Active Directory Service (ADS) est le service LDAP implanté par Windows
2008 Server pour la gestion d'annuaires. Il est en particulier utilisé pour toutes les
tâches d'administration demandant un déploiement réseau et donc pour la création de
domaines. De base, ADS n'est pas installé sous Windows 2008. Au cours de l'installation
du rôle de "contrôleur de domaine", ADS sera installé pour assurer le service
de base de données pour les informations de gestion de domaine. Ensuite, les composants
liés au rôle contrôleur de domaine seront installés et un domaine sera défini.
Dans la pratique, la machine d'installation pourra prendre différents rôles (voir plus
loin pour une définition précise de ces concepts):
- premier contrôleur d'un nouveau domaine dans une nouvelle forêt,
- premier contrôleur d'un domaine enfant d'un domaine existant au sein d'une arborescence
de domaines,
- premier contrôleur d'un nouveau domaine dans une forêt existante,
- contrôleur supplémentaire au sein d'un domaine existant.
Configurations préalables
L'installation en contrôleur de domaine est subordonnée à la réalisation préalable
de certaines opérations:
- Configuration d'une adresse IP statique (obligatoire):
"Panneau de configuration"
-> "Centre réseau et partage"
-> "Voir le statut"
"Voir le statut"
-> "Propriétés"
"Propriétés"
-> "Propriétés" de Protocole Internet version 4 (TCP/IPv4)
"Propriétés" de Protocole Internet version 4 (TCP/IPv4)
- Attribution de son véritable nom au serveur:
"Panneau de configuration"
-> "Système"
-> "Modifier les paramètres"
"Modifier les paramètres de nom"
-> "Modifier"
"Modifier"
Reboot
Installation en contrôleur de domaine
Quelques définitions importantes
Contrôleur de domaine
Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de
données Active Directory, participant à la réplication Active Directory et contrôlant
l'accès aux ressources réseau. Les administrateurs peuvent gérer les comptes
d'utilisateurs, l'accès réseau, les ressources partagées, la topologie du site et les
autres objets d'annuaire à partir de n'importe quel contrôleur de domaine de la forêt.
Contrôleur de domaine supplémentaire
Tout contrôleur de domaine installé sur un domaine existant. Tous les contrôleurs de
domaine participent de manière égale à la réplication Active Directory mais, par
défaut, le premier contrôleur de domaine installé sur un domaine se voit attribuer la
propriété des opérations à maître unique.
Domaine enfant
Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situé
immédiatement sous un autre nom de domaine (le domaine parent). Par exemple,
exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle
aussi de sous-domaine.
Arborescence de domaine
Dans DNS, structure de l'arborescence hiérarchique inversée utilisée pour indexer les
noms de domaines. Dans leur but et leur concept, les arborescences de domaines sont
identiques aux arborescences de répertoires utilisées par les systèmes de fichiers des
ordinateurs pour le stockage sur les disques. Par exemple, lorsque de nombreux fichiers
sont stockés sur un disque, les répertoires peuvent être utilisés pour organiser les
fichiers de façon logique. Lorsqu'une arborescence de domaine comprend plusieurs
branches, chaque branche peut organiser en ensembles logiques des noms de domaines
utilisés dans l'espace de noms.
Dans Active Directory, structure hiérarchique d'un ou plusieurs domaines liés par des
relations d'approbations bidirectionnelles et transitives formant un espace de noms
contigu. Plusieurs arborescences de domaine peuvent appartenir à la même forêt.
Forêt
Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe
et d'attribut (schéma), les mêmes informations relatives au site et à la réplication
(configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue
global). Les domaines d'une même forêt sont liés par des relations bidirectionnelles et
transitives.
Deux méthodes sont possibles pour installer un contrôleur de domaine:
- Utiliser l'assistant "dcpromo" qui installe automatiquement Active Directory
s'il n'est pas encore installé puis installe interactivement les composants de gestion et
d'administration liès au fonctionnement en tant que contrôleur de domaine.
- Utiliser l'utilitaire "Gestionnaire de serveur" qui propose l'installation
d'Active Directory (s'il n'est pas encore installé) avec le rôle supplémentaire de
contrôleur de domaine (installation d'Active Directory puis exécution de dcpromo pour
l'installation des composants de gestion et d'administration liès au fonctionnement en
tant que contrôleur de domaine).
L'assistant "Gérer votre serveur"
"Gestionnaire de serveur"
-> "Résumé des rôles"
-> "Ajouter des rôles"
"Ajouter des rôles"
Message préliminaire
"Ajouter des rôles"
Choix du(des) rôle(s) ajouté(s)
"Ajouter des rôles"
Messages d'information et installation
"Ajouter des rôles"
Bascule vers l'assistant dcpromo en mode avancé
"dcpromo"
Message d'information
"dcpromo"
Choix du nom du nouveau domaine (au format nom TCP/IP)
puis validation de ce nom
"dcpromo"
Choix du nom compatible NetBEUI
"dcpromo"
Choix du niveau fonctionnel
"dcpromo"
Choix de l'installation de DDNS sur le contrôleur de domaine
"dcpromo"
Localisation des répertoires de stockage des informations
d'administration du domaine
"dcpromo"
Choix du mot de passe de restauration des services d'annuaire
"dcpromo"
Confirmation
-> Démarrage de l'installation
"dcpromo"
Installation en cours
"dcpromo"
Fin et reboot
Réouverture de session
(le mot de passe de l'administrateur du domaine
est le mot de passe de l'ancien administrateur local)
Contenu du journal "Configuration de votre serveur"
Après redémarrage, ADS est en fonctionnement pour la gestion du domaine
w2k8.univ-fcomte.fr. Le service DNS est lui aussi en fonctionnement, mais il n'est pas
configuré.
Suite : Configuration minimale du service DDNS
Installation d'un contrôleur
supplémentaire pour un domaine existant
Reprise de dcpromo avec choix d'un serveur supplémentaire
Choix du domaine et authentification
avec un compte administrateur de ce domaine
Choix du domaine et du site d'insertion
Options d'installation
Warning
Choix des options de réplication initiale
Localisation des données de domaine sur le serveur supplémentaire
Mot de passe de restoration des services d'annuaire
Résumé avant confirmation et installation
Installation en cours
Installtion terminée
Résultat dans le "Gestionnaire des utilisateurs
et des ordinateurs Active Directory"
Désinstallation du rôle contrôleur de domaine en
fonctionnement sur un serveur
Amorçage de la désinstallation au moyen de dcpromo
Indication si le serveur supprimé est le dernier serveur du domaine
-> Le domaine disparait.
Définition du mot de passe de l'administrateur
pour le serveur simple restitué après désinstallation
Résumé et confirmation
Désinstallation en cours
Désinstallation terminée
Modifications du système après installation
en Contrôleur de domaine
2 rôles et 2 fonctionnalités supplémentaires assurés
"Gestionnaire de serveur"
"Gestionnaire de serveur"
"Serveur DNS"
"Gestionnaire de serveur"
"Service de domaine Active Directory"
Modification des propriétés système
- Nom complet au format TCP/IP
- Indication du nom de domaine
- Impossibilité de changer de domaine sans désinstallation du service Contrôleur de
domaines
- Risques en cas de changement de nom du serveur
Modification de la configuration TCP/IP
- Changement du serveur DNS vers 127.0.0.1
Nouveaux processus en exécution
Nouveaux services
Nouveaux répertoires dans le système d'exploitation
Modification des droits vers plus (+) de restrictions
- Interdiction d'ouverture de session locale aux utilisateurs lambda
- Bureau à distance plus vérouillé
- ...
Configuration de nouveaux journaux d'événements
Ajout de nouveaux outils d'administration
- Gestion des stratégies de groupe
- DNS
- Domaines et approbation Active Directory
- Modification ADSI
- Sites et services Active Directory
- Utilisateurs et ordinateurs Active Directory
Création de nouveaux partages administratifs
Les maîtres uniques d'opérations (FSMO,
flexible single master of operation)
Existence de 5 exceptions à la règle qui place les contrôleurs d'un domaine au même
niveau du point de vue des charges d'administration et donc à l'indifférenciation des
contrôleurs
-> 5 opérations à maître unique:
- Contrôleur de schéma
- Maître d'attribution des noms de domaine
- Contrôleur de domaine principal (émulateur PDC)
- Gestionnaire du pool RID (ID relatives)
- Maître d'infrastructure
La commande "netdom query fsmo" permet de savoir quelles sont les machines
chargées de ces rôles.
Ces opérations doivent être assurées par un contrôleur "en ligne" pour
que le domaine fonctionne correctement lors de certaines opérations administratives.
Ces rôles peuvent être transférés entre contrôleurs.
Si le transfert est effectué "on line", l'opération est réversible.
Si le transfert est effectué "off line", l'opération est irréversible.
L'ancien maître unique ne devra alors jamais revenir "on line". |