Windows ADDS
Qu’est ce qu’Active Directory ?
Active Directory (AD) est un service d’annuaire dédié aux entreprises, disponible sur les serveurs Windows, qui va permettre de centraliser toutes les ressources d’une entreprise.
Il peut être comparé à un annuaire téléphonique comme les pages jaunes puisqu’il va regrouper des informations concernant une entreprise. Ces informations peuvent par exemple être : qui sont les employés ? Dans quel service travaillent-t-ils ? Quelle est leur adresse mail ? Leur numéro de téléphone interne ? Où se situe cette imprimante ? et encore beaucoup d’autres attributs.
L’objectif principal d’Active Directory est de fournir des services centralisés d’identification et d’authentification à un réseau informatique et par conséquent une organisation hiérarchisée. Il répertorie les éléments d’un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les imprimantes, etc, qui seront appelés des « objets » et qui seront virtuellement stockés dans une base de données.
On pourrait donc dire que l’Active Directory mémorise tous les objets de l’entreprise et leurs caractéristiques. La présence de ces objets et leurs caractéristiques respectives définissent le schéma Active Directory, c’est-à-dire la structure même de la base de donnés.
Active Directory est un service propriétaire de Microsoft qui se base sur le protocole standardisé LDAP : Lightweight Directory Access Protocol. Ce protocole définit la méthode utilisée par le client pour l’interrogation de la base de données et permettra aux utilisateurs, entre autres, de se connecter/déconnecter au sein de ce qu’on appelle un domaine, mais également de modifier les services d’annuaires.
Comprendre la notion de domaine Active Directory
Comprendre la notion de domaine Active Directory L’intérêt d’avoir un Active Directory dans son réseau est qu’il va permettre de hiérarchiser les ressources de l’entreprise. Il va apporter une vision structurée de ses moyens en les organisant par domaine.
La notion de domaine est fondamentale dans la compréhension d’Active Directory. Un domaine par définition est une « entité », un ensemble logique d’objets qui vont se partager le même annuaire. Il définit une zone d’administration dans le parc informatique. C’est sur ce domaine que les objets, utilisateurs, ordinateurs etc… seront authentifiés et donc, c’est à ce domaine qu’ils vont appartenir.
Lorsque l’on paramètre un domaine, il faut le nommer de la même manière qu’un nom de domaine sur internet comme yahoo.fr. On retrouvera donc l’extension du domaine (.net, .fr, .com, .org…) et le nom du domaine à proprement dit (google.fr, wikipedia.org, facebook.com…). Le domaine est intimement lié au service de résolution de noms : le DNS. Il sera impossible de construire un domaine sans serveur DNS qui va gérer la zone du domaine.
Le premier domaine créé dans une entreprise sera le domaine « racine » de ce que l’on appelle une « forêt » . On pourra par la suite y greffer des « sous-domaines ». Ces sous domaines pourront par exemple représentés les différentes zones géographique couvertes par une entreprise à travers le monde.
La représentation visuelle la plus simple pour visualiser un AD est justement un arbre dans une forêt. En effet, un arbre possède une racine, des branches, qui elles-mêmes possèdent d’autres branches, qui elles-mêmes possèdent des feuilles, tout cela à la manière d’un arbre généalogique.
Imaginons qu’une entreprise mondiale comme Google possède des bureaux, des « sites », dans différents pays. Voici comment graphiquement nous pourrions représenter le domaine de l’entreprise par un arbre avec ses racines et ses branches :
Ajoutons maintenant un nouveau domaine (et non un « sous-domaine »), avec un espace de nom différent. Prenons pour exemple notre société Google qui fusionne avec la société Yahoo pour ne devenir plus qu’une seule et même structure. Google et Yahoo possèdent déjà chacun leur propre arbre, avec leur domaine, sous-domaine, objets etc…
Afin de faciliter la gestion, on va « rapprocher » de façon logique les deux entreprises et établir une relation d’approbation entre les deux domaines. Cette relation d’approbation, ou de « confiance » va permettre au domaine Yahoo.com, d’accéder aux ressources du domaine Google.com. En langage usuel, on pourrait traduire cette relation d’approbation par « je t’approuve mais j’approuve aussi les domaines que tu décides d’approuver », ou encore plus simplement, « les amis de mes amis sont mes amis ».
Dans ce cas, nous aurons donc une forêt avec plusieurs arbres qui vont travailler ensemble.
Et pour que tout ce petit monde réussisse à communiquer, nous aurons besoin d’un catalogue global.
Contrôleur de domaine et catalogue global
Contrôleur de domaine et catalogue global Chaque domaine d’une forêt possède une copie de l’Active Directory (donc une copie de son propre domaine) sur un serveur appelé un « contrôleur de domaine ». Un contrôleur de domaine (DC) c’est le serveur Active Directory où seront stockées toutes les informations et paramètres dudit domaine, dans une base de données.
Un domaine ne connait que les ressources de son propre domaine dont voici pour rappel une illustration logique cette fois ci en triangle :
Dans le cas d’une entreprise avec plusieurs sous-domaines par exemple, ceci peut être problématique car cela signifie que tous les employés n’auront pas à accès aux mêmes ressources.
Imaginons qu’un serveur de fichiers soit sur le domaine Google.com. Les employés du sous-domaine google.paris.com n’y auront pas accès car le sous-domaine google.paris.com ne connait pas les ressources du domaine google.com !
Pour répondre à ce problème, Microsoft a mis en place le catalogue global. Un catalogue global (GC) fonctionne comme un index géant au niveau de toute la forêt et est situé sur le contrôleur de domaine.
Il va contenir tous les objets présents dans la forêt en version « light », c’est-à-dire en ne stockant que les attributs les plus importants de l’objet (son nom, sa localisation etc…).
Prenons pour exemple un employé du site de Paris qui veut accéder au serveur de fichiers de la société qui se trouve sur le domaine racine aux Etats-Unis.
L’employé va émettre une requête sur l’objet « serveur de fichiers » situé sur un autre domaine. Ce sera alors le catalogue global situé sur le contrôleur de son propre domaine, donc celui de google.paris.com, qui va effectuer la recherche sur l’ensemble de la forêt pour savoir dans quel domaine se situe l’objet serveur de fichiers, et par conséquent lui répondre et non les contrôleurs étrangers à son domaine. Le contrôleur de domaine de l’employé agit alors comme un intermédiaire.
Chaque domaine doit obligatoirement posséder au minimum un contrôleur de domaine ET un catalogue global.
Il est très fortement conseillé d’avoir deux contrôleurs de domaine dans un même domaine qui seront répliqués pour assurer la tolérance de panne et répartir la charge.
Il est possible d’avoir un contrôleur de domaine qui sera uniquement en lecture seule qu’on appelle « RODC ». Ce type de serveur peut s’avérer très utile par exemple pour un site distant qui ne comporte que peu d’employés mais qui ont besoin d’être authentifiés dans le domaine. Comme ce serveur est en lecture seule, il ne pourra pas être altéré. Il prendra ses informations directement depuis un contrôleur de domaine normal en répliquant les données selon une planification définie.
Le contrôleur de domaine joue donc un rôle essentiel dans la gestion des « objets » Active Directory. Mais ça ne s’arrête pas là car chaque contrôleur peut jouer un rôle particulier dans la gestion du « domaine » ou de la « forêt ».
Installer un contrôleur de domaine sous Windows 2022
Terminologie Installer un contrôleur sur Windows Server 2022 n’a rien de vraiment compliqué. Cependant pour aller un peu plus loin, il est important de comprendre certaines terminologies.
Forêt Active Directory : Quand vous créez le premier contrôleur de domaine de votre organisation, vous créez le premier domaine (ou domaine racine de la forêt) et la première forêt. La forêt Active Directory est un regroupement d’un ou plusieurs arbres de domaine.Un arbre peut avoir un ou plusieurs domaines et une organisation peut disposer de plusieurs forêts.
Une forêt est une limite de sécurité et d’administration pour tous les objets qu’elle contient.
Domaine Active Directory : Un domaine est une limite d’administration destinée à faciliter la gestion d’objets tels qu’utilisateurs, groupes et ordinateurs. De plus, chaque domaine applique ses propres stratégies de sécurité et relations d’approbation avec les autres domaines.
Contrôleur de domaine : – Un contrôleur de domaine est un serveur qui exécute le rôle AD DS. Active Directory est une base de données centrale qui stocke les comptes d’utilisateurs, les comptes d’ordinateurs, des unités organisationnelles, des domaines Active Directory et les forêts. La gestion des utilisateurs, des ordinateurs ou encore l’application de politiques se font depuis l’active directory du serveur (qu’il est possible de lancer via la commande dsa.msc).
Prérequis :
Pour l’installation d’un contrôleur de domaine, les prérequis sont les mêmes que pour l’installation de Windows Serveur 2022. Cependant, attention à prendre en compte la taille de votre domaine, ainsi que le nombre d’utilisateur ou d’ordinateur qui viendront s’ajouter sur ADDS.)
- CPU : Minimum: 1.4 GHz 64-bit
- Mémoire vive : 2048Mo (512Mo en version core)
- 32Go d’espace disque
- Une connexion réseau
Encore une fois, ce sont les prérequis minimum. Il est bien entendu préférable d’avoir un peu plus que ces prérequis. Mais si vous souhaitez installer un contrôleur de domaine en test, vous pouvez utiliser ces prérequis. En production, il est bien entendu préférable d’avoir beaucoup plus de mémoire vive, d’espace disque (être en raid 1 est un minimum).
Avant de commencer :
Il est nécessaire de configurer son serveur en IP Fixe et de l’avoir renommé. Nommer votre serveur en fonction de la convention de nommage de votre entreprise. Ici, nous appellerons le serveur nov-ad01-dc.
Installation du Rôle DNS & ADDS
Pour installer un contrôleur de domaine, deux rôles sont indispensables : Le rôle DNS et ADDS.
Depuis le Gestionnaire de serveur, cliquer sur l’étape Gérer puis Ajouter des rôles et fonctionnalités.
image
Sélectionner le type d’installation « Installation basée sur un rôle ou une fonctionnalité ».
image
Pour le moment, j’ai qu’un seul serveur dans le pool, j’ai donc juste à le sélectionner et cliquer sur Suivant.
image
Vous êtes maintenant sur la fenêtre de sélection des rôles, pour que ADDS fonctionne, il est indispensable d’avoir un serveur DNS. Nous allons donc installer les rôles DNS + ADDS. Pour cela, cocher simplement DNS puis ADDS dans la fenêtre de sélection des rôles. Enfin, cliquer sur Suivant.
image
Des fonctionnalités supplémentaires sont automatiquement sélectionnées pour vous, ajoutez-les.
image
image
Après avoir ajouté des rôles, vous pouvez ajouter des fonctionnalités supplémentaires. En général, toutes les caractéristiques qui sont nécessaires pour rôle cible sont déjà sélectionnées ainsi vous pouvez simplement cliquer sur le bouton Suivant pour continuer.
image
Vous trouverez maintenant quelques informations sur les rôles que vous installez.
Le rôle AD DS :
image
Le Rôle Serveur DNS :
image
Dans la dernière fenêtre, vous trouverez un récapitulatif de ce que vous allez installer sur votre serveur. Vous avez la possibilité de redémarrer automatiquement le serveur, cependant dans cette étape ce n’est pas nécessaire, le serveur n’a pas besoin de redémarrer. Si tout vous semble OK, alors cliquez sur Installer.
image
L’installation des rôles et fonctionnalités vont se lancer…
image
Cela prendra quelques minutes. Vous pouvez fermer la fenêtre en cliquant sur Fermer.
image
Revenez maintenant sur le Dashboard du Server Manager, vous devriez y trouver une petite alerte. Cliquez dessus, puis cliquez sur « Promouvoir ce serveur en contrôleur de domaine ».
image
Ici, nous allons créer un nouveau domaine et donc une nouvelle forêt. Dans mon cas, je nommerai mon domaine « novation.local »
image
Dans la fenêtre suivante, on parle du niveau fonctionnel de la fôret, on vient tout juste de créer un nouveau contrôleur de domaine et une nouvelle forêt, on a donc tout intérêt à laisser le niveau fonctionnel en Windows Server 2022. On aurait pu changer le niveau fonctionnel si ce serveur venait intégrer une architecture déjà existante dans un niveau fonctionnel inférieur.
Ici, vous allez devoir également choisir un mot de passe de restauration des services d’annuaire (DSRM). Cliquez sur Suivant pour continuer.
image
Normalement, dans cette fenêtre vous pouvez créer une délégation DNS, ici, nous n’avons pas d’autres serveurs DNS dans ce domaine, il est donc logique d’avoir cet avertissement. Cliquez sur « Suivant » pour continuer.
image
Le NetBIOS sera automatiquement créé, vous pouvez le changer si nécessaire. Cliquez sur Suivant pour continuer.
image
Active Directory est le regroupement d’une base de données et de fichiers journaux. Si vous le souhaitez, vous pouvez ici changer le chemin de la BDD, des logs ou encore de SYSVOL. Vous pouvez par exemple changer l’emplacement pour éviter que ces fichiers soit sur le disque système. Cliquez sur Suivant pour continuer.
image
image
Nous y voilà, vous avez quelques avertissements, mais c’est tout à fait normal, rien d’inquiétant. Cliquez sur Installer pour enfin lancer l’installation du contrôleur de domaine. L’installation est lancée, il y en a pour quelques minutes…
image
Un redémarrage sera nécéssaire.
image
Le serveur a redémarré, et on voit déjà la différence, vous êtes maintenant authentifié sur votre domaine. Tapez votre mot de passe Administrateur.
image
Maintenant que votre serveur est promu comme Contrôleur de Domaine, vous devriez voir les rôles ADDS & DNS sur le Gestionnaire de serveur.
image
Si vous regardez dans les outils, on retrouve tout ce qui touche à ADDS et au serveur DNS.
image
Concernant le serveur DNS, il a été automatiquement configuré, vous devriez trouver les entrées NS, SOA et deux enregistrements pour le DC (Domain Controller).
image
En utilisant l’outil Utilisateurs et ordinateurs Active Directory (dsa.msc) vous devriez trouver votre serveur dans l’OU (Unité d’Organisation) Domain Controllers.
image
Vous avez créé un contrôleur de domaine, vous pouvez maintenant créer vos OU, Utilisateurs et faire joindre vos PCs au domaine.
Congratulation!!!!!