Windows Server 2008 R2 - Installation d'un controleur de domaine Active Directory (dcpromo)

  Sommaire  |  Blog   |    www.MToo.net   |     Météo    |    Photos   |    Prestations    |    A propos  

   Retour accueil  


             Sommaire :
Menu

 

1 - Pré requis

Avant de créer votre domaine vous devez réfléchir à de nombreux points, afin de définir une architecture Active Directory correspondant à vos besoins. Si ceux ci sont simples alors vous allez créer un domaine simple avec un ou deux contrôleurs de domaines (il est conseillé d'en avoir deux, en cas de défaillance de l'un l'autre pourra assurer le service).

Quel nom allez vous donner au domaine ?

Un nom de domaine comprends un nom suivi d'un point et d'une extension. Il est conseillé de ne pas prendre le même nom q'un domaine internet : si votre entreprise se nomme company, ne prenez pas company.net ou company.fr, cela créera des conflits avec votre accès internet : créez par exemple company.local. cf AD FAQ

2 - Installation

Pour faire de votre Windows Server 2008 R2 un contrôleur de domaine, il suffit de lancer la commande dcpromo.

dcpromo dcpromo  
dcpromo : créer un domaine dcpromo : nom du domaine
Après quelques étapes basiques, voici les étapes les plus importantes : dcpromo : vérifications  

Choisissez le niveau fonctionnel de votre domaine :

  • Le niveau fonctionnel de la forêt Windows 2000 offre toutes les fonctionnalités des services de domaine Active Directory disponibles dans Windows 2000 Server. Si vous disposez de contrôleurs de domaine exécutant des versions ultérieures de Windows Server, certaines fonctionnalités avancées ne seront pas disponibles sur ces contrôleurs de domaine tant que la forêt restera au niveau fonctionnel Windows 2000.

  • Le niveau fonctionnel de la forêt Windows Server 2003 offre toutes les fonctionnalités disponibles dans le niveau fonctionnel de la forêt Windows 2000, ainsi que les fonctionnalités supplémentaires suivantes :
    - Réplication de valeurs liées, qui améliore la réplication des
    modifications aux appartenances aux groupes.
    - Génération plus efficace des topologies de réplication complexes
    par le vérificateur de cohérence des données.
    - Approbation de forêts, qui permet aux organisations de partager aisément
    des ressources internes entre plusieurs forêts.
    Tous les nouveaux domaines créés dans cette forêt fonctionneront automatiquement au niveau fonctionnel du domaine Windows Server 2003.

  • Ce niveau fonctionnel de forêt n’offre pas de fonctionnalités supplémentaires par rapport au niveau fonctionnel de la forêt Windows 2003. Il permet seulement de garantir que tous les domaines créés dans cette forêt fonctionneront automatiquement dans le niveau fonctionnel de domaine Windows Server 2008 qui, lui, offre des fonctionnalités uniques.

  • Le niveau fonctionnel de forêt Windows Server 2008 R2 procure toutes les fonctionnalités disponibles dans le niveau fonctionnel de forêt Windows Server 2008, ainsi que les fonctionnalités supplémentaires suivantes :
    - Corbeille, qui, lorsqu’elle est activée, permet de restaurer des objets supprimés
    dans leur intégralité pendant que les services de domaine Active Directory s’exécutent.
    Tout nouveau domaine créé dans cette forêt fonctionne par défaut au niveau fonctionnel de domaine Windows Server 2008 R2.

 

 

dcpromo : choix du niveau fonctionnel  
Le premier contrôleur de domaine d’une forêt doit être un serveur de catalogue global et ne peut pas être un contrôleur de domaine en lecture seule (RODC).

Sauf cas très particulier, vous allez installer le service Serveur DNS sur le premier contrôleur de domaine, l'assistant s'en charge automatiquement.
dcpromo : dns  
  dcpromo : délégation pour la zone DNS  

Considérations de sauvegarde et de récupération pour le placement des fichiers AD 

Pour une installation simple dans laquelle le serveur ne dispose que d’un seul disque dur, vous pouvez vous contenter d’accepter les paramètres d’installation par défaut qui sont fournis par l’Assistant Installation des services de domaine Active Directory. Toutefois, vous devez créer au moins deux volumes sur ce disque dur unique. Un volume est requis pour les données de volumes critiques et un autre à des fins de sauvegarde.

Lorsque vous utilisez l’utilitaire Sauvegarde de Windows Server ou l’outil en ligne de commande Wbadmin.exe pour sauvegarder un contrôleur de domaine, vous devez au moins sauvegarder les données sur l’état du système, de façon à pouvoir utiliser la sauvegarde pour récupérer le serveur. Le volume que vous utilisez pour stocker les sauvegardes ne peut pas être le même que celui qui héberge les données sur l’état du système. Cet impératif peut affecter l’emplacement où vous décidez de stocker les fichiers AD DS. Les composants système qui forment les données sur l’état du système dépendent des rôles de serveurs installés sur l’ordinateur.

Par exemple, si vous installez les services AD DS sur un serveur disposant d’un seul disque dur, vous pouvez créer les volumes logiques suivants pour prendre en charge les sauvegardes :

  • Le lecteur C qui héberge l’ensemble des données de volumes critiques
  • Le lecteur D qui sert de cible à la Sauvegarde de Windows Server ou à Wbadmin.exe

Pour plus d’informations sur la sauvegarde et la récupération d’un contrôleur de domaine, voir le Guide pas à pas de sauvegarde et de récupération des services de domaine Active Directory (http://go.microsoft.com/fwlink/?LinkId=93077).

Considérations de performances pour le placement des fichiers AD DS

Pour des installations plus complexes, vous pouvez configurer votre stockage sur disque dur afin d’optimiser les performances des services AD DS. Étant donné que la base de données et les fichiers journaux utilisent l’espace de stockage sur disque de différentes manières, vous pouvez améliorer les performances des services AD DS en utilisant des disques durs séparées.

dcpromo : choix des répertoires  

 

Le mot de passe de restauration des services d’annuaire (DSRM) est requis pour se connecter à un contrôleur de domaine lorsque les services de domaine Active Directory (AD DS) ne sont pas en cours d’exécution, soit parce qu’ils sont arrêtés, soit parce que le contrôleur de domaine a été démarré en mode de restauration des services d’annuaire.

Remarques

Le mot de passe de restauration des services d’annuaire n’est pas le même que celui du compte Administrateur du domaine.

Si vous créez le premier contrôleur de domaine de la forêt, la stratégie de mot de passe en vigueur sur le serveur local est appliquée par l’Assistant Installation des services de domaine Active Directory.

dcpromo : mot de passe  
Il est possible de créer un fichier de réponse, afin d'automatiser l'action que vous venez d'effectuer.
Le fichier de réponses obtenu lors de cet exemple contient ceci :

; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
; dcpromo.exe /unattend:D:\Users\Administrateur\Desktop\reponse.txt
;
[DCInstall]
; New forest promotion
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=mtoo.local
ForestLevel=4
DomainNetbiosName=MTOO
DomainLevel=4
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="D:\Windows\NTDS"
LogPath="D:\Windows\NTDS"
SYSVOLPath="D:\Windows\SYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=
; Run-time flags (optional)
; RebootOnCompletion=Yes
dcpromo : récap  
Les différentes étapes de la création du domaine s'éxécutent ensuite automatiquement :

Installation de la Console de gestion de stratégies de groupe

Configuration du serveur
Création des objets dans l'annuaire
DNS
Protection de la sécurité du serveur


dcpromo : en cours  
Les services de domaine Active Directory sont maintenant installés sur cet ordinateur pour le domaine « mtoo.local ».

Ce contrôleur de domaine Active Directory est attribué au site « Default-First-Site-Name ».
dcpromo : fin de l'assistant  
Vous pouvez gérer Active Directory à l'aide des consoles de gestion suivantes :
_ Active Directory Administrative Center
_ Active Directory Domains and Trusts
_ Active Directory PowerShell Snap-In
_ Active Directory Sites and Services
_ Active Directory Users and Computers

OUtils Active Directory  
     
Active Directory Administrative Center : le centre d'administration Active Directory est une console personnalisable vous permettant de parcourir le domaine et d'accéder à certaines fonctions de base, rapidement.  Centre d'Administration Active Directory 
La console de gestion des domaines et approbation permet de changer le niveau fonctionnel de votre domaine et de gérer les relations d'approbations entre domaines et forêts.   AD
Le Snap-In Powershell vous permet de gérer AD en ligne de commande.

Vous pouvez par exemple parcourir votre AD en ligne de commande (cf à droite).

http://technet.microsoft.com/fr-fr/library/dd378783(WS.10).aspx  
 AD Powershell
La console Sites et Service permet de gérer les sites et sous réseaux des Active Directory multi sites et complexes.  Active Directory : Sites et services 
La console Utilisateurs et ordinateurs Active Directory est probablement la plus utile : c'est celle qui vous permettra de gérer les comptes des utilisateurs et des ordinateurs. AD
 
Que faire après ?

Lorsque vous avez redémarré votre serveur, observez les événements et assurez vous de ne pas laisser de problèmes non résolus.

Pour qu"un Active Directory fonctionne il faut que plusieurs rôles soient remplis (on parle de rôles FSMO) : si vous n'avez qu'un seul contrôleur celui-ci les remplis tous :
_ Schema Master : ce serveur controle et gère les modifications de schéma
_ Domain Naming Master : ce server gère les relations entre domaines
_ PDC emulator : ce serveur jour le role de Contrôleur de domaine pour les machines NT4, gère certains paramètres de sécurité et la synchronisation de l'heure
_ RID Master : gère l'attribution des SID
_ Infrastructure Master : gère les synchronisation inter-domaine

Pour qu'un domaine AD fonctionne correctement il est important que les machines soient synchronisées sur la même heure. Votre premier contrôleur de domaine synchronisera les autres machines (dans le détail c'est le rôle PDC emulator qi se charge de cette tâche), vous devez donc synchroniser ce contrôleur avec une source de temps sur Internet :
Par exemple :
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
Plus d'informations ici : http://technet.microsoft.com/en-us/library/cc786897(WS.10).aspx

Consultez la Active Directory FAQ.


  Toutwindows.com - Sommaire Windows Serveur - Sommaire