Active Directory est un service d'annuaire créé par Microsoft en 1996 et destiné à être installé sur les Windows Server 2000, 2003, 2008, 2012 et 2016. En stockant dans une base de données les renseignements relatifs aux ressources réseau d'un domaine, Active Directory a pour objectif premier de centraliser l'identification et l'authentification d'un réseau de postes Windows. Ses fonctions additionnelles permettent aux administrateurs de gérer efficacement une stratégie de groupe, ainsi que l'installation des logiciels et des mises à jour sur les stations du réseau.

Les objets compris dans la structure de l'Active Directory sont de trois types :

• les ressources (poste de travail, imprimante, scanner, dossiers partagés, etc.)
• les utilisateurs (comptes individuels et groupes, c'est-à-dire des listes d'utilisateurs avec leurs droits et leurs services)
• les services (courrier électronique,…).

Chacun des objets possède une identification unique et des attributs. Certains objets peuvent être des conteneurs d'autres objets. S'ils sont bien paramétrés, ils permettent de connaître très rapidement le détail des ressources spécifiques du système informatique d'une entreprise. Un Active Directory permet de répertorier entre quelques centaines et plusieurs millions de ressources.

La structure Active Directory est composée d'objets hiérarchisés contenus dans des Unités Organisationnelles (UO). Il y a trois degrés composant l'arborescence : * La forêt regroupe de façon hiérarchisée un ou plusieurs domaines indépendants, et donc l'ensemble des sous domaines compris dans l'Active Directory. * L'arbre ou arborescence contient tous les sous-domaines dans des ramifications au sein du domaine principal. * Le domaine, la plus petite unité, représente les feuilles de l'arbre. il peut s'agir de fichiers, par exemple.

Deux serveur fraichement installés avec Microsoft Windows Server 2016 Standard ou Datacenter édition. Exemple :

• Domaine : oowy.lan
• Premier contrôleur de domaine
  • Nom : dc01
  • IP : 192.168.1.51
  • Ressources : 2 vcpu / 4 go de ram
• Second contrôleur de domaine
  • Nom : dc02
  • IP : 192.168.1.52
  • Ressources : 2 vcpu / 4 go de ram

Au premier démarrage de Windows Server 2016, le Gestionnaire de serveur se lance automatiquement.

Cliquer sur “Configurer ce serveur local” pour paramétrer les informations de base.

• Nom de l’ordinateur : donner un nom explicite au serveur, comme SERVEUR ou DC01
• Bureau à distance (à activer pour se connecter à distance par TSE / RDP)
• Ethernet : définir une adresse IP fixe pour ce futur contrôleur de domaine
• Windows Update : il est recommandé d’effectuer les mises à jour avant de démarrer
• Windows Defender (protection contre virus, logiciels malveillants et espions) ou autre antivirus à installer

Redémarrer si nécessaire le serveur pour valider les modifications demandées.

Cette opération consiste à transformer un simple système en serveur de domaine Active Directory pour qu’il devienne le premier contrôleur de domaine (DC) de l’entreprise ou de l’organisation.

La première étape, a priori déjà réglée : ouvrir une session en Administrateur local ou avec un compte qui fait partie des administrateurs locaux du serveur.

Dans le Gestionnaire de serveur, cliquer sur “Add Roles and Features Wizard”.

Choisir “Role-based or Feature-based installation”.

Dans notre exemple, le serveur est le seul du réseau, sinon choisir la bonne machine dans le pool de serveurs.

Cocher le rôle “Active Directory Domain Services” et “DNS Server”.

Valider aussi l’ajout de rôles et de fonctionnalités complémentaires, requises pour l’installation de AD DS.

On valide notre choix en cliquant sur Next.

L’écran suivant permet d’ajouter des fonctionnalités, ne rien faire et cliquer sur Next.

Lisez les informations fournies sur l'AD DS. Puis cliquez sur Next.

Ensuite, dans l'écran de confirmation, vérifier vos sélections et cliquez sur Install.

L'installation va prendre quelques minutes.

Lorsque l'installation est terminée, cliquez sur Close.

Maintenant que le rôle Active Directory est déployé, nous allons promouvoir notre contrôleur de domaine.

Dans notre configuration, il s’agit du premier serveur d’un nouveau réseau.

Choisir “Add a new forest” pour configurer un nouveau domaine. Indiquer un Nom de domaine racine, par exemple “domaine.local” ou dans notre cas “oowy.lan”.

Laisser coché l’ajout de la fonctionnalité “Domaine Name System (DNS) server” pour ajouter ce rôle et indiquer un mot de passe de récupération des services d’annuaire (DSRM).

Un message d’erreur en jaune vient alerter de la délégation du serveur DNS. Il n’y a rien à faire à ce stade, cliquer simplement sur “Next” pour continuer.

Nous avons précédemment choisi un nom de domaine complet (FQDN), il faut maintenant indiquer l’équivalent NetBIOS pour les anciens appareils qui ne gèrent pas les noms de domaines qualifiés. Par exemple, pour “domaine.local” on pourra choisir le NetBIOS “DOMAINE”.

Dans notre cas, nous aurons “OOWY”.

Valider l’emplacement de la base de données AD DS, des journaux d’historique et pour SYSVOL. Laisser les dossiers proposés par défaut (NTDS et SYSVOL dans C:\Windows)

Un récapitulatif résume la configuration qui va être appliquée.

Une dernière vérification est effectuée, des notifications sont affichées mais cliquer sur “Install” pour démarrer le processus.

L’opération dure quelques minutes et le redémarrage de Windows prendra plus de temps que d’habitude, le temps de configurer le contrôleur de domaine.

La connexion à Windows doit maintenant se faire sur le domaine pour utiliser le compte Administrateur du domaine. Utiliser le mot de passe du compte Administrateur créé lors de l’installation de Windows Server 2016.

Il s’agit d’un nouveau profil Windows mais le Gestionnaire des tâches s’ouvre aussi automatiquement. Des blocs indiquent l’état des rôles du serveur : AD DS, DNS, Services de fichiers et de stockage.

En vert, tout va bien. En rouge, pas de panique mais cliquer sur le message pour savoir de quoi il s’agit.

Maintenant que notre Active Directory est installé, nous allons préparer le Serveur DNS, avec des configurations basiques pour fonctionner de façon optimale sur notre réseau.

Dans le gestionnaire Server Manager, lancer la console DNS.

Clic droit sur le serveur DNS > Properties

Sous Interfaces > Vérifiez que la bonne interface réseau est utilisée pour l’écoute des requêtes DNS. Celle-ci doit correspondre à l'adresse IP du server Active Directory.

Sous l’onglet Forwarders, vérifiez que les DNS externes y sont répertoriés

Sinon ajoutez-les via le bouton Edit, puis cliquez sur OK pour valider

Cliquez ensuite sur Reverse Lookup Zones. Ce dernier sera normalement vide. Nous allons donc créer notre zone inverse.

Faîtes un clic droit sur Reverse Lookup Zones > New Zone

Cliquez sur Next

Sélectionnez le type de zone : Primary Zone et laisser coché le stockage de la zone dans Active Directory

Cliquez sur Next

Laissez l’option sélectionné par défaut pour le niveau de réplication DNS, puis cliquez sur Next

Sélectionnez IPv4 Reverse Lookup Zone puis cliquer sur Next

Entrez l’ID réseau de votre sous-réseau puis cliquer sur Next

Sélectionnez l’option qui vous convient, nous allons cocher dans notre cas sélectionner l'option Allow both nonsecure and secure dynamic updates. Cette option permet aux périphériques non intégrés au domaine de mettre à jour leur entrée DNS

La nouvelle zone de DNS inversée est créée.

Cliquez sur Finish pour terminer

Parcourez les Reverse Lookup Zones, vous pouvez maintenant voir les entrées DNS inversées appartenant à ce sous-réseau.

Comme vous pouvez vous en rendre compte dans la capture d'écran précédente, l'entrée DNS de notre Active Directory n'apparait pas. Nous allons forcer la création d’une entrée DNS inversée.

Allez dans Forward Lookup Zones > {votre nom de domaine}, puis faite un clic droit sur l’entrée DNS du serveur AD > Properties

Sous l’onglet Host (A) > cochez Update associated pointer (PTR) record, puis cliquez sur OK

L’entrée DNS existe désormais sous la Reverse Lookup Zones

Cette opération consiste à transformer un simple système en serveur de domaine Active Directory pour qu’il devienne le premier contrôleur de domaine (DC) de l’entreprise ou de l’organisation.

La première étape, a priori déjà réglée : ouvrir une session en Administrateur local ou avec un compte qui fait partie des administrateurs locaux du serveur.

Dans le Gestionnaire de serveur, cliquer sur “Add Roles and Features Wizard”.

Choisir “Role-based or Feature-based installation”.

Dans notre exemple, le serveur est le seul du réseau, sinon choisir la bonne machine dans le pool de serveurs.

Cocher le rôle “Active Directory Domain Services” et “DNS Server”.

Valider aussi l’ajout de rôles et de fonctionnalités complémentaires, requises pour l’installation de AD DS.

On valide notre choix en cliquant sur Next.

L’écran suivant permet d’ajouter des fonctionnalités, ne rien faire et cliquer sur Next.

Lisez les informations fournies sur l'AD DS. Puis cliquez sur Next.

Ensuite, dans l'écran de confirmation, vérifier vos sélections et cliquez sur Install.

L'installation va prendre quelques minutes.

Lorsque l'installation est terminée, cliquez sur Close.

Maintenant que le rôle Active Directory est déployé, nous allons promouvoir notre contrôleur de domaine.

Dans notre configuration, il s’agit du second serveur de notre domain : “oowy.lan”

Choisir “Add a domain controller to an existing domain” pour intégrer le domaine existant.

Une fenêtre apparaît, il faudra renseigner les accès administrateur (Compte administrateur du domaine)

On valide notre choix en cliquant sur Next.

Laisser coché l’ajout de la fonctionnalité “Domaine Name System (DNS) server” pour ajouter ce rôle et indiquer un mot de passe de récupération des services d’annuaire (DSRM).

<bootnote warning> Laisser coché l’ajout de la fonctionnalité “Domaine Name System (DNS) server” pour ajouter ce rôle et indiquer un mot de passe de récupération des services d’annuaire (DSRM).

Un message d’erreur en jaune vient alerter de la délégation du serveur DNS. Il n’y a rien à faire à ce stade, cliquer simplement sur “Next” pour continuer.

Dans l'onglet Additional options, indiquez le serveur avec lequel vous voulez répliquer et copiez toutes les informations de ce contrôleur de domaine puis cliquer sur Next

Valider l’emplacement de la base de données AD DS, des journaux d’historique et pour SYSVOL. Laisser les dossiers proposés par défaut (NTDS et SYSVOL dans C:\Windows)

Un récapitulatif résume la configuration qui va être appliquée.

Une dernière vérification est effectuée, des notifications sont affichées mais cliquer sur “Install” pour démarrer le processus.

L’opération dure quelques minutes et le redémarrage de Windows prendra plus de temps que d’habitude, le temps de configurer le contrôleur de domaine.

La connexion à Windows doit maintenant se faire sur le domaine pour utiliser le compte Administrateur du domaine. Utiliser le mot de passe du compte Administrateur créé lors de l’installation de Windows Server 2016.

Maintenant que notre deuxième Active Directory est opérationnel, nous allons jeter un coup d'oeil à la configuration du service DNS.

En nous connectant à la console DNS et en vérifiant la zone direct (Forword Lookup Zones) et zone inverse (Reverse Lookup Zones), nous retrouvons bien notre serveur DC02

Zone direct (Forword Lookup Zones)

Zone inverse (Reverse Lookup Zones)

Dans la console DNS, faite un clic droit sur la zone directe du domaine et sélectionner Properties.

Dans l'onglet Name Servers, vérifier la présence des deux servers DNS.

Dans la console DNS, faite un clic droit sur la zone inverse du domaine et sélectionner Properties.

Dans l'onglet Name Servers, vérifier la présence des deux servers DNS.

Sur le DC02

Sur le DC01

https://www.microsoft.com/

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-domain-services