Installation d'Active Directory sous Windows Server 2008 R2


précédentsommairesuivant

V. Configuration sommaire

Il existe certaines manipulations à effectuer. Elles ne sont pas obligatoires en tant que telles mais je les recommande, notamment si vous souhaitez par la suite configurer plusieurs sites ou un serveur de messagerie Microsoft Exchange.

V-A. Configuration du site

La première étape consiste simplement à changer le nom du site courant et à créer le sous-réseau correspondant. Pour cela, allez dans Menu démarrer, Outils d'administration, Sites et services Active Directory.

Sites et services Active Directory
Sites et services Active Directory

Dans la fenêtre qui s'ouvrira, vous verrez le site Default-First-Site-Name ainsi qu'un dossier Subnets (sous-réseaux) et enfin un dossier Inter-Site Transports.

sites et services ad

Renommez Default-First-Site-Name en quelque chose de plus explicite. Pour cela, double-cliquez dessus ou faites un clic droit Renommer.

Afin que les serveurs et les postes sachent sur quel site ils se trouvent, il faut créer un sous-réseau et l'associer à un site. Faites un clic droit sur Subnet, Nouveau sous-réseau.

Création du sous-réseau
Création du sous-réseau

Vous devrez entrer le sous-réseau sous la forme d'un CIDR dans le champ préfixe. Sélectionnez le site associé au sous-réseau.

Association du sous-réseau au site
Association du sous-réseau au site

V-B. Suffixe UPN

Vous pouvez en profiter pour ajouter un suffixe UPN qui sera attribué à vos futurs utilisateurs. Grâce au suffixe UPN et à une politique de nommage adéquate, vos utilisateurs pourront se connecter avec leur adresse e-mail... ou du moins le croire puisque ce n'est pas l'attribut e-mail qui sera utilisé lors de la connexion mais l'UPN. Il est souhaitable de ne plus utiliser le login pre-Windows 2000 (domaine\utilisateur) et de lui préférer le login UPN.

Pour ajouter un suffixe UPN, ouvrez Menu démarrer, Outils d'administration, Domaines et approbations Active Directory. Dans la fenêtre qui s'ouvre, faites un clic droit sur Domaines et approbations Active Directory, Propriétés. N'ouvrez pas les propriétés de votre domaine, c'est une erreur fréquente.

Propriétés des domaines et approbations
Propriétés des domaines et approbations

Vous pourrez ensuite ajouter votre nouveau suffixe UPN (idéalement votre nom de domaine public) et cliquer sur Ajouter. Lorsque vous ajouterez des utilisateurs, il faudra que le suffixe UPN corresponde à celui que vous souhaitez (domaine Active Directory ou domaine public).

V-C. Configuration DNS

V-C-1. Zone de recherche inversée

La zone de recherche inversée peut vous permettre de retrouver un nom d'hôte à partir de son adresse IP. Cela peut-être utile dans certains cas. Cette zone peut être utilisée par les services d'antispam afin de contrôler si l'expéditeur des e-mails est bien le serveur nommé dans les en-têtes e-mail.

Dans le cas d'un Active Directory, cela ne servira pas aux moteurs d'antispam. La création de cette zone est simple. Ouvrez la console de gestion DNS dans le gestionnaire de serveur (ou par Menu démarrer, Outils d'administration, DNS). Vous verrez alors les zones de recherche directe et inversée, les redirecteurs conditionnels et les journaux concernant le DNS.

Console de gestion DNS
Console de gestion DNS

Pour ajouter une nouvelle zone inversée DNS, faites un clic droit sur Zone de recherche inversée, Nouvelle zone.

Nouvelle zone de recherche inversée
Nouvelle zone de recherche inversée

Nous avons besoin d'une zone principale de préférence stockée dans l'AD pour la réplication intersites si vous en avez ou comptez en avoir.

Sélection du type de zone
Sélection du type de zone

Si vous enregistrez la zone dans Active Directory, vous aurez alors le choix pour la réplication de cette zone. Il existe un bug sur cette partie : les deux premiers choix semblent identiques. Le choix par défaut est généralement le bon.

Sélection de la réplication
Sélection de la réplication

Un grand changement est intervenu dans la couche réseau à partir de Windows 2008. En effet, Windows 2008 (R2) est natif IPv6. Cela signifie qu'il utilise IPv6 par défaut. IPv4 est bien heureusement utilisable. Lors de la création de la zone inversée, vous devrez choisir le type d'IP (v4 ou v6) qui constituera la zone. A moins que votre réseau soit déjà en IPv6, sélectionnez la zone IPv4.

Type d'adresses IP
Type d'adresses IP

Vous devrez ensuite entrer l'ID de votre réseau. Mon réseau IP est 172.16.0.0/16. J'utilise notamment les IP 172.16.1.x donc mon ID de réseau sera 172.16.1.

Inscription de l'identifiant de réseau
Inscription de l'identifiant de réseau

La dernière étape de configuration consiste à préciser comment la zone pourra être mise à jour. Votre choix dépendra du type de zone (intégrée à Active Directory ou non). Vous pourrez aussi choisir d'interdire les mises à jour dynamiques de la zone : elles seront alors manuelles. Je conseille ces mises à jour dynamiques automatiques : en mode manuel, cela induit une charge de travail très conséquente si vous souhaitez avoir des configurations IP attribuées par DHCP.

Sélection du type de mise à jour
Sélection du type de mise à jour

Enfin, un résumé s'affiche. La zone sera créée lorsque vous terminerez l'assistant de création.

Résumé de la création de zone inversée
Résumé de la création de zone inversée

V-C-2. Zone de recherche directe publique à usage privé

C'est ici que vous allez mettre en place le split-dns si vous avez choisi cette méthode. Cela consiste simplement à créer une zone portant le nom de votre domaine public. Cela va court-circuiter les requêtes de vos clients internes à destination de ce domaine : pour cette zone, ils vont rester en local puisqu'ils interrogent uniquement votre DNS normalement. Ce dernier possédant votre zone publique, il ne va pas interroger les serveurs DNS racines pour obtenir votre vraie zone publique.

Nous allons commencer par créer la zone de recherche directe. Dans la console de gestion du DNS, faites un clic droit sur Zones de recherche directes, Nouvelle zone.

Création d'une nouvelle zone
Création d'une nouvelle zone

Vous devrez ensuite sélectionner le type de zone. Nous avons besoin d'une zone principale stockée dans Active Directory.

Création d'une nouvelle zone
Création d'une nouvelle zone

La zone étant stockée dans Active Directory, on pourra sélectionner le fonctionnement de la réplication pour la zone DNS. Le choix par défaut est correct.

Réplication de la zone
Réplication de la zone

Vous pourrez ensuite indiquer le nom de votre zone.

Nom de la zone
Nom de la zone

Normalement, vous n'aurez pas besoin des mises à jour dynamiques pour cette zone : il ne devrait y avoir que des enregistrements relatifs à vos serveurs. Afin d'éviter tout problème, désactivez les mises à jour dynamiques.

Interdiction des mises à jour dynamiques
Interdiction des mises à jour dynamiques

Enfin, l'assistant affiche un résumé de la création à effectuer. Cliquez sur Terminer pour créer la zone. Vous pourrez ensuite créer (manuellement) des enregistrements pour vos serveurs.

V-C-3. Redirecteurs

Un petit point sur les redirecteurs du DNS... Il n'y a pas besoin de renseigner ces redirecteurs. En effet, votre serveur DNS possède des indicateurs de racine. Lorsque votre DNS n'a pas de réponse à fournir, il va soit interroger les serveurs stockés dans les redirecteurs, soit interroger les serveurs DNS racines. S'il interroge les serveurs racines, il va constituer son propre cache et les réponses seront normalement fiables. Si vous interrogez les serveurs de votre FAI, vous aurez des réponses qui peuvent être anciennes : ces serveurs vont aller piocher dans leur cache. En faisant cela, vos réponses seront mises à jour toutes les 48h, ce qui peut être très long. Ne touchez pas aux redirecteurs, c'est inutile et peut vous poser plus de problèmes qu'autre chose. En revanche, les redirecteurs conditionnels sont différents et sont utilisés dans des cas où il faut interroger un serveur DNS particulier au lieu d'aller interroger les serveurs racines.

V-D. Réglage de l'heure via NTP

NTP (Network Time Protocol) est un protocole qui permet de régler l'heure d'une machine à partir d'un serveur de référence. Il existe différents niveaux de serveurs NTP (0 à 3, le plus faible étant le meilleur). En France, il n'existe que quelques serveurs de niveau 2 :

  • ntp.obspm.fr
  • ntp.univ.lyon1.fr
  • ntp.via.ecp.fr

Nous allons définir ces trois serveurs comme serveur de temps sur votre Active Directory. Par défaut,


précédentsommairesuivant

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

  

Copyright © 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts. Droits de diffusion permanents accordés à Developpez LLC.