Windows Server 2019 - Créer un domaine Active Directory

Tut's Windows janv. 06, 2020

Windows Server vous permet d'avoir et de mettre en place une grande possibilité de services - ici, nous nous attarderons sur l'installation d'un Active Directory (AD).

Pour rappel, un Active Directory est un ensemble d'outils vous permettant de générer un "Domaine" - les utilisateurs auront alors accès à un réseau unifié avec des droits, des partages et des ressources partagées (logiciels, données, sécurité). De base pour les clients (physiques et virtuels) Microsoft, vous pourrez aussi connecter des machines disposant d'un autre OS.

Pré-requis important : votre serveur doit être totalement à jour, sans redémarrage en attente, sans logiciel en cours d'installation et avoir une IP fixe.


L'objectif est d'installer rapidement le rôle, pas forcément de perdre du temps dans des explications farfelues.

Sur votre bureau, lancez l'outil "Gestionnaire de Server" (Server manager) puis cliquez sur "Gérer" et enfin "Ajouter des rôles". L'option sélectionnée par défaut est bonne (nous n'installons pas un rôle pour les bureaux à distance).

Sélectionnez le serveur où vous souhaitez installer le rôle AD (facile, on set déjà dessus) puis cliquez sur "Suivant".

Le rôle à choisir dans la liste est le suivant : "Active Directory Domain Services". Les outils de management arriveront en même temps que l'installation du service.

Pour aller plus loin, j'ajoute aussi le serveur DNS. Si vous créez un nouveau réseau/SI, alors vous pouvez prendre ce rôle DNS. Toutefois, si vous créez ce nouvel AD dans un réseau déjà existant, alors n'ajoutez pas le rôle DNS.
Le serveur DHCP est quant à lui facultatif si vous avez déjà un matériel ou un autre serveur occupé à cette fonction.

L'installation va s'initier juste après la sélection des rôles - ne redémarrez pas le serveur immédiatement après l'installation (l'assistant d'installation le fera pour vous coûte que coûte).

Une fois l'installation OK, un lien de configuration apparaîtra dans la fenêtre d'installation > "Promouvoir ce serveur en contrôleur de domaine". Cette option transformera votre serveur en véritable infrastructure de domaine.

Une nouvelle fenêtre permettant la configuration de l'AD va alors s'afficher - dans notre cas, nous souhaitons avoir un domaine (Catalogue global) et par la même occasion un service DNS. Par la même occasion, vous devrez y saisir le mot de passe de restauration de l'AD (DSRM) - ce mot de passe vous sera demandé lorsque vous ferez une restauration de l'AD vers d'autres serveurs (notamment lors des backup/restore via un système tiers).

La délégation DNS est utilisée lorsque vous disposez d'un autre serveur DNS sur le réseau, voir même un autre AD. Ainsi, ce serveur serait en mesure d'ajouter des enregistrements DNS sur les autres serveurs DNS du réseau et faire partie des serveurs DNS répondant sur le réseau pour les clients, assurer une redondance etc... Ce ne sera pas notre cas pour l'instant.

Les emplacements définis automatiquement sont à retenir - les fichiers de configuration de l'AD et autres données nécessaires au bon fonctionnement du service se trouveront à ces 3 endroits. Vous pouvez modifier les emplacements, mais attention à la sécurité à mettre en oeuvre par la suite.

Enfin, un récapitulatif vous sera affiché - un script PowerShell est aussi disponible via le bouton "Voir le script" : pratique pour créer un AD en une seule ligne de commande !

Rapidement, un contrôle sur le serveur sera effectué pour s'assurer que tout est en ordre - des avertissements s'afficheront sans doute, notamment quant à la cryptographie en place et vis-à-vis de la délégation DNS qui n'a pas été créée.

Quand l'installation se terminera, le serveur va redémarrer automatiquement - Vous pourrez alors vous connecter avec le compte administrateur (et le mot de passe associé) sur ce nouvel AD !

IMPORTANT : Maintenant que votre serveur est redémarré, vous devrez modifier votre adressage IP - en effet, suite à l'installation du rôle AD, votre serveur DNS primaire sera défini sur "127.0.0.1" ; d'expérience, vous aurez des problèmes de résolution de nom y compris des lenteurs pour ouvrir vos sessions AD (sur votre serveur et vos clients). Mettez l'adresse IP de votre serveur AD dans l'emplacement de votre DNS primaire.


Rôle DNS

Puisque l'AD a été précédemment créé, il est temps de finaliser l'installation du serveur DNS (si vous avez coché l'option plus haut lors de la mise en place des rôles).

La zone de recherche directe est déjà créée par défaut - pour assurer une résolution de noms dans les deux sens (par IP ou par noms), vous devez créer une zone de recherches inversées.

Pour se faire, faites un clic droit sur "Zone de recherche inversée" puis sur "Ajouter une nouvelle zone". Sélectionnez l'option "zone primaire" et vérifiez que l'option "Stocker la zone dans l'Active Directory" est bien cochée.

La zone se créant, une nouvelle option vous sera demandé : faut-il propager la zone de recherche inversée aux serveurs DNS d'une forêt AD, au domaine AD ou aux serveurs de domaines ?
Pour une compatibilité complète et une facilité d'utilisation, sélectionnez "À tous les serveurs DNS du domaine".

Saisissez ensuite l'adresse IP réseau où se trouve le serveur DNS - l'assistant se gère lui-même des configurations spécifiques.

N'autorisez uniquement les mises à jour dynamiques - les deux autres options ne devraient même plus exister de nos jours...

Enfin, votre serveur DNS est prêt à l'emploi pour une résolution DNS aussi bien par nom que par IP sur le réseau IP de votre AD.
Libre à vous ensuite de générer de nouvelles zones primaires pour d'autres réseaux IP.

Mots clés

Julien HOMMET

Bercé par l'informatique depuis mon plus jeune âge, je transforme ma passion en expertise.

Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.