|
|
1 - Pré requis
Avant de créer votre domaine vous devez réfléchir à de nombreux
points, afin de définir une architecture Active Directory
correspondant à vos besoins. Si ceux ci sont simples alors vous
allez créer un domaine simple avec un ou deux contrôleurs de
domaines (il est conseillé d'en avoir deux, en cas de défaillance de l'un l'autre pourra assurer le service).
Quel nom allez vous donner au domaine ?
Un nom de domaine comprends un nom suivi d'un point et d'une
extension. Il est conseillé de ne pas prendre le même nom q'un
domaine internet : si votre entreprise se nomme company, ne
prenez pas company.net ou company.fr, cela créera des conflits
avec votre accès internet : créez par exemple company.local. cf
AD FAQ
2 - Installation
Pour faire de votre Windows Server 2008 R2 un contrôleur de
domaine, il suffit de lancer la commande dcpromo.
 |
 |
|
|
 |
 |
|
Après quelques étapes basiques, voici les étapes les plus
importantes : |
 |
|
|
Choisissez le niveau fonctionnel de votre domaine :
-
Le niveau fonctionnel de la forêt Windows 2000
offre toutes les fonctionnalités des services de domaine Active
Directory disponibles dans Windows 2000 Server. Si vous disposez de
contrôleurs de domaine exécutant des versions ultérieures de Windows
Server, certaines fonctionnalités avancées ne seront pas disponibles
sur ces contrôleurs de domaine tant que la forêt restera au niveau
fonctionnel Windows 2000.
-
Le niveau fonctionnel de la forêt Windows
Server 2003 offre toutes les fonctionnalités disponibles dans le
niveau fonctionnel de la forêt Windows 2000, ainsi que les
fonctionnalités supplémentaires suivantes :
- Réplication de
valeurs liées, qui améliore la réplication des
modifications aux
appartenances aux groupes.
- Génération plus efficace des
topologies de réplication complexes
par le vérificateur de
cohérence des données.
- Approbation de forêts, qui permet aux
organisations de partager aisément
des ressources internes entre
plusieurs forêts.
Tous les nouveaux domaines créés dans cette
forêt fonctionneront automatiquement au niveau fonctionnel du
domaine Windows Server 2003.
-
Ce niveau fonctionnel de forêt n’offre pas de
fonctionnalités supplémentaires par rapport au niveau fonctionnel de
la forêt Windows 2003. Il permet seulement de garantir que tous les
domaines créés dans cette forêt fonctionneront automatiquement dans
le niveau fonctionnel de domaine Windows Server 2008 qui, lui, offre
des fonctionnalités uniques.
-
Le niveau fonctionnel de forêt Windows Server
2008 R2 procure toutes les fonctionnalités disponibles dans le
niveau fonctionnel de forêt Windows Server 2008, ainsi que les
fonctionnalités supplémentaires suivantes :
- Corbeille, qui,
lorsqu’elle est activée, permet de restaurer des objets supprimés
dans leur intégralité pendant que les services de domaine Active
Directory s’exécutent.
Tout nouveau domaine créé dans cette forêt
fonctionne par défaut au niveau fonctionnel de domaine Windows
Server 2008 R2.
|
 |
|
Le premier contrôleur de domaine d’une forêt doit
être un serveur de catalogue global et ne peut pas être un contrôleur de
domaine en lecture seule (RODC).
Sauf cas très
particulier, vous allez installer le service Serveur DNS sur le premier contrôleur de domaine,
l'assistant s'en charge automatiquement. |
 |
|
|
|
 |
|
Considérations de sauvegarde et de
récupération pour le placement des fichiers AD
Pour une installation simple
dans laquelle le serveur ne dispose que d’un seul disque
dur, vous pouvez vous contenter d’accepter les paramètres
d’installation par défaut qui sont fournis par l’Assistant
Installation des services de domaine Active Directory.
Toutefois, vous devez créer au moins deux volumes sur ce
disque dur unique. Un volume est requis pour les données de
volumes critiques et un autre à des fins de sauvegarde.
Lorsque vous utilisez
l’utilitaire Sauvegarde de Windows Server ou l’outil en
ligne de commande Wbadmin.exe pour sauvegarder un contrôleur
de domaine, vous devez au moins sauvegarder les données sur
l’état du système, de façon à pouvoir utiliser la sauvegarde
pour récupérer le serveur. Le volume que vous utilisez pour
stocker les sauvegardes ne peut pas être le même que celui
qui héberge les données sur l’état du système. Cet impératif
peut affecter l’emplacement où vous décidez de stocker les
fichiers AD DS. Les composants système qui forment les
données sur l’état du système dépendent des rôles de
serveurs installés sur l’ordinateur.
Par exemple, si vous installez
les services AD DS sur un serveur disposant d’un seul disque
dur, vous pouvez créer les volumes logiques suivants pour
prendre en charge les sauvegardes :
- Le lecteur C
qui héberge l’ensemble des données de volumes critiques
- Le lecteur D
qui sert de cible à la Sauvegarde de Windows Server ou à
Wbadmin.exe
Pour plus d’informations
sur la sauvegarde et la récupération d’un contrôleur de
domaine, voir le Guide pas à pas de sauvegarde et de
récupération des services de domaine Active Directory (http://go.microsoft.com/fwlink/?LinkId=93077).
Considérations de performances pour le
placement des fichiers AD DS
Pour des installations plus
complexes, vous pouvez configurer votre stockage sur disque
dur afin d’optimiser les performances des services AD DS.
Étant donné que la base de données et les fichiers journaux
utilisent l’espace de stockage sur disque de différentes
manières, vous pouvez améliorer les performances des
services AD DS en utilisant des disques durs séparées.
|
 |
|
|
Le mot de passe de restauration des services
d’annuaire (DSRM) est requis pour se connecter à un contrôleur
de domaine lorsque les services de domaine Active Directory
(AD DS) ne sont pas en cours d’exécution, soit parce qu’ils sont
arrêtés, soit parce que le contrôleur de domaine a été démarré
en mode de restauration des services d’annuaire.
|
Remarques |
|
Le mot de passe de restauration des
services d’annuaire n’est pas le même que celui du
compte Administrateur du domaine.
|
Si vous créez le premier contrôleur de
domaine de la forêt, la stratégie de mot de passe en vigueur sur
le serveur local est appliquée par l’Assistant Installation des
services de domaine Active Directory.
|
 |
|
Il est possible de créer un fichier de
réponse, afin d'automatiser l'action que vous venez d'effectuer.
Le fichier de réponses obtenu lors de cet
exemple contient ceci :
; DCPROMO unattend
file (automatically generated by dcpromo)
; Usage:
; dcpromo.exe
/unattend:D:\Users\Administrateur\Desktop\reponse.txt
;
[DCInstall]
; New forest promotion
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=mtoo.local
ForestLevel=4
DomainNetbiosName=MTOO
DomainLevel=4
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="D:\Windows\NTDS"
LogPath="D:\Windows\NTDS"
SYSVOLPath="D:\Windows\SYSVOL"
; Set SafeModeAdminPassword to the correct
value prior to using the unattend file
SafeModeAdminPassword=
; Run-time flags (optional)
; RebootOnCompletion=Yes |
 |
|
Les différentes étapes de la création
du domaine s'éxécutent ensuite automatiquement :
Installation de la
Console de gestion de stratégies de groupe
Configuration du serveur
Création des objets dans l'annuaire
DNS
Protection de la sécurité du serveur
|
 |
|
Les services de domaine Active
Directory sont maintenant installés sur cet ordinateur pour le
domaine « mtoo.local ».
Ce contrôleur de
domaine Active Directory est attribué au site «
Default-First-Site-Name ». |
 |
|
Vous pouvez gérer Active Directory à
l'aide des consoles de gestion suivantes :
_ Active Directory
Administrative Center
_ Active Directory Domains and Trusts
_ Active Directory PowerShell Snap-In
_ Active Directory
Sites and Services
_ Active Directory Users and Computers
|
 |
|
| |
|
|
| Active Directory Administrative Center
: le centre d'administration Active Directory est une console
personnalisable vous permettant de parcourir le domaine et
d'accéder à certaines fonctions de base, rapidement. |
|
| La console de gestion des domaines et
approbation permet de changer le niveau fonctionnel de votre
domaine et de gérer les relations d'approbations entre domaines
et forêts. |
 |
Le Snap-In Powershell vous permet de
gérer AD en ligne de commande.
Vous pouvez par
exemple parcourir votre AD en ligne de commande (cf à droite).
http://technet.microsoft.com/fr-fr/library/dd378783(WS.10).aspx
|
 |
| La console Sites et Service permet de gérer
les sites et sous réseaux des Active Directory multi sites et
complexes. |
 |
| La console Utilisateurs et ordinateurs
Active Directory est probablement la plus utile : c'est celle
qui vous permettra de gérer les comptes des utilisateurs et des
ordinateurs. |
 |
Que faire après ?
Lorsque vous avez
redémarré votre serveur, observez les événements et assurez vous de ne
pas laisser de problèmes non résolus.
Pour qu"un Active Directory
fonctionne il faut que plusieurs rôles soient remplis (on parle de rôles
FSMO) : si vous n'avez qu'un seul contrôleur celui-ci les remplis tous :
_ Schema Master : ce serveur controle et gère les modifications de
schéma
_ Domain Naming Master : ce server gère les relations entre
domaines
_ PDC emulator : ce serveur jour le role de Contrôleur de
domaine pour les machines NT4, gère certains paramètres de sécurité et
la synchronisation de l'heure
_ RID Master : gère l'attribution des
SID
_ Infrastructure Master : gère les synchronisation inter-domaine
Pour qu'un domaine AD fonctionne correctement il est important que
les machines soient synchronisées sur la même heure. Votre premier
contrôleur de domaine synchronisera les autres machines (dans le détail
c'est le rôle PDC emulator qi se charge de cette tâche), vous devez donc
synchroniser ce contrôleur avec une source de temps sur Internet :
Par exemple :
w32tm /config
/manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes
/update
Plus d'informations ici :
http://technet.microsoft.com/en-us/library/cc786897(WS.10).aspx
Consultez la
Active Directory FAQ.
|
