Créer une forêt - Enzo CICCARELLI

 
CONTINUER À LIRE
Créer une forêt - Enzo CICCARELLI
Créer une forêt
vendredi 19 octobre 2018     12:28

Installer Active Directory sur Windows Server 2016
Cette opération consiste à transformer un simple système en serveur de domaine Active Directory
pour qu’il devienne le premier contrôleur de domaine (DC) de l’entreprise ou de l’organisation.

1. Première étape, a priori déjà réglée : ouvrir une session en Administrateur local ou avec un
compte qui fait partie des administrateurs locaux du serveur.

2. Dans le Gestionnaire de serveur, cliquer sur l’étape « 2 – Ajouter des rôles et des
fonctionnalités » .

3. Choisir « Installation basée sur un rôle ou une fonctionnalité » .

4. Dans notre exemple, le serveur est le seul du réseau, sinon choisir la bonne machine dans le pool
de serveurs.

5. Cocher le rôle « Services AD DS » pour Active Directory Domain Services. Remarque : les rôles DNS
et DHCP seront ajoutés plus tard.

6. Valider aussi l’ajout de rôles et de fonctionnalités complémentaires, requises pour l’installation de
ADDS.

                                     Procédures Windows Server Page 1
Créer une forêt - Enzo CICCARELLI
7. L’écran suivant permet d’ajouter des fonctionnalités, ne rien faire et cliquer sur Suivant.

8. Vérifier le résumé de l’installation et cliquer sur « Installer » pour démarrer l’opération.

9. En laissant l’écran ouvert, à la fin du processus, on peut lire « Configuration requise. Installation
réussie sur SERVEUR » et surtout la ligne « Promouvoir ce serveur en contrôleur de domaine » : c’est
sur cette phrase qu’il faut cliquer pour convertir le serveur en contrôleur de domaine du réseau.

                                    Procédures Windows Server Page 2
Créer une forêt - Enzo CICCARELLI
Si on a raté cet écran, on peut y accéder par le Gestionnaire de serveur, en cliquant sur l’icône
« drapeau » à gauche de « Gérer » :

10. Dans notre configuration exemple, il s’agit du premier serveur d’un nouveau réseau. Choisir
« Ajouter une nouvelle forêt » pour configurer un domaine neuf. Indiquer un Nom de domaine
racine, par exemple domaine.local ou entreprise.local.

11. Ce nouveau serveur sera-t-il le seul de l’entreprise ? Les postes seront-ils tous en Windows 10 ?
Si oui aux deux questions, on peut laisser le Niveau fonctionnel de la forêt et du domaine en
Windows Server 2016. Si des serveurs ou des postes plus anciens viendront se connecter, il faut
baisser les deux niveaux fonctionnels à leur équivalent serveur. Par exemple, Windows 7 équivaut à
Windows Server 2008 R2. Informations TechNet.
Laisser coché l’ajout de la fonctionnalité Serveur DNS pour ajouter ce rôle et indiquer un mot de
passe de récupération des services d’annuaire (DSRM). Ce mot de passe ne doit absolument pas être
perdu.

12. Un message d’erreur en jaune vient alerter de la délégation du serveur DNS. Il n’y a rien à faire à
ce stade, cliquer simplement sur Suivant pour continuer.

                                   Procédures Windows Server Page 3
Créer une forêt - Enzo CICCARELLI
13. Nous avons précédemment choisi un nom de domaine complet (FQDN), il faut maintenant
indiquer l’équivalent NetBIOS pour les anciens appareils qui ne gèrent pas les noms de domaines
qualifiés. Par exemple, pour « domaine.local » on pourra choisir le NetBIOS « DOMAINE » .

14. Valider l’emplacement de la base de données AD DS, des journaux d’historique et pour
SYSVOL. Laisser les dossiers proposés par défaut (NTDS et SYSVOL dans C:\Windows).

15. Un récapitulatif résume la configuration qui va être appliquée. Cliquer sur Suivant pour
continuer.

16. Une dernière vérification est effectuée, des notifications sont affichées mais cliquer
sur Installer pour démarrer le processus.

17. L’opération dure quelques minutes et le redémarrage de Windows prendra plus de temps que
d’habitude, le temps de configurer le contrôleur de domaine.

18. La connexion à Windows doit maintenant se faire sur le domaine pour utiliser le compte
Administrateur du domaine. Utiliser le mot de passe du compte Administrateur créé lors de
l’installation de Windows Server 2016.

19. Il s’agit d’un nouveau profil Windows mais le Gestionnaire des tâches s’ouvre aussi
automatiquement. Des blocs indiquent l’état des rôles du serveur : AD DS, DNS, Services de fichiers
et de stockage. En vert, tout va bien. En rouge, pas de panique mais cliquer sur le message pour
savoir de quoi il s’agit.

                                   Procédures Windows Server Page 4
Outils d’administration
Quand on vient d’un système Windows Server 2008 / R2, on cherche d’abord les Outils
d’administration pour lancer les consoles de gestion Active Directory, DNS, DHCP, etc. Mais
depuis Windows Server 2012 / R2, c’est le Gestionnaire de serveur qui centralise ces fonctions. Dans
la console, cliquer en haut à droite sur Outilspour accéder aux outils de gestion du contrôleur de
domaine.

À partir de l’adresse 

                                  Procédures Windows Server Page 5
Créer un domaine
vendredi 19 octobre 2018     12:29

  I. Installation du rôle Active Directory
      Ouvrez le Gestionnaire de Serveur, cliquez sur le lien Gérer puis Ajouter des rôles et des fonctionnalités.
      Cliquez sur Installation basée sur un rôle ou une fonctionnalité.
      Sélectionnez le serveur sur lequel le rôle doit être installé.
      Sélectionnez Services AD DS.

      Des fonctionnalités complémentaires vont être automatiquement sélectionnées. Il est impératif d'avoir tous ces outils pour pouvoir gérer
      efficacement le serveur AD.

      Lancez l'installation en cliquant sur Suivant.

      Vous devrez redémarrer votre serveur à la fin de l'installation. Vous pouvez donc cocher Redémarrer automatiquement le serveur.

      Une fois le serveur redémarré et le gestionnaire de serveur ouvert, un bandeau jaune tout en haut de la fenêtre apparait, vous rappelant que vous
      devez terminer la configuration de rôle AD DS.

      Choisissez l'option Ajouter une nouvelle forêt. Saisissez le nom de votre domaine.

      Attention : Le nom de votre domaine est très important. Vous pouvez saisir un nom de domaine réel (utile pour des synchronisations avec le cloud
                  ou pour garder un certaine logique au sein de votre infrastructure) ou saisir tout autre nom. Sachez que le renommage d'un domaine AD
                  est possible, mais l'impact technique est très conséquent.

      Choisissez ensuite le niveau fonctionnel du domaine. Il est préférable d'utiliser le niveau fonctionnel le plus haut pour le domaine.

                                     Procédures Windows Server Page 6
Saisissez le mot de passe de restauration. Il sera utile uniquement dans le cas où votre AD sera corrompu et inaccessible. Vous pourrez tenter la
  restauration de votre AD (et ainsi retrouver une certaine sécurité) avec ce mot de passe. Choisissez donc un mot de passe robuste et ne le perdez en
  aucun cas.

  Un message d'avertissement va apparaitre :
  Le rôle AD DS nécessite le rôle DNS. Vous devez avoir un serveur DNS pour pouvoir utiliser votre domaine.

  Explications :
  Si vous installez le rôle DNS en même temps que l'AD DS, ou si vous avez déjà installé le rôle DNS sans le configurer, vous n'avez pas à tenir compte de
  ce message : la configuration se fait quasi automatiquement.
  Si vous n'avez pas installé le rôle DNS (ou si votre serveur DNS est sur un serveur Linux, par exemple) vous devrez créer les zones DNS vous-même.

  Il n’y a rien à faire à ce stade, cliquer simplement sur Suivant pour continuer.

  Saisissez le nom NetBIOS. Il correspond au préfixe de votre domaine saisi précédemment.

  Vous arrivez maintenant à l'étape Emplacement des données, vous devez spécifier trois dossiers.
    • Dossier de la base de données :
       A l'intérieur se trouve tous les fichiers nécessaires au fonctionnement interne de l'AD
    • Dossier des fichiers journaux :
       Tous les fichiers de log iront dans ce dossier avec l'extension .txt ; il seront lus avec l'outil Observateur d'événements.
    • Dossier SYSVOL :
       Il contiendra les scripts de connexion pour vos utilisateurs, les GPO (stratégies de groupe) et les fichiers nécessaires pour la réplication de l'AD et
       les partages publics.

  Par défaut, ces dossiers sont placés dans %SYSTEMROOT% (généralement C:\Windows). Vous pouvez changer l'emplacement de ces trois dossiers, il
  s'agit purement d'une organisation interne. N'oubliez pas leur emplacement en cas de problème avec votre serveur.

  Un récapitulatif complet va s'afficher avec toutes les options que vous avez choisies et configurées.
  Si le message Toutes les vérifications de la configuration requise ont donné satisfaction apparait dans le bandeau jaune, la création du domaine AD
  peut commencer.

II. Configuration du DNS
  Maintenant que votre contrôleur de domaine est prêt à l'emploi, une étape complémentaire est à effectuer sur votre serveur DNS. Lors de l'installation
  du rôle AD DS, vous avez eu un message d'avertissement, en vous précisant que si le rôle / serveur DNS était joignable, une configuration automatique
  serait effectuée.
  Notez que dans l'autre cas, vous devez tout configurer de vous-même sur ce serveur DNS.

                               Procédures Windows Server Page 7
Ici le DNS a été configuré à moitié :

Il est nécessaire de créer une zone de recherche inversée. Pour ce faire, ouvrer le Gestionnaire DNS, puis déployer l'arborescence de votre serveur DNS.

Faites un clic droit sur le dossier Zones de recherche inversée, puis cliquez sur Nouvelle zone.
Il faut bien cocher Zone de recherche principale ainsi que Enregistrer la zone dans un AD.

Par la suite, il faut saisir l'identifiant du réseau ou le nom de la zone inverse.

Pour rappel, le nom de la zone inverse correspond à votre réseau IP mais à l'envers.

Par exemple pour un réseau 10.0.0.0/8, l'IP en zone inverse sera donc 0.0.10.in-addr.arpa.
Vous pouvez ignorer les options suivantes et appliquer la configuration par défaut.
La nouvelle zone DNS est prête, vous devriez la voir dans la liste, sous le dossier Zones de recherche inversée.

                              Procédures Windows Server Page 8
Procédures Windows Server Page 9
GPO pour déployer un MSI
vendredi 19 octobre 2018    12:29

Ouvrez la console Gestion de stratégie de groupe depuis le gestionnaire de serveur ou les options
d'administration.

Cliquez droit sur l'Unité d'organisation où doit s'appliquer la GPO et choisissez Créer un objet GPO
dans ce domaine, et le lier ici…

Après avoir nommé votre GPO, cliquez droit sur celle-ci et choisissez Modifier…

Dans l'Editeur de stratégie de groupe choisissez Configuration ordinateur puis déployez Stratégies >
Paramètres du logiciel > Installation de logiciel.

Cliquez droit sur Installation de logiciel puis sur Nouveau > Package…

Parcourez l'arborescence de votre partage réseau, sélectionnez votre package MSI et cliquez sur
Ouvrir. Le chemin d'accès doit respecter la forme : \\serveur\partage\mon-package.msi

Attention : Le package MSI doit être disponible à tout moment par les postes et utilisateurs
            concernés par la GPO. Choisissez un emplacement réseau et définissez les
            autorisations de façon à permettre la lecture des fichiers de celui-ci.

Choisissez le type de déploiement comme cela :
Assigné Vous pouvez assigner une distribution de programme à des utilisateurs ou des
        ordinateurs :
        Si vous assignez le programme à un utilisateur, il est installé lorsque l'utilisateur
        ouvre une session sur l'ordinateur.

                                    Procédures Windows Server Page 10
ouvre une session sur l'ordinateur.
          L'installation est finalisée lorsque l'utilisateur exécute le programme pour la
          première fois.
          Si vous assignez le programme à un ordinateur, il est installé lorsque l'ordinateur
          démarre et il est disponible pour tous les utilisateurs qui se connectent à
          l'ordinateur.
          L'installation est finalisée lorsqu'un utilisateur exécute le programme pour la
          première fois.
Publié    Vous pouvez publier une distribution de programme sur les utilisateurs. Lorsque
          l'utilisateur ouvre une session sur l'ordinateur, le programme publié est affiché
          dans la boîte de dialogue Ajout/Suppression de programmes et peut être installé
          à partir de cet emplacement.

Une fois votre GPO créée, vous pouvez voir son état de déploiement dans l'Editeur de stratégie de
groupe.

La configuration de base est à présent terminée, néanmoins vous pouvez configurer des paramètres
avancés à partir du menu contextuel.

Vous pouvez exécuter la commande gpupdate /force pour mettre à jour la GPO sur vos postes.

                                 Procédures Windows Server Page 11
Vous pouvez aussi lire