Installation des services de domaine Active Directory sur 2008 R2

Envoyer

Sommaire

 

Introduction

Nous allons voir ensemble l’installation de l’annuaire Microsoft Active Directory, élément devenu incontournable dans tous les types de structures professionnelles équipés d’une infrastructure Microsoft. De nombreux avantages découlent de son utilisation au sein d’un réseau informatique aussi bien au niveau de l’administration que de l’utilisation.

Outre le fait que de nombreuses applications nécessitent son installation comme Microsoft Exchange par exemple, disposer d’Active Directory va permettre d’intégrer vos postes de travail et de créer des comptes utilisateurs pour ensuite les administrer. Vous pourrez donc par la suite appliquer de façon simple et efficace des restrictions d’accès par poste ou par utilisateur, faire du déploiement de périphériques comme des imprimantes ou même d’applications, de monter des lecteurs réseaux en fonction de différents critères et bien d’autres choses que nous verrons plus tard.

Active Directory est apparu avec la version Microsoft Windows 2000 Server est s’est enrichi au fil du temps.  D’ailleurs, et comme de nombreux éditeurs de solution logicielle, la dénomination a évolué et est désormais AD DS pour « Active Directory Domain Services », ce qui donne en français « Services de Domaine Active Directory ». Nous pourrons également nous attarder prochainement sur les différences et les évolutions entre les versions Active Directory et leur compatibilités.

Installer Active Directory correspond à promouvoir un serveur en tant que contrôleur de domaine.

 

Pre-requis

Le seul pre-requis pour réaliser cette installation est de disposer d’une installation de Microsoft Windows 2008 R2. Si ce n’est pas déjà le cas, je vous invite à suivre le tutoriel suivant : Installation de Windows 2008 R2.

 

Installation

Sur Windows 2008, l’installation de l’annuaire peut se lancer de deux façons différentes de part son mode de fonctionnement différent de ses prédécesseurs qui étaient 2000 et 2003. En effet, sur les versions antérieures, il fallait exécuter depuis « Executer » du menu « Démarrer » la commande « DCPROMO.EXE » qui lançait l’assistant d’installation Active Directory. Cette solution est toujours opérationnelle sur 2008 cependant il est possible désormais de passer au préalable par l’interface graphique. DCPROMO reste cependant nécessaire pour configurer l’annuaire sous 2008 car le nouvel assistant  n’installe que les fichiers et services nécessaires à AD DS mais ne l’installe pas à proprement parler. En résumé, ca ne semble pas servir à grande chose de prime abord à part perdre un peu plus de temps cependant, le fait d'installer le rôle vous permettra entre autres d'utiliser des outils comme DCDIAG.

Lancer le « gestionnaire de serveur » en cliquant sur l’icône situé à côté de « Démarrer ». Vous pouvez également y accéder par un clic droit sur « Ordinateur » depuis le menu « Démarrer » et choisir l’option « Gérer » (les deux options sont surlignées en jaune sur le premier des imprimes écrans ci-dessous).

 

 

 

 

 

 

 

Une fois le gestionnaire de serveur lancé, rendez-vous dans la section « Rôles » à partir du menu situé sur la gauche. Vous devriez en avoir zéro d’installé tel que cela est le cas dans cet exemple. Cliquer ensuite sur « Ajouter des rôles » situé sur la fenêtre de droite ou sélectionner l’option portant le même nom à l’aide d’un clique droit sur « Rôles » dans le menu de gauche.

 

 

 

 

 

 

 

Nous arrivons sur « Assistant Ajout de rôles » qui propose en premier lieu de faire tout un ensemble de vérification. Dans un cadre productif, il sera conseillé de les suivre à la lettre et en particulier les mises à jour. Cela sera un gage supplémentaire pour obtenir un système stable (A noter que vous pouvez désactiver cette page en cochant « ignorer cette page par défaut » lors d’un prochain appel à l’assistant).

 

 

 

 

 

 

 

Sélectionner le rôle « Services de domaine Active Directory ».

 

 

 

 

 

 

 

Dans le cas présent, il manque une fonctionnalité requise pour l’installation du rôle (en l’occurrence le .NET Framework). Choisir « Ajouter les fonctionnalités requises ».

 

 

 

 

 

L’assistant nous convie à prendre quelques dispositions concernant la mise en place d’un annuaire dans le cadre d’un environnement de production. Premier point, et non des moindres, il sera nécessaire d’installer le service DNS mais ca nous verrons cela par la suite. Deuxième point, à souligner, est l’importance de l’annuaire une fois intégrée dans votre architecture et le risque d’indisponibilité suite à une panne du serveur. La solution sera de prévoir rapidement un contrôleur de domaine secondaire afin d’assurer la continuité de service. Enfin, l’assistant nous invite après l’installation à lancer DCPROMO.

 

 

 

 

 

 

 

L’assistant suit son cours et termine sur un rapport d’installation (dans notre rapport nous pouvons voir par exemple que Windows Update n’est pas actif).

 

 

 

 

 

 

 

Une fois, le rôle installé, vous pouvez désormais lancer dcpromo à partir de « Executer » depuis le menu « Démarrer ».

Astuce: bien que dans le cadre d'une nouvelle création de forêt sans réel existant cela ait peu d'intérêt, il vous est possible toutefois de vérifier si le serveur est éligible pour un promotion en tant que contrôleur de domaine d'une nouvelle forêt avec la commande dcdiag /test:dcpromo /dnsdomain:domaine.local /newforest (le service DNS domaine.local doit être configuré)

 

 

 

 

 

Nous allons activer le mode avancé afin de voir les différentes options qui s’offrent à nous. Une seconde fenêtre évoque la compatibilité antérieure du système d’exploitation.

 

 

 

 

 

 

 

 

 

Nous allons choisir de créer un domaine dans une nouvelle forêt car dans le cadre de cet article nous ne disposons pas d’un domaine existant.

Après vous allez désigner le nom de votre nouveau domaine Active Directory. Un nom de domaine Active Directory est exactement similaire à un domaine DNS. Il doit être localisable depuis Internet. Si vous n'avez le moindre doute sur le nom de votre domaine, je vous engage à consulter notre article sur le sujet Bien choisir son nom de domaine Active Directory.

Remarque: le nom de domaine de l'imprime écran ci-dessous n'est donc pas un exemple à suivre !

Ensuite, vous allez désigner le nom NETBIOS, qui est une réminiscence des anciens systèmes Windows et encore utilisé par de nombreux éditeurs de logiciels par exemple. Il est préférable de le laisser tel que l’assistant le génère.

 

 

 

 

 

 

 

 

 

Le niveau fonctionnel de la forêt est une notion importante dans une infrastructure. C’est ce niveau fonctionnel qui va vous permettre de profiter ou non de certaines nouvelles fonctionnalités ou d’assurer une compatibilité descendante avec des anciennes versions clients ou serveurs Microsoft. Dans notre cas, n’ayant aucun existant, nous opterons pour le niveau « Windows Server 2008 R2 ».

 

 

 

 

 

 

 

 

 

Comme nous le disions plus haut, le service DNS est essentiel pour le fonctionnement d’Active Directory et repose en priorité sur lui pour localiser les ressources sur le réseau et être localisé ! L’assistant détecte la présence du DNS et vous propose le cas échéant de l’installer s’il n’est pas présent.

 

 

 

 

 

 

 

 

 

L’assistant valide également vos paramètres réseau. Dans l’exemple ci-dessous, le serveur dispose d’une IP dynamique ce qui est proscrit sur un serveur AD. De plus, pensez à mettre l’adresse de boucle locale du serveur (127.0.0.1) comme serveur DNS primaire. 

 

 

 

 

 

 

 

 

 

L’assistant cherche à savoir si vous allez faire l’objet d’une délégation DNS. Dans notre cas, nous passons outres.  

 

 

 

 

 

 

Vous allez devoir définir les dossiers pour l’ensemble des fichiers stockés par Active Directory. La configuration de base peut tout à fait convenir. Nous partons de toute façon du principe que l’annuaire sera hébergé sur un serveur disposant d’un système RAID.

 

 

 

 

 

 

 

 

 

Vous allez enfin définir le mot de passe de restauration. Ce mot de passe sera utilisé essentiellement dans le cadre d’une restauration de l’annuaire. En effet, si vous devez restaurer votre domaine, vous serez obligé de démarrer le serveur en mode « Restauration des services d’annuaire » et vous devrez utiliser ce mot de passe pour vous connecter au serveur. Il est donc très important !

 

 

 

 

 

 

 

 

 

L’assistant se termine sur un résumé. Vous avez également la possibilité d’exporter les paramètres définis tout au long de cette procédure sous forme de fichier de réponses pour automatiser une prochaine installation.

 

 

 

 

 

 

 

 

 

Une fois le serveur redémarré, vous n’utilisez déjà plus le compte administrateur local (la base utilisateurs locaux est désactivé !) mais le compte administrateur du domaine.

 

 

 

 

 

 

 

 

 

Vous disposez désormais des différents outils liés à l’installation d’Active Directory comme par exemple la console « Utilisateurs et ordinateurs » disponible depuis le menu « Démarrer » | « Outils d’administration ».

 

 

 

 

 

 

 

 

Conclusion

Nous avons donc désormais un annuaire à disposition qui nous permet d'avoir d'une base utilisateurs centralisés, d'intégrer des postes au domaine et de gérer un large panel de tâches d'administration que nous détaillerons dans de prochains articles.

Si vous désirez aller plus loin dans la découverte de l'annuaire Microsoft, nous vous proposons les articles suivants:

Mise à jour le Mardi, 09 Juillet 2013 20:34