[Windows Server 2012 R2] Installer et configurer le rôle Active Directory (AD)

Le rôle « Active Directory » (AD) de Windows Server vous permet de créer un domaine, c’est-à-dire un réseau d’entreprise.
L’installation de ce rôle se fait assez simplement, la configuration est par la suite plus pointue et spécifique à votre réseau.


I. Installation

Pour ajouter un rôle quelconque, vous devez ouvrir le Gestionnaire de Serveur – une fois dedans, cliquez sur le lien « Gérer » puis « Ajouter des rôles et des fonctionnalités« .
Une première fenêtre va alors s’afficher :

Il faut bien entendu choisir l’option « Installation basée sur un rôle ou une fonctionnalité« , puisqu’il s’agit d’un nouveau rôle à installer et non pas d’une fonctionnalité complémentaire pour le rôle TSE.

Vous devez par la suite sélectionner le serveur sur lequel le rôle doit être installé – dans mon cas, il n’y a qu’un seul serveur, la question ne se pose pas…

Vient enfin la sélection du ou des rôles à installer sur votre serveur.
Dans cette situation, nous souhaitons mettre en place un réseau d’entreprise « simple » – il faut donc sélectionner uniquement « Services AD DS« .

Lorsque la case est cochée, des fonctionnalités complémentaires vont être automatiquement sélectionnées aussi ; Il est impératif d’avoir tous ces outils pour pouvoir gérer efficacement le serveur AD.

Il n’y a pas d’autres fonctionnalités spécifiques à installer pour installer / gérer l’AD.
Toutefois, vous pouvez sélectionner « .NET Framework 3.5« , cet utilitaire est toujours utile pour vos applications diverses…

Après la sélection du rôle AD DS et des fonctionnalités associées (automatiquement), une brève présentation du rôle sera affichée.

L’installation va enfin pouvoir se lancer en cliquant sur le bouton « Suivant« .

Vous n’aurez pas besoin d’avoir les fichiers « sources » de Windows Server pour ce rôle ; par contre, vous devrez redémarrer votre serveur à la fin de l’installation. Vous pouvez donc dès à présent cocher la case « Redémarrer automatiquement le serveur« .

Selon la puissance de votre serveur / VM, l’installation peut prendre jusqu’à une dizaine de minutes.
Le redémarrage du serveur sera plus long qu’habituellement, notamment à cause de la mise en place des nouveaux services qui ont été installés.


II. Configuration de l’AD pour un nouveau domaine

Lorsque votre serveur est de nouveau en ligne, vous arriverez directement dans le Gestionnaire de serveur. Un bandeau jaune tout en haut de la fenêtre apparaît, vous rappelant que vous devez terminer la configuration du rôle AD DS.
Sans cette configuration préliminaire, vous ne pourrez pas avoir votre domaine (donc votre réseau d’entreprise).

Lorsque vous cliquez sur le bandeau jaune, une nouvelle fenêtre va s’ouvrir : il s’agit d’un assistant pour la configuration du rôle AD DS – passage obligatoire.

La procédure actuelle consiste en la création d’un nouveau domaine – vous devez donc sélectionner l’option « Ajouter une nouvelle fôret« .
Vous devrez aussi y saisir le nom de ce nouveau domaine.

ATTENTION

Le nom de votre domaine est très important – en effet, vous pouvez y saisir un nom de domaine réel (utile pour des synchronisations avec le cloud ou pour garder une « logique » au sein de votre réseau) ou saisir un tout autre nom.
Sachez que le renommage d’un domaine AD DS est possible, mais l’impact « technique » est très conséquent (pour les PC, les utilisateurs, les services et les logiciels).

Une fois le nom du domaine saisi, la fenêtre ci-dessous va alors s’afficher :

Le « niveau fonctionnel » d’un domaine correspond aux services disponibles pour ce domaine. Plus le niveau fonctionnel est élevé, plus vous aurez de fonctionnalités pour vous et vos utilisateurs. Vous pouvez avoir des informations complémentaires à cette adresse – lien Microsoft Technet.

Il est (bien entendu) préférable d’utiliser le niveau fonctionnel le plus haut pour le domaine Active Directory – Windows Server 2012 R2.

Une seconde étape obligatoire doit être passée : le mot de passe de restauration.
Ce mot de passe sera utilisé uniquement dans le cas où votre AD DS se retrouve corrompu et inaccessible – vous pourrez tenter la restauration de votre AD (et de retrouver une certaine sécurité) grâce à ce mot de passe. Veillez donc à mettre un mot de passe robuste et ne le perdez surtout pas…

Un message d’avertissement va apparaître :

Le rôle AD DS nécessite le rôle DNS. Vous devez avoir un serveur DNS pour pouvoir utiliser votre domaine.
Selon les « best practices » de Microsoft (les « bonnes pratiques »), il est conseillé d’avoir un serveur DNS indépendant du serveur ayant l’Active Directory. Il s’agit de la théorie – pour cette procédure (et pour mes tests), le serveur DNS et l’Active Directory seront sur le même serveur.

Explications du message d’avertissement

Si vous installez le rôle DNS en même temps que l’AD DS, ou si vous avez déjà installé le rôle DNS sans avoir fait de configuration spécifique, vous n’avez pas à tenir compte de cette alerte : la configuration se fera quasi-automatiquement.
Si vous n’avez pas installé le rôle DNS (ou si votre serveur DNS est sur un serveur Linux, par exemple), vous devrez créer les zones DNS vous-même.

Le nom NetBIOS correspond au préfixe de votre domaine saisi précédemment – dans cet exemple, le nom de domaine est « CZS.local », le nom NetBIOS sera donc « CZS », simplement.

Vous arriverez à l’étape « emplacement des données » : vous aurez trois dossiers à choisir / spécifier :

  • Dossier de la base de données
    A l’intérieur se trouve tous les fichiers nécessaires au fonctionnement interne de l’Active Directory : les fichiers temporaires, les fichiers d’échanges, la base de données de l’AD…
  • Dossier des fichiers journaux
    Tous les fichiers de log iront dans ce dossier, sous forme de fichier .txt qui seront « lus » par l’outil « Observateur d’événements« . Vous pouvez spécifier un autre emplacement pour stocker ces fichiers, mais vous ne pourrez pas envoyer ces logs vers un serveur syslog de par cette procédure.
  • Dossier SYSVOL
    Ce dossier contiendra les scripts de connexion pour vos utilisateurs, les GPO (stratégies de groupe) et les autres fichiers nécessaires pour de la réplication d’AD et de partages publics.

Par défaut, ces dossiers se trouvent dans « C:Windows ». Vous pouvez changer l’emplacement de ces trois dossiers, il s’agit purement d’une organisation interne. N’oubliez pas leur emplacement en cas de problème avec votre serveur…


La configuration du rôle AD DS va bientôt débuter !
Un récapitulatif complet va s’afficher avec toutes les options et fonctionnalités que vous avez choisi et configuré.

Une dernière étape primordiale est à passer – la vérification de votre configuration d’AD DS.
Windows Server est en mesure de vous dire si oui ou non les paramètres que vous avez sélectionnés sont « capables » pour un domaine AD. Vous devez prendre en compte tous les points cités dans cette fenêtre, sans quoi votre domaine pourrait ne pas être exploitable ou ne pas se créer.

Dans mon cas, j’ai deux messages :

  • Un premier avertissement quant à la sécurité vis-à-vis du niveau fonctionnel du domaine sélectionné.
  • Un second message quant au serveur DNS – le rôle était installé sur mon serveur de test, mais aucune configuration n’a été effectué, d’où la création manuelle que j’aurai à faire pour ce nouveau domaine.

Le plus important, c’est d’avoir l’information dans le ruban jaune en haut de la fenêtre : « Toutes les vérifications de la configuration requise ont donné satisfaction. »
La création du domaine AD DS peut alors s’opérer !


L’installation est assez longue > de nombreux paramètres sont en cours de modification pour mettre en place le domaine.
Lorsque tous les paramètres « préliminaires » seront configurés, le serveur doit être obligatoirement redémarré.

Une fois votre serveur redémarré, vous devriez voir ce genre d’écran (ci-dessous) apparaître :

Le contrôleur de domaine est dès à présent actif et mis en place !
Vous devez vous connecter avec votre compte Administrateur « local » – ce compte administrateur local fait aussi office de compte « Administrateur du Domaine« .


III. Configuration du DNS post-installation AD DS

Maintenant que votre contrôleur de domaine est prêt à l’emploi, une étape complémentaire est à effectuer sur votre serveur DNS. Lors de l’installation du rôle AD DS, vous avez eu un message d’avertissement, en vous précisant que si le rôle / serveur DNS était joignable, une configuration automatique sera effectuée – Dans l’autre cas, vous devrez configurer tout de vous même sur ce serveur DNS.

Ici, le DNS a été configuré à moitié.
Il est nécessaire de créer une zone de recherche inversée. Pour ce faire, ouvrez le « Gestionnaire DNS« , puis ouvrez l’arborescence de votre serveur DNS.

Faites un clic droit sur le dossier « Zones de recherche inversée« , puis cliquez sur « Nouvelle zone » :

Puisque ce serveur DNS est le principal (pas de redondance ou autre dans cet exemple et cette situation), il faut bien cocher « Zone principale« . De plus, l’option « Enregistrer la zone dans un AD » doit elle aussi être sélectionnée, sans quoi votre AD ne saura pas vers quel serveur DNS effectuer ses demandes de résolutions de noms.

L’assistant de création de zone va alors se lancer – Un nouveau choix se pose :

  • Réplication sur tous les serveurs DNS sur des AD dans la forêt AD
  • Réplication sur tous les serveurs DNS sur des AD dans le domaine AD
  • Réplication vers tous les AD du domaine AD

Pour une facilité de gestion et éviter les problèmes DNS, il est préférable d’utiliser la seconde option (« Vers tous les serveurs DNS exécutés sur des AD dans le domaine« ) : vous couvrirez au maximum votre domaine quant à la résolution des noms.

Par la suite, il faut y saisir le nom de la zone inverse.
Pour rappel, cette zone inverse correspond à votre réseau IP (et son masque, implicitement) mais « à l’envers ».

Mon réseau étant un « 192.168.0.0/24 », l’IP en zone inverse sera donc « 0.168.192 ». Si vous avez un réseau en « 172.16.0.0/16 », votre zone inverse sera « 16.172 ».
Cette procédure est automatisée par Microsoft, vous n’avez plus réellement besoin de réfléchir et vous ne vous tromperez pas.

La prochaine étape concerne les mises à jour envoyées quant aux enregistrements DNS. Par défaut, les mises à jour dynamiques sécurisées sont les seules autorisées uniquement si votre serveur DNS est enregistré dans votre AD (vous avez choisi cette option précédemment).

Ce paramètre étant le correct, il vaut mieux le laisser tel quel.
Je n’ai jamais utilisé les autres options – Le support Technet de Microsoft pourra certainement vous en apprendre plus sur ces options.

La fin de la configuration approche !
Un récapitulatif de la nouvelle zone inverse apparaît – la création se fera immédiatement après avoir cliqué sur le bouton « Terminer« .

La nouvelle zone inverse est prête, vous devriez la voir s’afficher dans la liste , sous le dossier « Zones de recherche inversée« . De plus, son état doit être « En cours d’exécution« , puisque le serveur DNS est opérationnel et prêt à recevoir des requêtes.

Il reste encore quelques options à configurer pour avoir un Active Directory pleinement fonctionnel pour vos clients.


IV. Options complémentaires

  1. Les redirecteurs DNS

Pour aller encore plus loin dans la configuration de votre rôle DNS, vous pouvez configurer les « Redirecteurs« .
Ces redirecteurs sont plus qu’utiles > si votre rôle DNS n’arrive pas à résoudre certaines requêtes, il utilisera un des redirecteurs que vous lui spécifierez.

Pour ajouter des redirecteurs, ouvrez le Gestionnaire DNS de votre serveur, puis faites déroulez l’arborescence du serveur DNS concerné.
Tout en bas de la liste, vous trouverez un lien « Redirecteurs » > Faites un clic droit dessus, puis sur propriétés.

En cliquant sur le bouton « Modifier« , vous allez pouvoir ajouter de nouveaux redirecteurs DNS. Saisissez l’adresse IP du serveur DNS complémentaire, la résolution de son nom va alors se faire et la configuration sera terminée.
Vous pouvez ajouter plusieurs adresses de serveur DNS, mais attention à ne pas trop en mettre pour éviter d’envoyer trop de requêtes.

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

9 commentaires

    1. Problème de copie de fichiers, lors de migration de serveur ! C’est de nouveau corrigé, merci pour l’information !
      Et merci pour les compliments 🙂 A bientôt sur CZS !

      1. Je vous en prie ! 🙂
        Il y a également un souci avec les images des ‘TUT’S …’ dans l’onglet ‘TUTORIELS’ et celles de ‘TESTS’.

  1. bjr merco bp pour le tuto.
    svp si vous-avez des info sur l’installation d’active directory a l’aide d’un fichier de reponse envoyer-les si possible merci.

    1. Bonjour Assafar,
      Le fichier de réponse pour créer un Active Directory est disponible à la fin de la mise en place de l’Active Directory par l’assistant « Ajout / suppression de rôles Windows Server ». Je n’ai pas encore pris le temps de faire ce fichier de réponse, ça peut-être une idée d’article prochainement… 😉

  2. Bonjour,

    Super Tuto, moi j’ai un soucis avec mon domaine windows 2008 R2,je n’arrive pas à ajouter des utilisateurs du domaine dans des groupes locaux dans mes postes client car dans le choix d’EMPLACEMENT je n’ai que le POSTE CLIENT comme choix de domaine, je n’arrive pas non plus à appliquer des GPO, j’ai toujours le problème que le poste n’arrive pas à trouver de controleur de domaine, pourtant l’ajout de nouveau poste au domaine se fait sans soucis, même pour l’ouverture de session des utilisateurs dans le domaine.
    Comment pourrais-je y remédier ?
    Merci Bien

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Share This
Fermer
Fermer