Intégrer un contrôleur de domaine secondaire

Envoyer

Sommaire

 

 

Introduction

Nous allons voir à travers cet article l’intégration d’un contrôleur supplémentaire au sein d’un domaine Active Directory. On parle en général d’un contrôleur secondaire cependant ceci est une fausse appellation car une architecture Active Directory est multi-maître.

Dans le cadre de cet article, nous allons donc voir comment intégrer un contrôleur supplémentaire en version 2008 R2 dans un domaine existant géré par un 2003 R2. A noter cependant que cette procédure est applicable pour toutes les versions Windows Server.

La réalisation est rapide et simple avec une implication limitée dans un milieu de productif. Il faut toutefois veiller à disposer de sauvegardes fiables et en particulier concernant votre Active Directory.

 

 

Vérifier les niveaux fonctionnels du domaine et de la forêt

Nous allons vérifier le niveau fonctionnel du domaine et l’augmenter si nécessaire. Nous ferons de même avec le niveau fonctionnel de la forêt. En vue de l’environnement dans lequel se réalise cet article, il faudra veiller à ce que les niveaux fonctionnels soient compatibles avec l’intégration d’un serveur en 2008 R2. Pour obtenir des informations complémentaires sur les niveaux fonctionnels Active Directory et pour connaitre sur quel niveau vous devez vous placer dans votre environnement, nous vous invitons à vous rendre ici.

Il faut au moins être en mode natif 2000. Si votre serveur 2003 est le seul contrôleur de domaine de votre infrastructure vous pouvez opter pour le niveau fonctionnel 2003. Ouvrez la mmc « Domaines et approbations Active Directory » depuis « Démarrer » | « Outils d’administration ». Faire un clic droit sur [MONDOMAINE] et choisir « Augmenter le niveau fonctionnel du domaine… ».

Dans notre exemple, le niveau fonctionnel est en Windows 2000 mixte et il faut donc l’augmenter en Windows 2000 natif ou en Windows 2003 pour permettre l’intégration du serveur 2008 R2. Nous choisissons le plus haut niveau fonctionnel car nous ne disposons pas de serveur en 2000.

 

 

 

 

 

 

 

Nous allons vérifier ensuite le niveau fonctionnel de la forêt en cliquant droit sur la racine « Domaines et approbations Active Directory » et sélectionner « Augmenter le niveau fonctionnel de la forêt… ». Le niveau actuel est Windows 2000. Nous l’augmentons au niveau fonctionnel « Windows Server 2003 ».

 

 

 

 

 

 

 

 

 

Préparation de l’annuaire

Il faut maintenant préparer le domaine et la forêt de l’annuaire existant pour pouvoir intégrer le nouveau contrôleur de domaine en version 2008 R2. La préparation est une simple mise à jour des schémas Active Directory entrainant la création de nouveaux objets et attributs.

Pour cela, nous allons utiliser l’outil ADPREP fourni sur le support d’installation du Windows 2008 R2. Vous le trouverez sur « D:\support\adprep » (D : est la lettre du lecteur DVD). Dans ce répertoire vous avez ADPREP.EXE et ADPREP32.EXE, selon le type d’architecture de votre Windows 2003 R2 (s’il est en 32 bits, cas le plus fréquent, nous utiliserons ADPREP32).

 

 

 

 

 

 

 

Lancez donc un invite de commande  et rendez-vous dans le répertoire « d:\support\adprep » et exécutez la commande « adprep32 /forestprep » pour la préparation de la forêt. Une fois l’opération terminée nous allons faire de même avec la commande « adprep32 /domainprep » pour la préparation du domaine.

 

 

 

 

 

 

Sur le serveur 2008, nous allons en premier lieu configurer les paramètres TCP/IP  afin qu’il puisse en tout logique communiquer avec le contrôleur de domaine. Nous allons surtout veiller à ce que ce dernier soit bien référencer en tant que serveur DNS primaire. Lancer donc la commande « ncpa.cpl » depuis « Démarrer » | « Exécuter » pour ouvrir « connexion réseau ». Accéder ensuite aux propriétés de la carte réseau et vérifier en particulier que le DNS primaire est l’adresse IP du contrôleur de domaine existant ( le serveur Windows 2003 est en 192.168.102.150 dans l’exemple ci-dessous).

 

 

 

 

 

 

 

 

 

 

Installation du contrôleur supplémentaire

Nous allons maintenant installer le rôle « services de domaine Active Directory » ce qui nous permettra de disposer de l’outil DCDIAG. Ouvrez « Gestionnaire de serveur » et choisissez « Ajouter des rôles ». Nous sélectionnons « Services de domaine Active Directory », l’assistant signale qu’il faudra installer des fonctionnalités requises (en l’occurrence le .NET Framework 3.5). Nous faisons « Suivant » et ensuite « Installer ».

 

 

 

 

 

 

 

 

Une fois le rôle installé, nous allons tester l’incorporation du serveur 2008 en tant que contrôleur de domaine supplémentaire à l’aide de la commande « dcdiag /test:dcpromo /dnsdomain:domaine.local /replicadc » (domaine.local est le domaine DNS géré par notre annuaire Active Directory) de puis l’invite de commande afin de vérifier qu’il n’y a pas d’obstacle à la promotion de ce serveur.

 

 

 

 

 

 

 

Exécutons désormais « dcpromo » à partir de « Exécuter ». Nous laissons par défaut « Utiliser l’installation en mode avancé ». Il faut ensuite choisir d’intégrer le nouveau contrôleur dans une forêt existante. Nous indiquons à l’étape suivante le nom du domaine Active Directory et précisons le compte disposant des privilèges nécessaires pour réaliser cette installation (nous avons choisi le compte administrateur du domaine).

 

 

 

 

 

 

 

 

 

 

L’assistant nous signale que n’ayant pas préparé l’annuaire avec l’option « /rodcprep », il ne nous sera pas possible d’intégrer un contrôleur en lecture seule (nouvelle fonctionnalité disponible depuis les versions 2008).

 

 

 

 

 

 

Nous spécifions le site sur lequel sera hébergé le contrôleur de domaine. Nous sélectionnons ensuite les options « Serveur DNS » et « Catalogue global ». Un autre avertissement apparaît concernant un problème de délégation avec la zone parente (.local) ce qui est logique car la zone parente .local est fictive. La zone DNS se répliquera sans problème dès lors qu’elle est intégrée à Active Directory.

 

 

 

 

 

 

 

 

 

 

L’assistant vous laisse la possibilité de choisir la provenance des données Active Directory existantes à répliquer. Soit directement par le biais du réseau en contactant le contrôleur de domaine existant, soit à partir d’une sauvegarde. Ceci peut être intéressant lorsque vous devrez ajouter un contrôleur supplémentaire à travers une liaison lente. Nous choisissons de le faire à partir du réseau.

 

 

 

 

 

 

 

 

 

Suite à la sélection précédente, nous devons choisir le contrôleur à contacter. Ensuite nous définissons la location des fichiers liés à l’annuaire (il serait judicieux de suivre les recommandations de Microsoft et de séparer la base de données des fichiers journaux). A l’étape suivante, vous allez devoir rentrer un mot de passe de restauration. Celui-ci sera utiliser en cas de nécessité pour pouvoir démarrer le serveur en mode restauration Active Directory. Enfin, il vous est possible d’exporter cette configuration sous forme de fichier de réponses qui pourrait être utilisé pour d’autres promotion Active Directory (pour la promotion d'un RODC par exemple où il faut obligatoirement un fichier de réponses).

 

 

 

 

 

 

 

 

 

Une fois redémarré, le serveur est désormais promu en tant que contrôleur de domaine.

 

 

Vérification post-installation

Lancer la commande « repadmin /syncall » depuis le 2008 pour forcer une réplication  et « repadmin /showrepl » pour vérifier si la réplication fonctionne correctement.

 

 

 

 

 

 

 

 

Vous pouvez également vérifier que les informations DNS ont bien été répliquées depuis le gestionnaire DNS sur le serveur 2008.

 

 

 

 

 

 

 

Vous avez aussi la possibilité d'utiliser la commande DCDIAG depuis l’invite de commande pour vérifier l’état santé général du contrôleur ou utiliser l’option /test pour effectuer des tests spécifiques (dcdiag /? fera apparaitre tous les tests à disposition).

 

Enfin, vous disposez également d’un outil graphique qui a l’avantage d’être très explicite sur le bon fonctionnement de votre contrôleur qui est replmon. Malheureusement, cet outil a disparu avec les versions 2008 donc si vous voulez l'utiliser, il faudra passer par le 2003. L'outil est fourni avec les supports tools (téléchargeable ici). Une fois ce dernier installé, il faut se rendre dans le répertoire « C:\Program Files\Support Tools » et lancer « replmon.exe ». Il vous suffira d’ajouter le nouveau contrôleur de domaine dans le monitoring en cliquant droit sur « Monitored Servers » et en sélectionnant « Add Monitored Server… ». Ajouter ensuite le serveur soit explicitement soit à l’aide d’une recherche depuis l’annuaire. Une fois le serveur ajouté, vous obtenez toutes une liste d’actions pour vérifier l’état du contrôleur de domaine. Nous pouvons voir, par exemple, depuis l’onglet « Server Flags » accessible depuis « Propriétés », la liste des services relatifs à Active Directory et leur état.

 

 

 

 

 

 

 

 

Pensez également à modifier les paramètres de la carte réseau du 2008 en ajoutant en DNS primaire la boucle local (127.0.0.1) et en DNS secondaire le serveur 2003. Il serait également intéressant de rajouter le 2008 en DNS secondaire sur le 2003 ainsi que sur l'ensemble de votre parc.

 

 

Conclusion

Vous avez donc tout en main pour pouvoir intégrer des contrôleurs supplémentaires et vérifier que tout est opérationnel. Nous soulignons cependant que l'architecture Active Directory étant multi-maîtres aucun contrôleur sera réellement prioritaire par rapport à ses pairs dans ce type de configuration hormis pour des opérations spécifiques.

Maintenant que vous disposez de deux contrôleurs de domaine, vous serez sans doute intéresser par l'article Gérer la charge de vos contrôleurs de domaine.

Mise à jour le Mardi, 21 Décembre 2010 08:36