Active Directory
et le rôle de contrôleur de domaine

L'assistant
"Gérer votre
serveur"

Configurations
préalables
nécessaires

L'utilitaire
dcpromo

Installation
  d'un nouveau domaine
  dans une nouvelle
  forêt
Installation
  d'un contrôleur
  supplémentaire
  dans un domaine
  existant
Désinstallation
  d'un contrôleur
  de domaine
  en serveur simple

Maîtres
d'opérations

 

RETOUR

Active Directory Service (ADS) est le service LDAP implanté par Windows 2008 Server pour la gestion d'annuaires. Il est en particulier utilisé pour toutes les tâches d'administration demandant un déploiement réseau et donc pour la création de domaines.

De base, ADS n'est pas installé sous Windows 2008. Au cours de l'installation du rôle de "contrôleur de domaine", ADS sera installé pour assurer le service de base de données pour les informations de gestion de domaine. Ensuite, les composants liés au rôle contrôleur de domaine seront installés et un domaine sera défini.
Dans la pratique, la machine d'installation pourra prendre différents rôles (voir plus loin pour une définition précise de ces concepts):

  • premier contrôleur d'un nouveau domaine dans une nouvelle forêt,
  • premier contrôleur d'un domaine enfant d'un domaine existant au sein d'une arborescence de domaines,
  • premier contrôleur d'un nouveau domaine dans une forêt existante,
  • contrôleur supplémentaire au sein d'un domaine existant.

Configurations préalables

L'installation en contrôleur de domaine est subordonnée à la réalisation préalable de certaines opérations:

  • Configuration d'une adresse IP statique (obligatoire):

"Panneau de configuration"
-> "Centre réseau et partage"
-> "Voir le statut"

"Voir le statut"
-> "Propriétés"

"Propriétés"
-> "Propriétés" de Protocole Internet version 4 (TCP/IPv4)

"Propriétés" de Protocole Internet version 4 (TCP/IPv4)

  • Attribution de son véritable nom au serveur:

"Panneau de configuration"
-> "Système"
-> "Modifier les paramètres"

"Modifier les paramètres de nom"
-> "Modifier"

"Modifier"

Reboot

Installation en contrôleur de domaine

Quelques définitions importantes

Contrôleur de domaine
Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de données Active Directory, participant à la réplication Active Directory et contrôlant l'accès aux ressources réseau. Les administrateurs peuvent gérer les comptes d'utilisateurs, l'accès réseau, les ressources partagées, la topologie du site et les autres objets d'annuaire à partir de n'importe quel contrôleur de domaine de la forêt.

Contrôleur de domaine supplémentaire
Tout contrôleur de domaine installé sur un domaine existant. Tous les contrôleurs de domaine participent de manière égale à la réplication Active Directory mais, par défaut, le premier contrôleur de domaine installé sur un domaine se voit attribuer la propriété des opérations à maître unique.

Domaine enfant
Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situé immédiatement sous un autre nom de domaine (le domaine parent). Par exemple, exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle aussi de sous-domaine.

Arborescence de domaine
Dans DNS, structure de l'arborescence hiérarchique inversée utilisée pour indexer les noms de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques aux arborescences de répertoires utilisées par les systèmes de fichiers des ordinateurs pour le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stockés sur un disque, les répertoires peuvent être utilisés pour organiser les fichiers de façon logique. Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut organiser en ensembles logiques des noms de domaines utilisés dans l'espace de noms.
Dans Active Directory, structure hiérarchique d'un ou plusieurs domaines liés par des relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu. Plusieurs arborescences de domaine peuvent appartenir à la même forêt.

Forêt
Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe et d'attribut (schéma), les mêmes informations relatives au site et à la réplication (configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue global). Les domaines d'une même forêt sont liés par des relations bidirectionnelles et transitives.

Deux méthodes sont possibles pour installer un contrôleur de domaine:

  • Utiliser l'assistant "dcpromo" qui installe automatiquement Active Directory s'il n'est pas encore installé puis installe interactivement les composants de gestion et d'administration liès au fonctionnement en tant que contrôleur de domaine.
  • Utiliser l'utilitaire "Gestionnaire de serveur" qui propose l'installation d'Active Directory (s'il n'est pas encore installé) avec le rôle supplémentaire de contrôleur de domaine (installation d'Active Directory puis exécution de dcpromo pour l'installation des composants de gestion et d'administration liès au fonctionnement en tant que contrôleur de domaine).

L'assistant "Gérer votre serveur"

"Gestionnaire de serveur"
-> "Résumé des rôles"
-> "Ajouter des rôles"

"Ajouter des rôles"
Message préliminaire

"Ajouter des rôles"
Choix du(des) rôle(s) ajouté(s)

"Ajouter des rôles"
Messages d'information et installation

 

"Ajouter des rôles"
Bascule vers l'assistant dcpromo en mode avancé

"dcpromo"
Message d'information

"dcpromo"
Choix du nom du nouveau domaine (au format nom TCP/IP)
puis validation de ce nom

"dcpromo"
Choix du nom compatible NetBEUI

"dcpromo"
Choix du niveau fonctionnel

"dcpromo"
Choix de l'installation de DDNS sur le contrôleur de domaine

"dcpromo"
Localisation des répertoires de stockage des informations
d'administration du domaine

"dcpromo"
Choix du mot de passe de restauration des services d'annuaire

"dcpromo"
Confirmation
-> Démarrage de l'installation

"dcpromo"
Installation en cours

"dcpromo"
Fin et reboot
Réouverture de session
(le mot de passe de l'administrateur du domaine
est le mot de passe de l'ancien administrateur local)

Contenu du journal "Configuration de votre serveur"

Après redémarrage, ADS est en fonctionnement pour la gestion du domaine w2k8.univ-fcomte.fr. Le service DNS est lui aussi en fonctionnement, mais il n'est pas configuré.

Suite : Configuration minimale du service DDNS

Installation d'un contrôleur supplémentaire pour un domaine existant

Reprise de dcpromo avec choix d'un serveur supplémentaire

Choix du domaine et authentification
avec un compte administrateur de ce domaine

Choix du domaine et du site d'insertion

Options d'installation

Warning

Choix des options de réplication initiale

Localisation des données de domaine sur le serveur supplémentaire

Mot de passe de restoration des services d'annuaire

Résumé avant confirmation et installation

Installation en cours

Installtion terminée

Résultat dans le "Gestionnaire des utilisateurs
et des ordinateurs Active Directory"

Désinstallation du rôle contrôleur de domaine en fonctionnement sur un serveur

Amorçage de la désinstallation au moyen de dcpromo

Indication si le serveur supprimé est le dernier serveur du domaine
-> Le domaine disparait.

Définition du mot de passe de l'administrateur
pour le serveur simple restitué après désinstallation

Résumé et confirmation

Désinstallation en cours

Désinstallation terminée

Modifications du système après installation en Contrôleur de domaine

2 rôles et 2 fonctionnalités supplémentaires assurés

"Gestionnaire de serveur"

"Gestionnaire de serveur"
"Serveur DNS"

"Gestionnaire de serveur"
"Service de domaine Active Directory"

Modification des propriétés système

  • Nom complet au format TCP/IP
  • Indication du nom de domaine
  • Impossibilité de changer de domaine sans désinstallation du service Contrôleur de domaines
  • Risques en cas de changement de nom du serveur

Modification de la configuration TCP/IP

  • Changement du serveur DNS vers 127.0.0.1

Nouveaux processus en exécution

  • dns.exe
  • ...

Nouveaux services

Nouveaux répertoires dans le système d'exploitation

  • NTDS
  • SYSVOL
  • ...

Modification des droits vers plus (+) de restrictions

  • Interdiction d'ouverture de session locale aux utilisateurs lambda
  • Bureau à distance plus vérouillé
  • ...

Configuration de nouveaux journaux d'événements

  • DNS
  • DFS
  • Active Directory

Ajout de nouveaux outils d'administration

  • Gestion des stratégies de groupe
  • DNS
  • Domaines et approbation Active Directory
  • Modification ADSI
  • Sites et services Active Directory
  • Utilisateurs et ordinateurs Active Directory

Création de nouveaux partages administratifs

  • SYSVOL
  • NETLOGON

Les maîtres uniques d'opérations (FSMO, flexible single master of operation)

Existence de 5 exceptions à la règle qui place les contrôleurs d'un domaine au même niveau du point de vue des charges d'administration et donc à l'indifférenciation des contrôleurs
-> 5 opérations à maître unique:

  • Contrôleur de schéma
  • Maître d'attribution des noms de domaine
  • Contrôleur de domaine principal (émulateur PDC)
  • Gestionnaire du pool RID (ID relatives)
  • Maître d'infrastructure

La commande "netdom query fsmo" permet de savoir quelles sont les machines chargées de ces rôles.

Ces opérations doivent être assurées par un contrôleur "en ligne" pour que le domaine fonctionne correctement lors de certaines opérations administratives.

Ces rôles peuvent être transférés entre contrôleurs.

Si le transfert est effectué "on line", l'opération est réversible.
Si le transfert est effectué "off line", l'opération est irréversible. L'ancien maître unique ne devra alors jamais revenir "on line".