IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Installation d'Active Directory sous Windows Server 2008 R2

Installation d'Active Directory sous Windows Server 2008 R2


précédentsommairesuivant

IV. Installation d'Active Directory

Je vais exposer l'installation d'une configuration Active Directory idéale (elle n'est pas pour autant irréaliste), c'est à dire un Active Directory mono-forêt et mono-domaine.

Vous aurez besoin d'une configuration IP fixe. Votre serveur devra porter un nom correct : le nom de serveur par défaut créé lors de l'installation de Windows n'est pas satisfaisant. Attention au nom de votre contrôleur de domaine (Domain Controller ou appelé fréquemment DC). Il ne doit pas être nommé "dc" : cela semble poser des problèmes dans ADCS et certainement dans d'autres produits.

IV-A. Installation du rôle

Sous Windows 2000 et 2003, il n'y avait pas d'installation des binaires d'Active Directory : ils étaient installés par défaut. Un serveur peut être utilisé pour autre chose qu'Active Directory donc Microsoft a décidé de ne plus installer ces binaires par défaut depuis Windows 2008.

Allez dans le gestionnaire de serveur puis faites un clic droit sur Rôles, Ajouter des rôles.

Ajout du rôle
Ajout du rôle

Sélectionnez le rôle Services de domaine Active Directory et cliquez sur Suivant.

Sélection du rôle ADDS
Sélection du rôle ADDS

Si vous n'avez rien installé précédemment sur votre serveur, vous devrez ajouter des fonctionnalités du framework .NET en cliquant sur Ajouter les fonctionnalités requises.

Ajout de fonctionnalité
Ajout de fonctionnalité

Vous aurez ensuite quelques informations sur Active Directory et son fonctionnement. On retrouve la nécessité du système DNS. Il est également conseillé d'installer deux contrôleurs de domaine pour la haute disponibilité : je ne traite pas la haute disponibilité ici.

Informations à propos d'Active Directory
Informations à propos d'Active Directory

Vous aurez ensuite le résumé de l'installation qui va être faite.

Résumé de ce qui va être fait
Résumé de ce qui va être fait
Installation en cours
Installation en cours

L'installation des binaires ne doit poser aucun problème, sauf si vous manquez d'espace disque. Une fois l'installation finie, vous avez le résumé de l'installation.

Installation finie !
Installation finie !

Nous allons maintenant pouvoir commencer l'installation d'Active Directory. Habituellement, il fallait lancer manuellement le programme dcpromo.exe. Maintenant, nous avons un lien Fermez cet assistant et lancez l'Assistant Installation des services de domaine Active Directory (dcpromo.exe). Choisissez la méthode que vous souhaitez ;)

IV-B. Assistant Installation des services de domaine Active Directory (dcpromo.exe)

L'assistant commence par vous proposer l'installation en mode avancé. Ce mode avancé vous permet de fournir un fichier de réponses issu d'une autre installation ou encore de charger une sauvegarde de votre Active Directory. Pourquoi charger une sauvegarde ? Vous avez un Active Directory au siège de votre société et vous devez installer un autre contrôleur de domaine pour une agence. Si vous installez le DC de votre agence sans charger de sauvegarde alors le mécanisme de réplication va se mettre en route et cela va prendre du temps car tout le trafic passera par une connexion Internet. Au lieu de cela, vous pourrez envoyer une sauvegarde de votre Active Directory du siège pour la charger dans celui de l'agence. Cette sauvegarde faite à un moment M sera injectée dans votre nouveau serveur au moment M+1. La différence entre M et M+1 sera répliquée. Normalement, cela représente beaucoup moins de données donc une réplication moins longue.

dcpromo.exe
dcpromo.exe

Windows 2008 et 2008 R2 fonctionnent par défaut avec des algorithmes de chiffrement plus forts. Par conséquent, certains anciens clients sont incompatibles avec ce nouveau réglage. Il est possible d'abaisser cette sécurité par stratégie de groupe. Consultez le kb 942564 pour plus d'informations.

Avertissement sur un nouveau réglage par défaut
Avertissement sur un nouveau réglage par défaut

Nous allons maintenant commencer la création de votre Active Directory. Vous aurez le choix entre rejoindre une forêt existante ou créer un nouveau domaine dans une nouvelle forêt. Nous allons créer un nouveau domaine.

Créer ou rejoindre une forêt ?
Créer ou rejoindre une forêt ?

Vous allez ensuite pouvoir indiquer le nom mûrement réfléchi de votre domaine racine de forêt.

Nom du domaine racine de forêt
Nom du domaine racine de forêt

L'assistant va alors détecter si le domaine DNS est déjà utilisé ou non sur votre réseau.

Détection de la disponibilité du domaine choisi
Détection de la disponibilité du domaine choisi

Voici quelque chose dont je n'ai pas parlé jusqu'à maintenant : le nom NetBIOS (fr ou plus complet) de votre domaine. Ce nom est également important : il prend la partie la plus à gauche de votre nom DNS. En mode avancé, vous pouvez sélectionner un nom NetBIOS différent. Pour le nom DNS todorovic.adds, le nom NetBIOS est TODOROVIC. Ce nom est repris dans les logins pre-Windows 2000 (TODOROVIC\utilisateur). Il est conseillé d'abandonner cette écriture pour la notation UPN (User Principal Name) de la forme utilisateur@todorovic.adds que nous verrons dans la partie suivante. Etant donné l'importance du nom NetBIOS, l'assistant doit contrôler la disponibilité de ce dernier.

Nom NetBIOS disponible ?
Nom NetBIOS disponible ?

Si les noms DNS et NetBIOS ne sont pas déjà pris, vous pourrez sélectionner le niveau fonctionnel de votre forêt (, ce choix ne doit pas être fait à la légère). Si vous ne savez pas quel niveau fonctionnel mettre, je vous conseille de mettre le niveau Windows 2003. Vous pourrez augmenter le niveau fonctionnel quand vous serez sûr de pouvoir le faire (compatibilité applicative au niveau des serveurs). Dans mon cas, je peux prendre le niveau 2008 R2 puisque ma future infrastructure (Exchange 2010) supporte ce niveau fonctionnel.

Sélection du niveau fonctionnel
Sélection du niveau fonctionnel

Si vous n'avez pas déjà installé un serveur DNS compatible avec les besoins d'Active Directory, vous devrez sélectionner l'installation du serveur DNS de Windows. Comme vous installez votre premier contrôleur de domaine, celui-ci sera obligatoirement catalogue global. Le catalogue global est utilisé dans la réplication : il contient un sous-ensemble des attributs de tous les objets de l'Active Directory. Ce sous-ensemble est créé par défaut et il est possible d'ajouter manuellement des attributs qui seraient fréquemment utilisés par des produits sur les autres sites de votre architecture. Vous ne pouvez pas configurer ce premier contrôleur de domaine comme RODC (un RODC est un DC en lecture seule qui prend sa source sur le catalogue global).

Options pour le contrôleur de domaine
Options pour le contrôleur de domaine

Un message d'avertissement apparaît ensuite parce que le serveur n'arrive pas à contacter le DNS qui gère la zone parente. Dans mon cas, cette zone est nommée adds. Il n'existe pas de DNS gérant cette zone dans mon réseau et les serveurs indiqués dans les root hints (liste des adresses IP des serveurs DNS racines gérant notamment les zones correspondant aux TLD) ne gèrent pas cette zone. Le serveur ne trouvant pas de serveur DNS parent, il ne peut pas demander de délégation. Cet avertissement est donc normal. Cliquez sur Oui pour continuer l'installation du contrôleur de domaine.

Impossible de créer une délégation DNS
Impossible de créer une délégation DNS

Vous devrez ensuite indiquer le futur emplacement des fichiers servant à Active Directory. Il est recommandé de placer ces fichiers ailleurs que sur le disque système.

Emplacement des fichiers
Emplacement des fichiers

Si votre Active Directory, pour une raison quelconque, venait à tomber en panne, vous pourrez le restaurer. Pour protéger votre serveur et ainsi éviter des restaurations non souhaitées, vous devrez donner un mot de passe fort différent du mot de passe administrateur. Vous pouvez mettre le même mais c'est déconseillé.

Création d'un mot de passe de restauration
Création d'un mot de passe de restauration

Vous arrivez ensuite sur le résumé de l'installation qui va être faite. Vous pourrez exporter les paramètres de cette installation afin de la reproduire ailleurs : il s'agit du fichier de réponses exploitable en mode avancé.

Résumé de l'installation
Résumé de l'installation

L'installation peut prendre quelques minutes et doit se passer sans problèmes.

Installation en cours
Installation en cours
Installation terminée
Installation terminée

Vous serez invité à redémarrer votre serveur.


précédentsommairesuivant

Copyright © 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts. Droits de diffusion permanents accordés à Developpez LLC.