurs, il faudra que le suffixe UPN corresponde celui que vous souhaitez(domaine Active Directory ou domaine public).

V-C - Configuration DNS

V-C-1 - Zone de recherche inverse

La zone de recherche inverse peut vous permettre de retrouver un nom d'hte partir de son adresse IP. Cela peut-tre utile dans certains cas. Cette zone peut tre utilise par les services d'antispam afin de contrler si l'expditeurdes e-mails est bien le serveur nomm dans les en-ttes e-mail.

Dans le cas d'un Active Directory, cela ne servira pas aux moteurs d'antispam. La cration de cette zone est simple.Ouvrez la console de gestion DNS dans le gestionnaire de serveur (ou par Menu dmarrer, Outils d'administration,DNS). Vous verrez alors les zones de recherche directe et inverse, les redirecteurs conditionnels et les journauxconcernant le DNS.




Console de gestion DNS

Pour ajouter une nouvelle zone inverse DNS, faites un clic droit sur Zone de recherche inverse, Nouvelle zone.

Nouvelle zone de recherche inverse

Nous avons besoin d'une zone principale de prfrence stocke dans l'AD pour la rplication intersites si vous enavez ou comptez en avoir.




Slection du type de zone

Si vous enregistrez la zone dans Active Directory, vous aurez alors le choix pour la rplication de cette zone. Il existeun bug sur cette partie : les deux premiers choix semblent identiques. Le choix par dfaut est gnralement le bon.

Slection de la rplication

Un grand changement est intervenu dans la couche rseau partir de Windows 2008. En effet, Windows 2008 (R2)est natif IPv6. Cela signifie qu'il utilise IPv6 par dfaut. IPv4 est bien heureusement utilisable. Lors de la cration de




la zone inverse, vous devrez choisir le type d'IP (v4 ou v6) qui constituera la zone. A moins que votre rseau soitdj en IPv6, slectionnez la zone IPv4.

Type d'adresses IP

Vous devrez ensuite entrer l'ID de votre rseau. Mon rseau IP est 172.16.0.0/16. J'utilise notamment les IP172.16.1.x donc mon ID de rseau sera 172.16.1.

Inscription de l'identifiant de rseau




La dernire tape de configuration consiste prciser comment la zone pourra tre mise jour. Votre choixdpendra du type de zone (intgre Active Directory ou non). Vous pourrez aussi choisir d'interdire les mises jour dynamiques de la zone : elles seront alors manuelles. Je conseille ces mises jour dynamiques automatiques :en mode manuel, cela induit une charge de travail trs consquente si vous souhaitez avoir des configurations IPattribues par DHCP.

Slection du type de mise jour

Enfin, un rsum s'affiche. La zone sera cre lorsque vous terminerez l'assistant de cration.




Rsum de la cration de zone inverse

V-C-2 - Zone de recherche directe publique usage priv

C'est ici que vous allez mettre en place le split-dns si vous avez choisi cette mthode. Cela consiste simplement crer une zone portant le nom de votre domaine public. Cela va court-circuiter les requtes de vos clients internes destination de ce domaine : pour cette zone, ils vont rester en local puisqu'ils interrogent uniquement votre DNSnormalement. Ce dernier possdant votre zone publique, il ne va pas interroger les serveurs DNS racines pour obtenirvotre vraie zone publique.

Nous allons commencer par crer la zone de recherche directe. Dans la console de gestion du DNS, faites un clicdroit sur Zones de recherche directes, Nouvelle zone.

Cration d'une nouvelle zone

Vous devrez ensuite slectionner le type de zone. Nous avons besoin d'une zone principale stocke dans ActiveDirectory.




Cration d'une nouvelle zone

La zone tant stocke dans Active Directory, on pourra slectionner le fonctionnement de la rplication pour la zoneDNS. Le choix par dfaut est correct.

Rplication de la zone

Vous pourrez ensuite indiquer le nom de votre zone.




Nom de la zone

Normalement, vous n'aurez pas besoin des mises jour dynamiques pour cette zone : il ne devrait y avoir que desenregistrements relatifs vos serveurs. Afin d'viter tout problme, dsactivez les mises jour dynamiques.

Interdiction des mises jour dynamiques

Enfin, l'assistant affiche un rsum de la cration effectuer. Cliquez sur Terminer pour crer la zone. Vous pourrezensuite crer (manuellement) des enregistrements pour vos serveurs.




V-C-3 - Redirecteurs

Un petit point sur les redirecteurs du DNS... Il n'y a pas besoin de renseigner ces redirecteurs. En effet, votre serveurDNS possde des indicateurs de racine. Lorsque votre DNS n'a pas de rponse fournir, il va soit interroger lesserveurs stocks dans les redirecteurs, soit interroger les serveurs DNS racines. S'il interroge les serveurs racines, ilva constituer son propre cache et les rponses seront normalement fiables. Si vous interrogez les serveurs de votreFAI, vous aurez des rponses qui peuvent tre anciennes : ces serveurs vont aller piocher dans leur cache. En faisantcela, vos rponses seront mises jour toutes les 48h, ce qui peut tre trs long. Ne touchez pas aux redirecteurs,c'est inutile et peut vous poser plus de problmes qu'autre chose. En revanche, les redirecteurs conditionnels sontdiffrents et sont utiliss dans des cas o il faut interroger un serveur DNS particulier au lieu d'aller interroger lesserveurs racines.

V-D - Rglage de l'heure via NTP

NTP (Network Time Protocol) est un protocole qui permet de rgler l'heure d'une machine partir d'un serveurde rfrence. Il existe diffrents niveaux de serveurs NTP (0 3, le plus faible tant le meilleur). En France, il n'existeque quelques serveurs de niveau 2 :

ntp.obspm.fr ntp.univ.lyon1.fr ntp.via.ecp.fr

Nous allons dfinir ces trois serveurs comme serveur de temps sur votre Active Directory. Par dfaut,

VI - Conclusion

Votre Active Directory est maintenant install et fonctionnel. Il n'est pas encore totalement configur : il vous reste ladlgation de l'administration effectuer, la mise en place de la sauvegarde, etc. Vous pourrez ajouter des ordinateurset des utilisateurs dans votre Active Directory et ajouter des services comme le partage de fichier, le bureau distance,etc. Il s'agit vraiment de la base de beaucoup d'applications rseaux, en tout cas dans le monde Microsoft.

VII - Remerciements

Je tiens remercier jacques_jean pour sa relecture attentive.

SynopsisSommaireI - IntroductionII - Les basesII-A - Les composantsII-B - Sites et domainesII-C - Arborescences et fortsII-D - Niveau fonctionnel de fort et de domaine : diffrentes fonctionnalitsII-E - Utilisateurs et ordinateursII-F - GroupesII-G - RODCII-H - DNS

III - Choisir correctement le nom de votre Active DirectoryIV - Installation d'Active DirectoryIV-A - Installation du rleIV-B - Assistant Installation des services de domaine Active Directory (dcpromo.exe)

V - Configuration sommaireV-A - Configuration du siteV-B - Suffixe UPNV-C - Configuration DNSV-C-1 - Zone de recherche inverseV-C-2 - Zone de recherche directe publique usage privV-C-3 - Redirecteurs

V-D - Rglage de l'heure via NTP

VI - ConclusionVII - Remerciements

installation d active directory sous windows server 2008 r2 (1)

Documents

bases dactive directory

domaine active directory

installation du rle

r2par michal todorovic

articles blogdate

loi jusqu

ans de prison

tre faite