Comment dployer l'Active Directory sur Windows Server 2008 R2

Microsoft France Division DPE

Table des matires

Prsentation ............................................................................................................................................ 3 Objectifs .................................................................................................................................................. 3 Pr requis................................................................................................................................................. 3 Introduction lActive Directory ............................................................................................................. 4 Comment crer le premier domaine de la fort ................................................................................. 5 Pr-requis ............................................................................................................................................ 5 Atelier : .................................................................................................................................................... 6 Scnario ............................................................................................................................................... 6 Exercice 1 : Installer 2008 R2............................................................................................................... 6 Exercice 2 : Crer un domaine l'Active Directory 2008 R2 .................................................................. 6 Exercice 3 : Ajouter un DC (Contrleur de domaine) supplmentaire................................................ 8 Exercice 4 : Ajouter un domaine supplmentaire ............................................................................. 11 Exercice 5 : Ajouter un RODC (Read Only Domain Controller).......................................................... 12 Exercice 6 : Crer des OU ............................................................................................................ 13 Exercice 7 : Ajouter une machine au domaine.................................................................................. 14 Exercice 8 : Ouvrir une session avec un compte utilisateur du domaine.......................................... 15 Conclusion ............................................................................................................................................. 16 Ressources ............................................................................................................................................. 16

Prsentation
Le dploiement de l'Active Directory 2008 R2 ne diffre pas beaucoup des versions antrieures. Comme pour les autres versions, une des cls essentielles de la russite, consiste faire une analyse trs dtaille de l'environnement administratif et rseau de l'entreprise, de manire pouvoir adapter Windows Server 2008 R2 ses besoins. Il est particulirement important de planifier le nombre de forts ou des domaines crer, de mme que le nombre de OU . On doit aussi mettre en place des stratgies de scurit bases sur des mots de passe adapts, dfinir des conventions de nommage pour les comptes de groupe, d'utilisateur ou d'ordinateur crer. Une attention toute particulire doit tre porte aussi sur l'utilisation des GPO et d'autres fonctionnalits comme le NAP, par exemple, etc. Le bon fonctionnement du systme DNS tant LA condition primordiale pour le bon fonctionnement de L'Active Directory, on ne saurait trop recommander le soin qui doit tre port la mise en place du DNS.

Objectifs
Dans ce tutoriel, vous apprendrez : Installer les rles AD DS et DNS Crer un domaine AD Ajouter un DC (RODC) supplmentaire au domaine Crer des OU et des utilisateurs Ajouter une machine au domaine

Pr-requis
Pour complter ce tutoriel vous devez tre quip : Dune machine 64 bits De Microsoft Windows Server 2008 R2 De Microsoft Windows 7 ou un autre OS client (Xp ou Vista)

Introduction lActive Directory Active

LActive Directory fut introduit dans les environnements Microsoft Windows avec la version Windows 2000. LAD est une base de donnes distribue qui stocke et gre des informations sur les ressources rseau et les donnes spcifiques des applications provenant dapplications utilisant un annuaire. des Les administrateurs peuvent utiliser AD DS (Active Directory Domain Services) pour organiser les lments dun rseau, tels que les utilisateurs, les ordinateurs et les autres priphriques, en une structure hirarchique de type contenant contenu. La structure hirarchique de type contenantcontenant-contenu. contenant contenu inclut la fort Active Directory, les domaines inclus dans la fort et les units dorganisation ( OU ) de chaque domaine. Un serveur qui excute AD DS est nomm contrleur de domaine. )

La fort reprsente la totalit de lannuaire. Le type dobjets qui peuvent tre crs dans cet annuaire AD est dfinit par le Schma. Le domaine est lunit administrative de base. Chaque domaine gre une partie de lannuaire. Tous les domaines de la fort sont relis par des relations dapprobation. Les relations dapprobation sont utilises essentiellement des fins dauthentification Par exemple : Lorsque lutilisateur du domaine dauthentification. A souhaite accder aux ressources du domaine B . Le nombre de domaines ou des forts qui vont tre crs dpend de lenvironnement administratif et informatique de la socit. Ainsi, une socit avec 10000 utilisateurs peut se satisfaire dun seul domaine tandis quune autre, avec 500 utilisateurs, peut avoir besoin den crer plusieurs. Cela va dpendre des critres comme : 4

Stratgies de scurit diffrentes, Besoin dune gestion indpendante, Bande passante disponible entre des sites gographiques, etc. Les OU (Organizational Unit) sont des conteneurs qui permettent dorganiser les objets du domaine selon des critres purement organisationnels ; Par ex. une OU pour les serveurs une autre pour les ordinateurs portables, une autre encore pour les utilisateurs, soit des fins de dlgation de gestion ; Ex : ladministrateur du domaine qui dlgue ladministration dun service un administrateur local, soit pour lapplication de stratgies diffrentes. Le nombre dobjets qui peuvent tre grs dans chaque domaine, dpend de plusieurs facteurs, mais peut se chiffrer en plusieurs millions. Les contrleurs de domaine sont les serveurs qui hbergent lAD. Tous les contrleurs du mme domaine se rpliquent leur contenu dans une base de rplication multi-matre. On assure ainsi lquilibrage de charge et la tolrance de panne car, si un contrleur nest pas disponible les utilisateurs ne peuvent pas sauthentifier et ne pourront pas, par consquence, accder leurs ressources. Dans 2008 R2 il existe un nouveau type de contrleur de domaine, le RODC (Read Only Domain Controller). Ce type de DC a pour vocation d'tre utilis dans des environnements noffrant pas un niveau de scurit physique quivalent celui qui serait souhait.

Comment crer le premier domaine de la fort

Dployer lAD doit faire lobjet dune tude de conception et de planification de manire ce que les objectifs pour lesquels on implmente lAD puissent tre atteints. Cette phase est primordiale car elle doit permettre dadapter lAD aux besoins de lentreprise. Ainsi, on doit procder une tude approfondie des besoins de lentreprise en matire de scurit, de type dadministration informatique, ses plans dvolution, etc. Il est trs important aussi de bien connaitre les infrastructures rseau. On doit choisir avec soin le nom du domaine racine de la fort car ce sera le suffixe pour tous les domaines enfant de cette arborescence. Ce nom peut tre le mme que le nom de lentreprise dpos sur Internet, le nom dun domaine enfant ou, encore, un nom diffrent. Pour des raisons de scurit et de facilit dans la gestion de la rsolution des noms, lutilisation dun nom diffrent sera la solution la plus confortable.

Pr-requis
Il vous faut un ordinateur 64 bits. Vous devez aussi installer Windows Server 2008 R2 (Tlchargez la version dvaluation ladresse : (http://technet.microsoft.com/fr-fr/evalcenter/dd459137.aspx) Le protocole TCP-IP V4 ou V6 doit tre install avec une adresse IP fixe. Le service DNS est exig.

Atelier :
Scnario
Dans cet atelier nous allons : Installer un domaine Dom2008.loc . Crer deux OU : Paris et Lyon Ajouter un Domaine supplmentaire Ajouter un DC supplmentaire Ajouter un RODC

Exercice 1 : Installer 2008 R2

Aprs installation de 2008 R2, dans la fentre Tches initiales , renommer lordinateur, Par ex : PAR-DC-02 , spcifier une adresse IP statique, Ex : 10.10.0.2 Masque de sous-rseau 255.255.0.0.

Exercice 2 : Crer un domaine l'Active Directory 2008 R2

1 - Installer le rle AD DS et DNS Menu Dmarrer > Outils dadministration > Gestionnaire de serveur > Rles Note : On ne peut pas installer les rles DNS et AD simultanment. 2 -Installer lActive Directory avec DCPROMO Menu Dmarrer > Excuter DCPROMO Choisir" Nouveau Domaine dans une nouvelle fort".

Nommer le domaine par ex : Dom2008.loc Accepter le nom Netbios Dans la fentre Mode fonctionnel choisir le mode 2008 R2

Dans la fentre nous alertant pour un problme DNS cliquer sur Oui .

Accepter le chemin des dossiers par dfaut. Dans la fentre Mot de passe restauration : Fournir un mot de passe complexe ex : Motdp@s1 A la fin du DCPROMO redmarrer le serveur. 7

3 -Vrifier le DNS Au redmarrage : Menu > Dmarrer > Outils dadministration > Dns. Vrifier que la Zone correspondant au nom du domaine a bien t cre ainsi que la Zone "_Msdcs.nom du domaine". Vrifier aussi que lenregistrement Hte (A) avec le nom de lordinateur y figure avec son adresse IP. Si tel nest pas le cas, sassurer que le serveur est bien client DNS de lui-mme dans les proprits IP de la carte rseau et provoquer un renregistrement avec la commande Ipconfig / RegisterDNS. On peut aussi Dsactiver et Activer la carte rseau.

Exercice 3 : Ajouter un DC (Contrleur de domaine) supplmentaire.

1 - Sassurer dans les proprits de la carte rseau quil est client du serveur DNS. Dans notre cas, du serveur PAR-DC-01 adresse IP 10.10.0.1. 2 - Mme procdure que pour le premier DC sauf quil faut choisir : Ajouter un contrleur de domaine un domaine existant

3 - Fournir le nom du domaine auquel on veut ajouter ce contrleur

4 - Dans la fentre Options supplmentaires pour le contrleur de domaine on doit prciser si ce DC est aussi serveur DNS et GC (Global Catalog)

5 - Fournir le nom et le mot de passe de ladministrateur du domaine

10

Exercice 4 : Ajouter un domaine supplmentaire

1 - Sassurer dans les proprits de la carte rseau que le serveur est client du serveur DNS. Dans notre cas, du serveur DNS PAR-DC-01 . 2 - Mme procdure que pour le premier DC sauf quil faut choisir : Crer un nouveau domaine dans une fort existante

3 - Fournir le nom de login et le mot de passe de lAdministrateur du domaine racine de la fort (membre du groupe "Administrateurs d'Entreprise). 4 - Taper le nom sans le suffixe du nouveau domaine

Accepter les autres options par dfaut et redmarrer la machine 11

Exercice 5 : Ajouter un RODC (Read Only Domain Controller)

Mme procdure que pour les autres DC sauf que, dans la fentre Options supplmentaires pour le contrleur de domaine on doit cocher la case RODC

12

Exercice 6 : Crer des OU

1 - Menu > Dmarrer > Outils dadministration > Utilisateurs et ordinateurs

2 - Faire un clic sur le nom du domaine. Menu > Action > Nouveau > Unit dorganisation

13

3 - Pour crer un objet Utilisateur dans une OU . Slectionner lOU > Menu Action > Nouveau > Utilisateur

Exercice 7 : Ajouter une machine au domaine

On doit crer des comptes dordinateur pour pouvoir mettre en place une administration centralise, que ce soit par le biais dune prise en main distance ou travers lapplication des stratgies de groupe. Dautre part, si on souhaite scuriser le trafic rseau, en implmentant IPSec ou des stratgies NAP, il faut pouvoir identifier et authentifier les ordinateurs. Dautres services sappuient aussi sur le compte Ordinateur . On peut procder de deux manires. Soit on cre dabord lobjet Ordinateur dans lOU o il va tre gr. Soit lobjet Ordinateur sera cr automatiquement lors de lajout au domaine. 1 - Dans la machine ajouter au domaine faire un clic droit sur : Dmarrer > Ordinateur , Dm slectionner Proprits

14

2 - Dans la fentre Systme Slectionner Paramtres systme avancs Slectionner longlet Nom de lordinateur . Eventuellement renommer lordinateur et taper le nom du domaine auquel on veut lajouter. Redmarrer la machine.

On peut aussi utiliser la commande "Netdom Join"

Exercice 8 : Ouvrir une session avec un compte utilisateur du domaine.

1 - Utiliser le compte cr dans l'exercice 6-3. 2 - Confirmer qu'on peut ouvrir la session sur le domaine

15

Conclusion
L'installation de l'Active Directory reste une opration qui, malgr l'importance que l'AD joue au sein du systme informatique de la socit, reste d'une assez grande facilit. Cependant, cette facilit, ne doit pas nous faire oublier les actions d'analyse, de planification et de documentation ncessaires avant tout dploiement. Ce sera cette condition qu'on pourra obtenir les meilleurs rsultats, lors de la mise en place des services de domaine de Windows Server 2008 R2.

Ressources
Vous trouverez de nombreuses ressources sur Internet, mais voici dj un bon point de dpart : Site officiel Windows Server 2008 et 2008 R2 : http://technet.microsoft.com/frfr/windowsserver/bb310558.aspx Blog Windows Server 2008 R2 : http://blogs.technet.com/windows7/ Tlchargez la version dvaluation de Windows Server 2008 R2 : http://technet.microsoft.com/fr-fr/evalcenter/dd459137.aspx Forum 2008 R2 : http://social.technet.microsoft.com/Forums/frCH/windowsserver2008r2networking/threads

16