===== Installation d'Active Directory avec Windows Server 2008R2 ===== ==== Installer un contrôleur de domaine ==== La gestion d'un serveur Windows est basée sur la notion de rôle et être un « contrôleur de domaine » est un rôle parmi d'autres. Un serveur Windows peut assumer plusieurs rôles. Actuellement, ce serveur Windows 2008R2, bien que disposant d'un système d'exploitation serveur n'a aucun rôle particulier. Il fonctionne en « poste à poste » avec les autres machines du réseau. C'est le mode « groupe de travail » (workgroup). Vous allez « promouvoir » ce serveur en lui donnant ce rôle de « contrôleur de domaine », ce qui constitue la première brique d'un réseau local d'entreprise. La base de données des utilisateurs et d'autres paramètres de sécurité seront centralisés dans ce serveur, contrairement au réseau basé sur les groupes de travail : {{:reseau:ad:configserveur:ad_02.png|}} La notion de domaine au sens Microsoft correspond maintenant à celle de domaine au sens Internet (DNS). Pour cette raison, un serveur DNS est nécessaire à l'installation d'Active Directory. ==== Ajouter un rôle ==== Vous pouvez ajouter des rôles dans le « gestionnaire de serveur » : {{:reseau:ad:configserveur:ad_03.png|}} En cliquant sur « ajouter des rôles », vous pouvez observer les différents rôles (17) que peut assurer un serveur Windows 2008 : {{:reseau:ad:configserveur:ad_04.png|}} Choisissez le rôle « Services de domaine Active Directory ». Ce qui entraînera l'installation du framework .NET 3.5.1. L'assistant d'installation est lancé lorsque l'on clique sur « suivant ». Lisez attentivement ce qui est indiqué sur l'écran suivant : {{:reseau:ad:configserveur:ad_05.png|}} Les deux informations essentielles sont : * il est conseillé d'installer deux contrôleurs de domaines afin de gérer la panne de l'un d'eux. En effet, si un contrôleur tombe en panne, les utilisateurs auront des difficultés à utiliser le réseau, se connecter à leur poste de travail, etc. Lorsque deux contrôleurs du même domaine sont installés, ceux-ci se synchronisent automatiquement de façon transparente. * installation impérative d'un serveur DNS pour le domaine : le serveur DNS sera lié à Active Directory. En particulier, les postes clients utiliseront le serveur DNS pour retrouver le contrôleur de domaine qui leur est associé. Lorsque Windows a installé tous les fichiers, revenez au gestionnaire de serveur. vous pouvez constater que la partie « Services de domaine Active Directory » est en erreur car le paramétrage n'a pas encore été fait : {{:reseau:ad:configserveur:ad_06.png|}} Si vous cliquez sur la croix, vous entrez dans la gestion du domaine. Vous allez pouvoir faire la promotion du serveur (équivalent de la commande DOS dcpromo.exe) : {{:reseau:ad:configserveur:ad_07.png|}} ==== Assistant de configuration de AD ==== Ne sont présenté dans la suite que les écran importants. Il est inutile d'exécuter l'assistant en mode avancé (vous pouvez néanmoins consulter l'aide sur ce sujet). Principales étapes : * Avertissement sur la compatibilité des algorithmes de chiffrement : peut avoir des conséquences si vous voulez intégrer au domaine des clients SAMBA ou des NAS basés sur Linux ou BSD. * Vu que vous installez votre premier serveur, il faut « créer un domaine dans une nouvelle forêt ». Le concept de forêt au sens AD est un ensemble de domaines Windows qui se font confiance mutuellement. Ceci s'applique aux très grandes entreprises . * Nom du domaine : si ce domaine n'est pas accessible depuis Internet, on renseigne en général un nom de domaine qui est un sous-domaine de **.local**. Par exemple **btssio.local**. {{:reseau:ad:configserveur:ad_08.png|}} * Windows vérifie que le nom indiqué n'est pas déjà utilisé sur le réseau local... * Niveau fonctionnel : chaque version de Windows apporte ses améliorations. La compatibilité est descendante (Windows 2008 est compatible avec le niveau fonctionnel Windows 2000 mais Windows 2003 n'est pas compatible avec le niveau fonctionnel Windows 2008 R2). Le choix dépend donc de l'existant sur le réseau : ici, choisissez 2008 R2 puisque le serveur est seul. * Serveur DNS : laissez coché, le rôle « serveur DNS » est indispensable et sera donc installé. {{:reseau:ad:configserveur:ad_09.png|}} * Ignorer l'avertissement sur la création d'une délégation DNS : cela ne concerne que les sous-domaines * Chemins pour les fichiers Active Directory : éventuellement stocker sur des disques différents la base de données et les fichiers journaux * Mot de passe pour la restauration de l'annuaire : ce mot de passe est différent de celui de l'administrateur puisque les données de l'administrateur sont dans l'annuaire AD : {{:reseau:ad:configserveur:ad_10.png|}} Un redémarrage est nécessaire pour finri l'installation. ==== 1ere prise en main ==== Vous avez maintenant un contrôleur de domaine, prêt à gérer des utilisateurs et des ordinateurs. Des nouveaux outils sont mis à votre disposition : Deux nouveaux éléments sont apparus dans la partie « rôles » du « gestionnaire de serveur » : * serveur DNS * services de domaine Active Directory {{:reseau:ad:configserveur:ad_11.png|}} === DNS === Dans la partie DNS, vous pouvez observer : {{:reseau:ad:configserveur:ad_12.png|}} Une zone btssio.local a été créée pour contenir les enregistrements correspondants aux machines du réseau (on voit ici l'IP et le nom du serveur). D'autres enregistrements spécifiques à AD ont aussi été créés (_msdcs, _sites, _tcp, _udp, etc.) : ceux-ci sont utilisés par les clients AD pour localiser les contrôleurs de domaines et autres services proposés. Votre serveur Windows utilise lui-même ce serveur DNS et vous toujours accéder à Internet. Windows a modifié la configuration IP du serveur lors de l'installation de Active Directory. En fait, il a récupéré le serveur DNS qui était configuré avant pour l'intégrer dans le serveur DNS en tant que redirecteur. Allez dans les propriétés du serveur DNS : {{:reseau:ad:configserveur:ad_13.png|}} En clair, le serveur DNS de Windows reçoit toutes les requêtes. Quand il ne sait pas y répondre, il transmet, récupère la réponse et la renvoie au client. Au passage, il la met dans son cache. Notez également qu'il connaît l'adresse des 13 serveurs DNS racine (bouton « modifier ») il peut donc résoudre les adresses Internet si aucun redirecteur n'est défini. === Services AD === Cette section présente un écran très complet divisé en 3 grandes catégories : {{:reseau:ad:configserveur:ad_14.png|}} * **résumé** : indique les éventuels message d'erreurs, les services Windows actifs, des conseils pour la gestion et la possibilité d'ajouter des services de rôle. * **outils avancés** : toute la panoplie des outils Windows disponibles pour la gestion de votre contrôleur de domaine et de AD. * **ressources et support** : recommandations, documentations, etc. Si l'on développe l'arborescence, on peut consulter le contenu de notre Active Directory dont le but premier est de gérer les « objets » de notre réseau : ordinateurs et utilisateurs. {{:reseau:ad:configserveur:ad_15.png|}}