RODC: partie 2 - Préparatifs et installation

Envoyer

Sommaire

 

Introduction

Après vous avoir présenté la fonctionnalité RODC depuis notre article RODC: partie 1 - Présentation nous allons maintenant passer à son installation en nous attardant premièrement sur les pré-requis à sa mise en place.

 

Les pré-requis

Pour assurer la pertinence de la mise en place d'un RODC au sein de votre infrastructure vous devez disposer d’un réseau WAN constitué d’au moins deux sites. Sauf dans le cas où vous voudriez profiter des avantages des rôles administratifs, mettre un RODC sur un site unique ne vous apportera que peu de choses. Il en va de même pour un site disposant déjà d’un contrôleur de domaine accessible en écriture.

Veuillez noter que votre premier contrôleur de domaine racine ou enfant ne peut être un RODC du fait qu’il ne gère pas les réplications sortantes, n’a pas d’accès en écriture sur la base d’annuaire et qu’il ne peut se voir attribuer le moindre maîtres d’opérations.

 

Techniquement, il est nécessaire de respecter ou de prendre en compte les points suivants:

  • Les niveaux fonctionnels: Vous devez disposer d’un niveau fonctionnel de forêt et de domaine en 2003 ou supérieur.
  • Les versions des schémas: Les versions du schéma de la forêt et du domaine doivent être au minimum en 2008. Il faudra également modifier  le schéma pour accueillir la fonctionnalité RODC qui nécessite une mise à jour particulière.
  • La version de vos contrôleurs de domaine: Pour chaque RODC en version 2008 ou 2008 R2 déployé sur un domaine, vous devez avoir au minimum un serveur en version 2008 à disposition sur chacun de ces domaines pour la réplication. Pour assurer la tolérance de panne, il est même conseillé de disposer d’au moins deux contrôleurs 2008 en écriture. Si le RODC est en 2008 R2 et que vous ne disposez que de contrôleurs 2008 en écriture alors certaines erreurs dans le journal d’évènements pourront apparaitre mais que vous pouvez totalement occulter (event id 1699).
  • La version de vos postes clients: Côté client, les versions 2000 ne sont pas supportées. Des versions ultérieures jusqu’à Vista, il sera nécessaire d’appliquer un hotfix disponible ici. A partir de Vista SP1, la compatibilité est native avec RODC. Vous avez des informations exhaustives depuis l'article Technet Known Issues for Deploying RODCs.
  • Prise en charge des FAS (Filtered Attribute Set): Pour gérer le filtrage des attributs, il sera impératif de placer le rôle maître de schéma sur un contrôleur en version 2008. Et il est fortement recommandé de passer le niveau fonctionnel de votre forêt en 2008.
  • Placement du catalogue global: Il est fortement conseillé de mettre le RODC en catalogue global car la mise en cache de l’appartenance aux groupes universels peut provoquer des résultats inattendus (problème de rafraichissement entre la mise en cache des mots de passe et de l’appartenance aux groupes universels). L’activation de cette fonctionnalité sur le RODC permettra en plus de cantonner les requêtes clients sur leur site respectif. L’inconvénient principal sera une consommation relativement accrue de la bande passante donc l’activation de cette fonction dépendra toute fois de cette restriction.

Les phases de préparation

Cet article s’appuie sur une maquette constituée d’un contrôleur de domaine accessible en écriture placé sur le site de Paris et de notre RODC sur le site de Marseille.

 

Site principal :

  • Nom du site: PARIS
  • Réseau IP du site: 192.168.0.0/24
  • Domaine Active Directory: corpnet.net
  • Nom du contrôleur: SRVAD
  • Type de version: Windows 2008 R2 Edition Standard
  • IP du contrôleur: 192.168.0.1

 

Site annexe:

  • Nom du site: MARSEILLE
  • Réseau IP du site: 192.168.1.0/24
  • Domaine Active Directory: corpnet.net
  • Nom du contrôleur: RODC
  • Type de version: Windows 2008 R2 Edition Standard
  • IP du contrôleur: 192.168.1.1

 

Vous devez obligatoirement avoir déjà à votre disposition un contrôleur de domaine en 2008 au sein de votre domaine afin de pouvoir accueillir le RODC. Vos schémas sont donc déjà à jour. Cependant il est probable que vous désiriez intégrer votre RODC sous une version 2008 R2 et dans ce cas-là il faudra mettre à jour de nouveau vos schémas.

Si vous disposez déjà d'un 2008 R2 en tant que contrôleur de domaine alors il faudra préparer nos partitions de schéma pour l’accueil du RODC qui nécessite une mise à jour. Placez donc le DVD d’installation de 2008 R2 sur votre maître de schéma et saisissez la commande « d:\support\adprep\adprep.exe /rodcprep » ou « d:\support\adprep\adprep32.exe /rodcprep » (D: est notre lecteur de DVD) selon qu'il soit en 64bits (adprep.exe) ou en 32bits (adprep32.exe).

 

 

 

 

 

 

Si vous ne disposiez que d'une version 2008 alors lancez depuis un invite de commandes « d:\support\adprep\adprep.exe /forestprep » ou« d:\support\adprep\adprep32.exe /forestprep »  pour mettre à jour votre forêt.

 

 

 

 

 

Il faudra faire de même pour le schéma du domaine en lançant la commande « d:\support\adprep\adprep.exe /domainprep » ou « d:\support\adprep\adprep32.exe /domainprep ».

 

 

 

 

 

Remarque : les résultats fournis ci-dessus nous signale que nos schémas sont déjà à jour car en effet notre contrôleur de domaine est déjà en 2008 R2.

Une fois le schéma mis à jour, nous allons configurer le site Active Directory de Marseille pour l’accueil du RODC. Pour cela, ouvrez la mmc « Sites et services Active Directory » depuis « Démarrer » | « Outils d’administration ». Comme vous pouvez le voir ci-dessous, nous avons déjà  créé le site PARIS contenant SRVAD et le subnet 192.168.0.0/24 qui lui est rattaché.

 

 

 

 

 

 

 

Nous allons faire de même pour le site de Marseille. Faites un clic droit sur « Sites » et sélectionnez « Nouveau site… ». Entrez le nom du site et sélectionnez le nom du lien DEFAULTIPSITELINK.

 

 

 

 

 

 

 

 

Le site de Marseille étant créé, nous allons ensuite pouvoir lui rattacher le sous réseau 192.168.1.0/24 en se plaçant sur « Subnets » et en sélectionnant « Nouveau sous-réseau… » à l’aide d’un clic droit. Entrez donc votre adresse et votre masque de sous-réseau 192.168.1.0/24 depuis le champs préfixe et associez-le au site MARSEILLE.

 

 

 

 

 

 

 

 

 

Pour plus de clarté, il vous sera possible de renommer votre lien de site créé par défaut et portant le nom DEFAULTIPSITELINK en vous rendant dans « Inter-Site Transports » | « IP ».

 

 

 

 

 

 

 

Si vous désirez une configuration mieux adaptée à votre structure, Technet propose l'article RODC Placement Considerations.

Pour finir au niveau de la préparation, il sera intéressant de créer un groupe Administrateurs Marseille qui se verra octroyer les droits d’administration sur le RODC.

 

 

Installation du RODC

Le domaine étant prêt à accueillir le RODC et notre nouveau site Active Directory étant créé, nous allons passer à l’installation du RODC. Premièrement réalisez une nouvelle installation d’un Windows 2008. Si vous avez besoin d’aide pour réaliser l’installation nous vous invitons à vous rendre sur l'article Installation de Windows 2008 R2.

Remarque: Il peut être également intéressant de déployer le RODC sur une installation Windows de type Core cependant nous traiterons de ce sujet dans un autre article très prochainement.

Nous allons maintenant promouvoir ce nouveau serveur en tant que RODC grâce à la commande « DCPROMO ». Pensez à cocher « Utiliser l’installation en mode avancé ».

 

 

 

 

 

 

 

 

 

Notre RODC sera bien entendu intégré dans une forêt existante en tant que contrôleur supplémentaire. Il faudra donc ensuite préciser le nom de domaine Active Directory et les informations d’authentification permettant l’ajout du contrôleur au domaine (un compte membre du groupe administrateurs du domaine).

 

 

 

 

 

 

 

 

 

Il faudra que vous sélectionniez le site correspondant au nouveau contrôleur. Si vous avez suivi correctement les étapes de préparation, l’assistant détectera automatiquement le site voulu.

 

 

 

 

 

 

 

 

 

Cette étape est la plus importante lors de l’installation d’un RODC. C’est justement lors de cette phase que vous définissez votre nouveau contrôleur en tant que RODC en cochant « Contrôleur de domaine en lecture seule (RODC) ».

L’assistant proposera ensuite de définir la stratégie de réplication de mots de passe que vous voulez mettre en place. Nous nous consacrerons à cette tâche ultérieurement donc laissez les paramètres par défaut pour le moment.

Nous passons à la configuration de la délégation d’administration qui permettra d’allouer les droits d’administration locale sur le RODC à un groupe ou à un utilisateur. Nous avons opté pour un groupe. Il nous suffira simplement de définir les membres de ce groupe selon les besoins.

 

 

 

 

 

 

 

 

 

Nous sortons du paramétrage propre au RODC pour reprendre l’assistant tel qu’il se présente pour une promotion traditionnelle. Dans cette partie, vous pouvez choisir de répliquer la base de votre annuaire via le réseau où à partir d’un support. Bien que la dernière solution peut s’avérer très utile surtout si la bande passante est limitée, nous ne la traitons pas dans cet article. Ayant donc choisi de répliquer via le réseau, nous avons la possibilité désormais de choisir notre partenaire de réplication durant l’installation.

 

 

 

 

 

 

 

 

 

Il ne reste plus qu’à définir le stockage des différentes données de votre RODC, de définir le mot de passe de restauration et de vérifier vos paramètres avant d’en finir avec l’assistant.

 

 

 

 

 

 

 

 

 

Une fois le serveur redémarré, il est désormais promu en tant que contrôleur de domaine en lecture seule. Vous pouvez le vérifier assez simplement à partir de la console « Utilisateurs et ordinateurs Active Directory ». Depuis le conteneur « Domain Controllers », vous avez la colonne « type de contrôleur de domaine » vous indiquant si un objet est en lecture seule.

 

 

 

 

 

 

Conclusion

Votre RODC est désormais installé et opérationnel. Maintenant, il ne vous reste plus qu'à configurer le PRP, les FAS et l'ASR afin de sécuriser et gérer au mieux votre nouvelle installation. Pour cela, nous vous proposons de consulter les articles RODC: partie 3 - Configuration de PRP et RODC: partie 4 - Configuration de FAS et ARS.

Mise à jour le Mardi, 21 Décembre 2010 08:40