Installation d’un Active Directory sous Windows Server 2008 R2

Publié le 17 avril 2012 par Lolokai @lolokai

Introduction

Active Directory est un composant essentiel aujourd’hui à n’importe quel réseau d’entreprise. En effet Active Directory est un annuaire d’entreprise capable de recenser des utilisateurs et des informations les concernant. Cet annuaire est surtout compatible avec tous logiciels utilisant LDAP. Du coup Active Directory peut communiquer avec un certain nombre de services. Ce qu’il fait qu’aujourd’hui un bon Active Directory peut simplifier votre réseau et surtout le rendre très efficace.

C’est pour cela que dans ce billet je vous propose de voir ensemble l’installation d’un Active Directory sous Windows Server 2008 R2.

Installation / Configuration

Avant de commencer tout cela, il  est nécessaire que vous renommiez votre machine et que vous lui attribuez une adresse IP fixe. Pour ma part mon serveur s’appelle dcTaochy1 (dc = Domain Controller) et a comme IP fixe : 10.160.136.128.

/!\ N’utilisez pas n’importe quel nom de machine ! Il sera important d’utiliser des noms cohérents. Dans mon exemple c’est le premier Domain Controller de l’Entreprise Taochy.

Depuis Windows Server 2008, Microsoft a jugé préférable de retirer l’installation par défaut d’Active Directory sur Windows Server, car selon la firme un Windows Server peut être destiné à d’autres rôles qu’Active Directory.

Donc pour commencer l’installation il va falloir ajouter le rôle. Gestionnaire de Serveur -> Ajouter Rôle

Ensuite on choisit Service de Roles Active Directory. Lancer l’installation et ajoutez les fonctionnalités (proposées par l’assistant) qu’il vous manque.

Une fois terminé, nous avons automatiquement le « dcpromo.exe » qui se lance. Ceci est l’assistant de configuration pour notre Active Directory. Si le lancement de dcpromo n’est pas automatique:  Allez dans invite de commande et tapez  »dcpromo.exe ».

La première chose que vous propose l’assistant c’est d’installer en mode avancé. Le mode avancé vous permet de configurer votre Active Directory via une sauvegarde.

Vu que notre but est d’en installer un, comme étant le tout premier contrôleur de domaine, nous ne sélectionnerons pas cette option.

Avant de commencer les étapes de configuration, Windows nous informe que sous Windows Serveur 2008 et 2008 R2 les algorithmes de chiffrement sont très forts, du coup il pourrait avoir des soucis avec des machines trop anciennes ou des OS trop vieux.

 

Maintenant nous allons commencer à configurer notre Active Directory. La première étape est de soit rejoindre une foret existante ou en créer une.  Mais qu’est ce qu’une foret Active Directory ?

Foret Active Directory: Une structure qui regroupe les domaines Active Directory. Cette structure a un but hiérachique parent/enfant.
Exemple taochy.adds => taochy est un sous domaine de adds, taochy enfant de adds.

Dans notre exemple vu que nous sommes parti de zéro, il nous faut créer une forêt

Logiquement il faut que vous lui donniez un nom.

/!\ Ne vous précipitez pas sur l’écriture de ce nom et réfléchissez bien. Il y a 2 erreurs à ne pas commettre. La première est d’appeler sa foret quelque_chose.local. Car si votre nom Active Directory fini par « .local » les machines exécutant linux ou Mac OS X seront dans l’impossibilité de s’y connecter. Car pour eux .local fait référence à localhost donc tout ce qui fini par .local est situé sur la machine même !

La deuxième erreur est de donner un nom publique à son Active Directory genre « lolokai.com« . Imaginez vous, vous être en train de créer un réseau d’entreprise avec un Active Directory, l’annuaire même de votre réseau, disponible par tous les utilisateurs d’internet ! Donc réfléchissez bien ! L’utilisation d’un domaine publique peut être justifié à partir du moment où votre serveur Active Directory sert de base pour un serveur mail tel que Exchange.

Dans notre cas, nous allons appeler notre foret « taochy.adds » soit « nom_d’entreprise.addsp ».

Une fois notre nom affecté, Windows nous demande de choisir le niveau fonctionnel de notre foret Active Directory. Ici la vigilance est de mise aussi. En effet Active Directory est présent depuis Windows Server 2000 et pour permettre la compatibilité avec des versions antérieurs Windows a intégré la notion de niveau fonctionnel. Choisissez donc le niveau fonctionnel du DC de votre entreprise ayant la plus ancienne version de Windows Server.

Dans notre exemple, nous mettrons un niveau fonctionnel 2008.

Ensuite Windows nous propose d’installer des options supplémentaires. Si vous possédez un serveur DNS compatible avec votre Active Directory cochez Serveur DNS. Par défaut si c’est votre premier controlleur de domaine catalogue global est activé. Cette option permet la réplication, il stocke tout les objets Active Directory et va permettre la réplication de la configuration pour les controlleurs de domaine en RODC (lecture seule ceux qu’on configure en mode avancé).

Dans notre exemple on a pas de Serveur DNS parent qui gère le « .adds ». Il va essayer de le contacter mais vu qu’il existe pas il va nous générer un message d’erreur ce qui est tout a fait normal.

 

Ensuite, on nous demande de choisir l’emplacement des fichiers de bases de données, de logs.. Des fichiers qui vont être utiles à l’Active Directory. En générale on évite de les placer sur le disque système pour une raison de sécurité. Mais je ne possède qu’un disque sur la machine donc je me permet de le stocker sur le C:/.

Dans le but de protéger les restaurations de votre Active Directory, Windows nous propose d’y affecter un mot de passe juste pour la restauration. Choisissait un mot de passe (de préférence différent) de celui de l’administrateur.

 

Vous aurez droit à un petit résumé et une fois accepter les services seront installés et configurés. Une fois cliqué sur « fin » le système devra redémarrer.

 

Théoriquement, vous avez un Active Directory installé muni d’un serveur DNS. Pour achever cette installation / configuration. Je vais rajouter 3 petits points. Je vais renommer le site, créer un sous-réseaux et enfin je vais créer une zone inverse au niveau du DNS.

Je vous propose de renommer le site parce-que nous avons créé un Active Directory et cet Active Directory prend effet sur un site, une zone physique ou plutôt logique vu qu’on parle d’IP. Par défaut le site s’appelle « Default-First-Site-Name« , il est pour moi indispensable de renommer en un nom plus explicite. Dans mon exemple je veux créer un seul site pour mon entreprise donc j’appelle donc mon site « EntrepriseTaochy« .

Pour renommer votre site, rendez-vous dans Outils d’administration -> Sites et Services Active Directory -> Deployer l’arborescence -> Cliquez sur Sites -> Et renommez le site par défaut.

Comme je l’ai expliqué le site est une zone logique, donc pour que les serveurs et les machines savent sur quel site ils se trouvent, nous allons créer un sous-réseaux que nous allons associer à notre site. Pour cela clic-droit sur Subnet -> Nouveau sous-réseaux.

Entrez le réseau sur lequel vous voulez situer votre site.

Enfin, nous allons nous occuper de faire  une zone inverse parce-que par défaut seul une zone directe est créée. Je vous conseil de jeter un coup d’oeil sur l’article Mise en place d’un serveur DNS. Vu qu’il y a un article déjà publié  pour la création de zone je vous laisse seul pour le faire. Il suffit simplement de reprendre la zone primaire et de faire sa zone inverse. Rien de plus compliqué si vous avez lu le précèdent article.

Conclusion

Il est difficile de voir en un article tous les recoins d’Active Directory. J’ai donc essayé de montrer simplement l’installation et la configuration basique d’un Active Directory.
J’attends vos commentaires, vos remarques et même vos critiques !