V. Configuration sommaire▲
Il existe certaines manipulations à effectuer. Elles ne sont pas obligatoires en tant que telles mais je les recommande, notamment si vous souhaitez par la suite configurer plusieurs sites ou un serveur de messagerie Microsoft Exchange.
V-A. Configuration du site▲
La première étape consiste simplement à changer le nom du site courant et à créer le sous-réseau correspondant. Pour cela, allez dans Menu démarrer, Outils d'administration, Sites et services Active Directory.
Dans la fenêtre qui s'ouvrira, vous verrez le site Default-First-Site-Name ainsi qu'un dossier Subnets (sous-réseaux) et enfin un dossier Inter-Site Transports.
Renommez Default-First-Site-Name en quelque chose de plus explicite. Pour cela, double-cliquez dessus ou faites un clic droit Renommer.
Afin que les serveurs et les postes sachent sur quel site ils se trouvent, il faut créer un sous-réseau et l'associer à un site. Faites un clic droit sur Subnet, Nouveau sous-réseau.
Vous devrez entrer le sous-réseau sous la forme d'un CIDR dans le champ préfixe. Sélectionnez le site associé au sous-réseau.
V-B. Suffixe UPN▲
Vous pouvez en profiter pour ajouter un suffixe UPN qui sera attribué à vos futurs utilisateurs. Grâce au suffixe UPN et à une politique de nommage adéquate, vos utilisateurs pourront se connecter avec leur adresse e-mail... ou du moins le croire puisque ce n'est pas l'attribut e-mail qui sera utilisé lors de la connexion mais l'UPN. Il est souhaitable de ne plus utiliser le login pre-Windows 2000 (domaine\utilisateur) et de lui préférer le login UPN.
Pour ajouter un suffixe UPN, ouvrez Menu démarrer, Outils d'administration, Domaines et approbations Active Directory. Dans la fenêtre qui s'ouvre, faites un clic droit sur Domaines et approbations Active Directory, Propriétés. N'ouvrez pas les propriétés de votre domaine, c'est une erreur fréquente.
Vous pourrez ensuite ajouter votre nouveau suffixe UPN (idéalement votre nom de domaine public) et cliquer sur Ajouter. Lorsque vous ajouterez des utilisateurs, il faudra que le suffixe UPN corresponde à celui que vous souhaitez (domaine Active Directory ou domaine public).
V-C. Configuration DNS▲
V-C-1. Zone de recherche inversée▲
La zone de recherche inversée peut vous permettre de retrouver un nom d'hôte à partir de son adresse IP. Cela peut-être utile dans certains cas. Cette zone peut être utilisée par les services d'antispam afin de contrôler si l'expéditeur des e-mails est bien le serveur nommé dans les en-têtes e-mail.
Dans le cas d'un Active Directory, cela ne servira pas aux moteurs d'antispam. La création de cette zone est simple. Ouvrez la console de gestion DNS dans le gestionnaire de serveur (ou par Menu démarrer, Outils d'administration, DNS). Vous verrez alors les zones de recherche directe et inversée, les redirecteurs conditionnels et les journaux concernant le DNS.
Pour ajouter une nouvelle zone inversée DNS, faites un clic droit sur Zone de recherche inversée, Nouvelle zone.
Nous avons besoin d'une zone principale de préférence stockée dans l'AD pour la réplication intersites si vous en avez ou comptez en avoir.
Si vous enregistrez la zone dans Active Directory, vous aurez alors le choix pour la réplication de cette zone. Il existe un bug sur cette partie : les deux premiers choix semblent identiques. Le choix par défaut est généralement le bon.
Un grand changement est intervenu dans la couche réseau à partir de Windows 2008. En effet, Windows 2008 (R2) est natif IPv6. Cela signifie qu'il utilise IPv6 par défaut. IPv4 est bien heureusement utilisable. Lors de la création de la zone inversée, vous devrez choisir le type d'IP (v4 ou v6) qui constituera la zone. A moins que votre réseau soit déjà en IPv6, sélectionnez la zone IPv4.
Vous devrez ensuite entrer l'ID de votre réseau. Mon réseau IP est 172.16.0.0/16. J'utilise notamment les IP 172.16.1.x donc mon ID de réseau sera 172.16.1.
La dernière étape de configuration consiste à préciser comment la zone pourra être mise à jour. Votre choix dépendra du type de zone (intégrée à Active Directory ou non). Vous pourrez aussi choisir d'interdire les mises à jour dynamiques de la zone : elles seront alors manuelles. Je conseille ces mises à jour dynamiques automatiques : en mode manuel, cela induit une charge de travail très conséquente si vous souhaitez avoir des configurations IP attribuées par DHCP.
Enfin, un résumé s'affiche. La zone sera créée lorsque vous terminerez l'assistant de création.
V-C-2. Zone de recherche directe publique à usage privé▲
C'est ici que vous allez mettre en place le split-dns si vous avez choisi cette méthode. Cela consiste simplement à créer une zone portant le nom de votre domaine public. Cela va court-circuiter les requêtes de vos clients internes à destination de ce domaine : pour cette zone, ils vont rester en local puisqu'ils interrogent uniquement votre DNS normalement. Ce dernier possédant votre zone publique, il ne va pas interroger les serveurs DNS racines pour obtenir votre vraie zone publique.
Nous allons commencer par créer la zone de recherche directe. Dans la console de gestion du DNS, faites un clic droit sur Zones de recherche directes, Nouvelle zone.
Vous devrez ensuite sélectionner le type de zone. Nous avons besoin d'une zone principale stockée dans Active Directory.
La zone étant stockée dans Active Directory, on pourra sélectionner le fonctionnement de la réplication pour la zone DNS. Le choix par défaut est correct.
Vous pourrez ensuite indiquer le nom de votre zone.
Normalement, vous n'aurez pas besoin des mises à jour dynamiques pour cette zone : il ne devrait y avoir que des enregistrements relatifs à vos serveurs. Afin d'éviter tout problème, désactivez les mises à jour dynamiques.
Enfin, l'assistant affiche un résumé de la création à effectuer. Cliquez sur Terminer pour créer la zone. Vous pourrez ensuite créer (manuellement) des enregistrements pour vos serveurs.
V-C-3. Redirecteurs▲
Un petit point sur les redirecteurs du DNS... Il n'y a pas besoin de renseigner ces redirecteurs. En effet, votre serveur DNS possède des indicateurs de racine. Lorsque votre DNS n'a pas de réponse à fournir, il va soit interroger les serveurs stockés dans les redirecteurs, soit interroger les serveurs DNS racines. S'il interroge les serveurs racines, il va constituer son propre cache et les réponses seront normalement fiables. Si vous interrogez les serveurs de votre FAI, vous aurez des réponses qui peuvent être anciennes : ces serveurs vont aller piocher dans leur cache. En faisant cela, vos réponses seront mises à jour toutes les 48h, ce qui peut être très long. Ne touchez pas aux redirecteurs, c'est inutile et peut vous poser plus de problèmes qu'autre chose. En revanche, les redirecteurs conditionnels sont différents et sont utilisés dans des cas où il faut interroger un serveur DNS particulier au lieu d'aller interroger les serveurs racines.
V-D. Réglage de l'heure via NTP▲
NTP (Network Time Protocol) est un protocole qui permet de régler l'heure d'une machine à partir d'un serveur de référence. Il existe différents niveaux de serveurs NTP (0 à 3, le plus faible étant le meilleur). En France, il n'existe que quelques serveurs de niveau 2 :
- ntp.obspm.fr
- ntp.univ.lyon1.fr
- ntp.via.ecp.fr
Nous allons définir ces trois serveurs comme serveur de temps sur votre Active Directory. Par défaut,