Deployer AD 2008 R2
Windows Server 2008 R2
Installation d'un controleur de domaine Active Directory (dcpromo)
1. Pré requis
Avant de créer votre domaine vous devez réfléchir à de nombreux points, afin de définir une architecture Active Directory correspondant à vos besoins. Si ceux ci sont simples alors vous allez créer un domaine simple avec un ou deux contrôleurs de domaines (il est conseillé d'en avoir deux, en cas de défaillance de l'un l'autre pourra assurer le service).
Quel nom allez vous donner au domaine ?
Un nom de domaine comprends un nom suivi d'un point et d'une extension. Il est conseillé de ne pas prendre le même nom q'un domaine internet : si votre entreprise se nomme company, ne prenez pas company.net ou company.fr, cela créera des conflits avec votre accès internet : créez par exemple company.local. cf AD FAQ
2. Installation
Pour faire de votre Windows Server 2008 R2 un contrôleur de domaine, il suffit de lancer la commande dcpromo.
Après quelques étapes basiques, voici les étapes les plus importantes : |
|||||||
Choisissez le niveau fonctionnel de votre domaine :
|
|||||||
Le premier contrôleur de domaine d’une forêt doit être un serveur de catalogue global et ne peut pas être un contrôleur de domaine en lecture seule (RODC). |
|||||||
Considérations de sauvegarde et de récupération pour le placement des fichiers AD Pour une installation simple dans laquelle le serveur ne dispose que d’un seul disque dur, vous pouvez vous contenter d’accepter les paramètres d’installation par défaut qui sont fournis par l’Assistant Installation des services de domaine Active Directory. Toutefois, vous devez créer au moins deux volumes sur ce disque dur unique. Un volume est requis pour les données de volumes critiques et un autre à des fins de sauvegarde. Lorsque vous utilisez l’utilitaire Sauvegarde de Windows Server ou l’outil en ligne de commande Wbadmin.exe pour sauvegarder un contrôleur de domaine, vous devez au moins sauvegarder les données sur l’état du système, de façon à pouvoir utiliser la sauvegarde pour récupérer le serveur. Le volume que vous utilisez pour stocker les sauvegardes ne peut pas être le même que celui qui héberge les données sur l’état du système. Cet impératif peut affecter l’emplacement où vous décidez de stocker les fichiers AD DS. Les composants système qui forment les données sur l’état du système dépendent des rôles de serveurs installés sur l’ordinateur. Par exemple, si vous installez les services AD DS sur un serveur disposant d’un seul disque dur, vous pouvez créer les volumes logiques suivants pour prendre en charge les sauvegardes :
Pour plus d’informations sur la sauvegarde et la récupération d’un contrôleur de domaine, voir le Guide pas à pas de sauvegarde et de récupération des services de domaine Active Directory (http://go.microsoft.com/fwlink/?LinkId=93077). Considérations de performances pour le placement des fichiers AD DS Pour des installations plus complexes, vous pouvez configurer votre stockage sur disque dur afin d’optimiser les performances des services AD DS. Étant donné que la base de données et les fichiers journaux utilisent l’espace de stockage sur disque de différentes manières, vous pouvez améliorer les performances des services AD DS en utilisant des disques durs séparées. |
|||||||
Le mot de passe de restauration des services d’annuaire (DSRM) est requis pour se connecter à un contrôleur de domaine lorsque les services de domaine Active Directory (AD DS) ne sont pas en cours d’exécution, soit parce qu’ils sont arrêtés, soit parce que le contrôleur de domaine a été démarré en mode de restauration des services d’annuaire.
Si vous créez le premier contrôleur de domaine de la forêt, la stratégie de mot de passe en vigueur sur le serveur local est appliquée par l’Assistant Installation des services de domaine Active Directory. |
|||||||
Il est possible de créer un fichier de réponse, afin d'automatiser l'action que vous venez d'effectuer. |
|||||||
Les différentes étapes de la création du domaine s'éxécutent ensuite automatiquement : |
|||||||
Les services de domaine Active Directory sont maintenant installés sur cet ordinateur pour le domaine « mtoo.local ». |
|||||||
Vous pouvez gérer Active Directory à l'aide des consoles de gestion suivantes : |
|||||||
Active Directory Administrative Center : le centre d'administration Active Directory est une console personnalisable vous permettant de parcourir le domaine et d'accéder à certaines fonctions de base, rapidement. |
|
La console de gestion des domaines et approbation permet de changer le niveau fonctionnel de votre domaine et de gérer les relations d'approbations entre domaines et forêts. |
|
Le Snap-In Powershell vous permet de gérer AD en ligne de commande. |
|
La console Sites et Service permet de gérer les sites et sous réseaux des Active Directory multi sites et complexes. |
|
La console Utilisateurs et ordinateurs Active Directory est probablement la plus utile : c'est celle qui vous permettra de gérer les comptes des utilisateurs et des ordinateurs. |
Que faire après ?
Lorsque vous avez redémarré votre serveur, observez les événements et assurez vous de ne pas laisser de problèmes non résolus.
Pour qu"un Active Directory fonctionne il faut que plusieurs rôles soient remplis (on parle de rôles FSMO) : si vous n'avez qu'un seul contrôleur celui-ci les remplis tous :
_ Schema Master : ce serveur controle et gère les modifications de schéma
_ Domain Naming Master : ce server gère les relations entre domaines
_ PDC emulator : ce serveur jour le role de Contrôleur de domaine pour les machines NT4, gère certains paramètres de sécurité et la synchronisation de l'heure
_ RID Master : gère l'attribution des SID
_ Infrastructure Master : gère les synchronisation inter-domaine
Pour qu'un domaine AD fonctionne correctement il est important que les machines soient synchronisées sur la même heure. Votre premier contrôleur de domaine synchronisera les autres machines (dans
le détail c'est le rôle PDC emulator qi se charge de cette tâche), vous devez donc synchroniser ce contrôleur avec une source de temps sur Internet :
Par exemple :
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
Plus d'informations ici : http://technet.microsoft.com/en-us/library/cc786897(WS.10).aspx
Commenter cet article