Module 1

Installation et configuration
de contrôleurs de domaine
Vue d’ensemble du module

• Vue d’ensemble de AD DS
• Vue d’ensemble des contrôleurs de domaine AD DS
• Déploiement d’un contrôleur de domaine
Leçon 1 : Vue d’ensemble d’AD DS

• Vue d’ensemble de AD DS
• Qu’est-ce que le schéma AD DS ?
• Qu’est-ce qu’une forêt AD DS ?
• Qu’est-ce qu’un domaine AD DS ?
• Que sont les UO ?
• Nouveautés d’AD DS dans Windows Server 2016
• Qu’est-ce qu’AD Azure ?
• Vue d’ensemble des outils d’administration AD DS
• Démonstration : Utiliser le Centre d’administration
Active Directory pour administrer et gérer AD DS
Vue d’ensemble d’AD DS

AD DS est constitué de composants logiques et

physiques
Composants logiques Composants physiques
• Cloisons • Les contrôleurs de
• Schéma domaine
• Domaines • Magasins de données
• Arborescences de • Serveurs de catalogue
domaine global
• Forêts • RODC
• Sites
• Unités d’organisation
• Conteneurs
Qu’est-ce que le schéma AD DS ?
Qu’est-ce qu’une forêt AD DS ?

Racine de forêt
Racine domaine
d’arbores
cence adatum.com
domaine

fabrikam.com

atl.adatum.com
Domaine enfant
Qu’est-ce qu’un domaine AD DS ?
• AD DS nécessite un ou plusieurs contrôleurs de domaine
• Tous les contrôleurs de domaine détiennent une copie de la base
de données de domaine, qui est continuellement synchronisée
• Le domaine est le contexte dans lequel les comptes d’utilisateurs,
les comptes d’ordinateurs et les groupes sont créés
• Le nom de domaine est une limite de
réplication
• Le domaine est un centre administratif
pour la configuration et la gestion des
objets
Utilisateurs
• Tout contrôleur de domaine peut
authentifier n’importe quelles infos AD DS
d’identification, partout dans le domaine
• Le domaine donne l’autorisation

Ordinateurs Groupes
Que sont les UO ?

•Utilisez des conteneurs pour regrouper les objets

dans un domaine :
•Vous ne pouvez pas appliquer les GPO aux
conteneurs
•Les conteneurs sont utilisés pour les objets du
système et en tant que valeur par défaut pour
les nouveaux objets
•Créez des UO pour :
•Configurer les objets en leur attribuant les GPO
•Déléguer les autorisations administratives
Qu’est-ce qu’AD Azure ?

Exchange SharePoint
Online Online

Skype
Office 365 Entreprise

Azure
AD

Internet
Service Azure App

Sur place Applications

AD DS connectées à Internet
Vue d’ensemble des outils d’administration AD DS

La gestion d’AD DS est généralement effectuée à

l’aide des outils suivants :
• Centre d’administration Active Directory
• Utilisateurs et ordinateurs Active Directory
• Sites et services Active Directory
• Domaines et approbations Active Directory
• Schéma de composant logiciel enfichable Active Directory
• Module Active Directory pour Windows PowerShell
Démonstration : Utiliser le Centre d’administration
Active Directory pour administrer et gérer AD DS

Dans cette démonstration, vous apprendrez à :

• Naviguez dans le Centre d’administration Active Directory.
• Effectuer une tâche administrative au sein du Centre
d’administration Active Directory
• Créer des objets
• Voir tous les attributs de l’objet
• Utilisez la visionneuse Historique Windows PowerShell dans le
Centre d’administration Active Directory
Leçon 2 : Vue d’ensemble des contrôleurs de
domaine AD DS

• Qu’est-ce qu’un contrôleur de domaine ?

• Qu’est-ce qu’un catalogue global ?
• Vue d’ensemble de l’enregistrement SRV des
contrôleurs de domaine
• Démonstration : Affichage des enregistrements
SRV dans DNS
• Processus de connexion AD DS
• Quels sont les maîtres d’opérations ?
• Transférer et prise des rôles
Qu’est-ce qu’un contrôleur de domaine ?

Contrôleurs de domaine :
• Sont des serveurs qui hébergent la base de données
AD DS (Ntds.dit) et SYSVOL
• Hébergent le service d’authentification Kerberos et les
services KDC pour effectuer une authentification
• Avoir les bonnes pratiques pour :
• La disponibilité :
• Utilisez au moins deux contrôleurs de domaine dans
un domaine
• La sécurité :
• Utilisez un RODC ou BitLocker
 Qu’est-ce qu’un catalogue global ?
Le catalogue global :
sales1.Adatum.com Schéma
• Héberge un jeu d’attributs partiel
Configuration pour d’autres domaines de la forêt
Schéma • Prend en charge les requêtes pour
Domaine A
des objets dans la forêt
Configuration

sales2.Adatum.com Schéma
Domaine A

Configuration
Domaine B

Domaine B
Serveur de catalogue global Schéma

Configuration

Domaine B
AD DS

Reda@sales1.Adatum.com
Vue d’ensemble du contrôleur de domaine des
enregistrements SRV

• Les clients trouvent les contrôleurs de domaine par le

biais de la recherche DNS
• Les contrôleurs de domaine enregistrent
dynamiquement leurs adresses avec DNS
• Les résultats des requêtes DNS pour les contrôleurs de
domaine sont retournés dans cet ordre :
1. Une liste des contrôleurs de domaine du même site
que le client.
2. Une liste des contrôleurs de domaine dans le
prochain site le plus proche, si aucun n’est disponible
sur le même site.
3. Une liste aléatoire de contrôleurs de domaine sur
d’autres sites, si aucun contrôleur de domaine n’est
disponible sur le site le plus proche.
Démonstration : Affichage des enregistrements
SRV dans DNS

Dans cette démonstration, vous allez apprendre

comment utiliser le Gestionnaire DNS pour afficher
les enregistrements SRV
Processus de connexion AD DS

1. Le compte de l’utilisateur est

authentifié auprès du contrôleur de
domaine.
2. Le contrôleur de domaine renvoie Contrôleur
un TGT au client. de domaine

3. Le client utilise le TGT pour

demander l’accès au poste de
travail.
4. Le contrôleur de domaine accorde
l’accès à la station de travail.
5. Le client utilise le TGT pour
demander l’accès au serveur. Station de travail Serveur
6. Le contrôleur de domaine rétablit
l’accès au serveur.
SID

un SID est une chaîne unique sous la forme S-R-X-Y1-

Y2-Yn-1-Yn.
Parexemple, un SID de l’utilisateur peut être
S-1-5-21-322346712-1256085132-1900709958-500.

Le SID du compte d’administrateur de domaine se

termine toujours par 500.
SID
Que sont les contrôleurs d’opérations ?
• Dans le modèle de réplication multimaître, certaines
opérations doivent être des opérations à maître unique
• De nombreux termes sont utilisés pour les opérations à
maître unique dans AD DS, notamment :
• Maître d’opérations (ou rôle maître d’opérations)
• Rôle de maître unique
• Opérations à maître unique flottant (FSMO)
Les cinq FSMO :
Forêt : Domaine :
• Maître d’opérations des noms • Maître RID
de domaine • Maître d’infrastructure
• Contrôleur de schéma • Maître d’émulateur de
contrôleur de domaine principal
Les cinq FSMO
Le transfert et la prise de rôles
• Le transfert des rôles est :
• Planifié
• Réalisé avec les dernières données
• Effectué grâce à des composants logiciels
enfichables Windows PowerShell ou ntdsutil.exe
• La prise de rôle est :
• Non planifiée et utilisée en dernier recours
• Faite avec des données incomplètes ou
obsolètes
• Effectuée grâce à Windows PowerShell ou
ntdsutil.exe
 Prise des rôles FSMO à l'aide de l'outil NTDSUtil

Tout d'abord, ouvrez l'invite de commande avec des privilèges administratifs.

Tapez ntdsutil et appuyez sur Entrée.

Saisissez roles et appuyez sur Entrée.
Tapez connections et appuyez sur Entrée.
Saisissez connect to server DC01 et appuyez sur Entrée, où DC01 est le nom de l'ordinateur serveur vers lequel
transférer les rôles FSMO.
Tapez quitter et appuyez sur Entrée.
Tapez seize schema master
Leçon 3 : Déploiement d’un contrôleur de domaine

• Installation d’un contrôleur de domaine depuis le

Gestionnaire de serveur
• Installation d’un contrôleur de domaine sur une
installation minimale de Windows Server 2016/19
• Mise à niveau d’un contrôleur de domaine
• Installation d’un contrôleur de domaine en
l’installant depuis un support
• Clonage des contrôleurs de domaine
• Démonstration : Le clonage d’un contrôleur de
domaine
• Les bonnes pratiques pour la virtualisation des
contrôleurs de domaine
Installer un contrôleur de domaine depuis le
Gestionnaire de serveur
La section Configuration du déploiement de l’Assistant
Configuration des services de domaine Active Directory
Installer un contrôleur de domaine sur une installation
Server Core de Windows Server 2016/19
• Utilisation du Gestionnaire de serveur :
1. Installation du rôle AD DS.
2. Exécuter l’Assistant Configuration des services de
domaine Active Directory.
• Utilisation de Windows PowerShell :
1. Installez les fichiers en exécutant la commande
Install-WindowsFeature AD-Domain-Services.
2. Installer le rôle de contrôleur de domaine en exécutant la
commande Install-ADDSDomainController.
Mise à niveau d’un contrôleur de domaine
Options de mise à niveau d’AD DS pour Windows Server 2016 :
• Effectuer une mise à niveau sur place de Windows Server 2008 à
Windows Server 2016.
• Avantage : sauf pour les contrôles préalables, tous les fichiers et
programmes restent en place et aucun travail supplémentaire
n’est nécessaire
• Risque : Il peut laisser des fichiers obsolètes et des bibliothèques
de liaisons dynamiques (DLL)

• Introduire un nouveau serveur exécutant Windows Server 2016 dans

le domaine, puis le promouvoir afin qu’il soit contrôleur de domaine
(cette option est généralement préférée) :
• Avantage : le nouveau serveur n’a pas les fichiers et paramètres
obsolètes
• Risque : la migration des fichiers et des paramètres des
administrateurs peut demander un travail supplémentaire
Installer un contrôleur de domaine en installant des
médias
La section Installation à partir d’un support de la page
Options supplémentaires de l’Assistant de configuration
des services de domaine Active Directory
Cloner des contrôleurs de domaine

• Vous pouvez cloner des contrôleurs de domaine pour :

• Un déploiement rapide
• Les clouds privés
• Les stratégies de récupération
• Pour cloner un contrôleur de domaine source :
• Ajouter le contrôleur de domaine au groupe des
Contrôleurs de domaine clonables
• Vérifier la compatibilité des applications et des services
• Créer un fichier DCCloneConfig.xml
• Exporter une fois, puis créer autant de clones que
nécessaire
• Démarrer les clones
 Cloner des contrôleurs de domaine
Ordinateur virtuel
Démarrage
identificateur de génération existe-t-il ?
Non Non
DCCloneConfig existe ? 1 Oui DCCloneConfig Normale
existe ? Démarrage
Génération d’ordinateur virtuel Oui
Non
2 identifiant changé ?

Oui Oui Renommer

Non Protections de DDCloneConfig
Renommer virtualisation
DDCloneConfig déclenchées
Oui Redémarrer
Normal DSRM
Démarrage DCCloneConfig
Non Non
3 existe ?
Oui
Dupliquer IP Normal
Adresse ? Démarrage
Échec Clone Oui

Redémarrer Réussi
DSRM Redémarrer
Redémarrer DSRM
New DC cloné
Démonstration : Cloner un contrôleur de domaine

Dans cette démonstration, vous apprendrez à :

• Préparer un contrôleur de domaine source à cloner
• Exporter l’ordinateur virtuel source
• Créer et démarrer le contrôleur de domaine cloné
Meilleures pratiques pour la virtualisation du
contrôleur de domaine

• Éviter les points de défaillance uniques

• Utiliser les services de temps
• Utiliser la technologie de virtualisation avec la fonction d’identification
de génération d’ordinateur virtuel
• Utiliser Windows Server 2012 ou une version ultérieure en tant
qu’invités de virtualisation
• Éviter ou désactiver les points de contrôle
• Penser à améliorer la sécurité
• Envisager de tirer profit du clonage dans votre déploiement ou dans
votre stratégie de récupération
• Lancer au maximum 10 nouveaux clones en même temps
• Penser à utiliser les technologies de virtualisation qui permettent aux
ordinateurs virtuels invités de se déplacer entre les sites
• Ajuster votre stratégie de nommage pour autoriser les clones de
contrôleurs de domaine
Atelier pratique : Déploiement et administration
d’AD DS
• Exercice 1 : Déploiement d’AD DS
• Exercice 2 : Déploiement de contrôleurs de domaine
en procédant à un clonage du contrôleur de domaine
• Exercice 3 : Administration AD DS

Informations d’ouverture de session

Ordinateurs virtuels : 22742A-LON-DC1
22742A-LON-DC2
22742A-LON-SVR1
Nom d’utilisateur : Adatum\Administrator
Mot de passe : Pa$$w0rd

Durée approximative : 45 minutes

Scénario de l’atelier pratique

Vous êtes administrateur informatique à A. Datum

Corporation. La société étend ses activités et possède
plusieurs nouveaux emplacements. L’équipe
d’administration AD DS évalue actuellement les
méthodes disponibles dans Windows Server 2016
pour un déploiement rapide et à distance du
contrôleur de domaine. En outre, l’équipe cherche un
moyen d’automatiser certaines tâches administratives
AD DS. L’équipe veut un déploiement rapide et
transparent des nouveaux contrôleurs de domaine
pour les nouveaux emplacements et elle veut faire la
promotion de serveurs auprès de contrôleurs de
domaine à partir d’un emplacement central.
Contrôle des acquis et éléments à retenir

• Questions de contrôle des acquis


• Problèmes courants et conseils de résolution des
problèmes