|
Voici un tuto qui vous permettra d’installer un domaine active directory et ainsi vous permettre de centraliser toutes vos ressources, stratégie de sécurité ainsi que les comptes utilisateurs, groupes de sécurité, ou encore ordinateurs de votre réseau.
Ce tuto est réalisé sur une installation clean de Windows 2003 R2 SP1.
ATTENTION: Ce tuto est fait pour la création d’un nouveau domaine active directory et ne fonctionnera pas pour la mise à jour d’un domaine sous Windows 2000 nécessitant la mise à jour des attributs du schéma afin de mettre à niveau la forêt pour 2003. Veillez également à ne pas installer de logiciel superflu qui pourrait modifier les attributs et rendre incompatible le déploiement de Active directory.
Tous à vos clavier… C’est tipart…
Pré requis:
- Windows 2003 standard au minimum (R2, SP1, SP2)
- Ne pas oublier de configurer le serveur en IP fixe.
1]Promotion du premier contrôleur de domaine de la forêt
Loguer vous en tant qu’administrateur local sur la machine.
Cliquer sur démarrer --> exécuter puis rentrer la commande "dcpromo"
Puis valider.
L’assistant de promotion, régression active directory démarre.
Cliquer sur suivant.
A l’écran de compatibilité, cliquer sur suivant.
Vous arrivez donc à l’écran : "Type de contrôleur de domaine"
Sélectionner l’option : "Contrôleur de domaine pour un nouveau domaine"
!!! Attention !!! Cette opération supprime la base SAM de l’ordinateur local pour mettre en place l’annuaire LDAP! Si vous avez donc des comptes locaux sur la machine ils seront détruits!
Cliquer sur suivant.
Sur la page créer un nouveau domaine, sélectionné "Domaine dans une nouvelle forêt"
Dans ce tuto je ne détaillerais pas les autres options car celui-ci est réaliser pour le déploiement d’un nouveau domaine. Si vous avez des questions concernant les autres options, venez en discuter sur le forum ;o)
Cliquer sur suivant.
Sur la page nouveau nom de domaine, saisissez votre nom de domaine avec une extension .lan ou .local par exemple afin que votre nom de domaine n’interfère pas avec votre domaine public et donc que votre DNS n’ai pas autorité sur votre domaine public.
Dans le tuto nous prendrons geekhelpme.lan
Puis cliquer sur suivant.
NB: Il ne faut pas que le nom du serveur est le même nom que le domaine! Par exemple si votre serveur s’appel geekhelpme et que vous souhaitez créer un domaine geekhelpme.lan, vous aurez un conflit de nom NetBIOS entre le nom de la machine et le nom du domaine.
Vérifier ensuite que le nom de domaine NetBIOS soit correct.
Puis cliquer sur suivant.
Sélectionnez ensuite le chemin d’installation de la base de données (NTDS.dit) et du journal.
Si vous possédez un deuxième disque dur, il est préférable de sélectionner ce disque plutôt que le disque système. Pour le tuto je garderais les chemins par défaut.
Cliquer sur suivant après avoir choisis le chemin d’installation.
Choix du chemin d’installation du volume système partagé (SYSVOL).
Tout comme pour la base et le journal, il est préférable de sélectionner un autre disque pour l’installation.
Le volume sysvol est un dossier qui est répliqué entre tous les contrôleurs du domaine et qui contient les stratégies de groupe (GPO) ainsi que les scripts d’ouverture et de fermeture de session.
Une foi le chemin choisi, cliquer sur suivant.
Diagnostic des inscriptions DNS.
Pour faire fonctionner Active directory, il est obligatoire d’avoir un serveur DNS qui contient les enregistrements de service nécessaires comme kerberos et ldap par exemple. Ceci afin de renseigner les clients des serveurs à contacter pour l’authentification.
A ce stade donc il y a une erreur car aucun serveur DNS n’est installer.
Laissez donc coché "Installer et configurer le serveur DNS sur cet ordinateur et définir cet ordinateur pour utiliser ce serveur DNS comme serveur DNS de préférence".
Puis suivant.
Autorisation.
Si vous utilisez encore NT4 sur votre réseau, sélectionner l’option "Autorisation compatibles avec les systèmes d’exploitation serveur antérieur à Windows 2000"
Sinon laissez "Autorisations compatible uniquement avec les systèmes d’exploitation serveurs Windows 2000 ou Windows 2003"
Puis cliquer sur suivant.
Mot de passe administrateur de restauration active directory.
Ce mot de passe pourra vous être utilisé si vous êtes amené à démarrer le contrôleur de domaine en mode restauration.
Nous mettrons dans le tuto le mot de passe : geek
Cliquer sur suivant.
Vérifier le résumer de l'installation puis cliquer sur suivant.
L’installation démarre.
Pensez bien à laissez votre cd Windows dans le lecteur lors de l’installation car celui-ci est nécessaire pour l’installation de certains services comme le serveur DNS…
 
Après plusieurs minutes, l’installation ce termine.
Et il vous est demander un redémarrage. Faite lui plaisir ;o)
Après le redémarrage, votre contrôleur de domaine est prêt…
2] Les tâches post installation
Voici quelques point à vérifier et quelque petite astuces pour votre nouveau contrôleur de domaine ;o)
Vérifier bien que votre serveur pointe en DNS préférer sur son adresse IP et non pas vers le DNS de votre FAI ou encore vers votre IP localhost (127.0.0.1).
a] Installation de l’adminpack.
Pour télécharger le adminpack pour 2003 SP1 et SP2, c’est par ici:
http://download.microsoft.com/download/6/8/1/681c9ba7-380f-4756-ac85-a3323437e6c3/WindowsServer2003-KB304718-AdministrationToolsPack.exe
Cet utilitaire va vous ajouter plein d’outils d’administration plus ou moins utiles et existe également pour vos postes clients afin de gérer votre domaine depuis votre PC sous 2000/XP/Vista/Seven
Avant l’installation de l'adminpack:
Après l’installation vous trouverez beaucoup plus d'outils.
b] Enregistrement de la dll pour permettre la gestion des attributs du schéma via les MMC.
Cliquer sur Démarrer --> exécuter puis saisissez "regsvr32 schmmgmt"
Puis valider.
Vous devriez avoir le message suivant.
c] Augmentation du niveau fonctionnel du domaine.
Cette opération n’est pas indispensable et ne doit pas être appliqué si vous possédez des contrôleurs de domaine antérieur à Windows 2003.
Pour effectuer cette opération, cliquer sur Démarrer --> Tous les programmes --> Outils d’administration puis sélectionner "Utilisateurs et ordinateur Active directory"
Dans la console de gestion faite un clique droit sur votre domaine (geekhelpme.lan) puis sélectionné "Augmenter le niveau fonctionnel du domaine…"
Sélectionner le mode Windows Server 2003
Puis cliquer sur "Augmenter"
Un message apparait pour vous signaler que cette opération est irréversible.
Cliquer sur " Ok "
Un message pour la confirmation apparait…
Voilà votre domaine est en mode natif 2003.
d] Installation des outils support 2003 (Windows Support Tools)
Insérer votre CD d’installation 2003 puis explorer le pour accéder au répertoire X:\SUPPORT\TOOLS (Ou X: représente la lettre de votre lecteur) puis exécuter " SUPTOOLS.MSI "
L’assistant démarre.
Cet utilitaire vous fournit un tas d’outils de diagnostic comme dcdiag, netdiag, ldp, etc…
Par exemple vérifier que votre contrôleur de domaine fonction correctement :
Cliquer sur démarrer --> tous les programmes --> Windows support tools --> Command prompt
Puis taper : dcdiag /V
C:\Program Files\Support Tools>dcdiag /V
Domain Controller Diagnosis
Performing initial setup:
* Verifying that the local machine srv-geekhelpme, is a DC.
* Connecting to directory service on server srv-geekhelpme.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 1 DC(s). Testing 1 of them.
Done gathering initial info.
Doing initial required tests
Testing server: Premier-Site-par-defaut\SRV-GEEKHELPME
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... SRV-GEEKHELPME passed test Connectivity
Doing primary tests
Testing server: Premier-Site-par-defaut\SRV-GEEKHELPME
Starting test: Replications
* Replications Check
* Replication Latency Check
* Replication Site Latency Check
......................... SRV-GEEKHELPME passed test Replications
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC SRV-GEEKHELPME.
* Security Permissions Check for
DC=ForestDnsZones,DC=geekhelpme,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
DC=DomainDnsZones,DC=geekhelpme,DC=lan
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DC=geekhelpme,DC=lan
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DC=geekhelpme,DC=lan
(Configuration,Version 2)
* Security Permissions Check for
DC=geekhelpme,DC=lan
(Domain,Version 2)
......................... SRV-GEEKHELPME passed test NCSecDesc
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \\SRV-GEEKHELPME\netlogon
Verified share \\SRV-GEEKHELPME\sysvol
......................... SRV-GEEKHELPME passed test NetLogons
Starting test: Advertising
The DC SRV-GEEKHELPME is advertising itself as a DC and having a DS.
The DC SRV-GEEKHELPME is advertising as an LDAP server
The DC SRV-GEEKHELPME is advertising as having a writeable directory
The DC SRV-GEEKHELPME is advertising as a Key Distribution Center
The DC SRV-GEEKHELPME is advertising as a time server
The DS SRV-GEEKHELPME is advertising as a GC.
......................... SRV-GEEKHELPME passed test Advertising
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS Settings,CN=SRV-GEEKHELPME,CN=Servers,CN=Pr
emier-Site-par-defaut,CN=Sites,CN=Configuration,DC=geekhelpme,DC=lan
Role Domain Owner = CN=NTDS Settings,CN=SRV-GEEKHELPME,CN=Servers,CN=Pr
emier-Site-par-defaut,CN=Sites,CN=Configuration,DC=geekhelpme,DC=lan
Role PDC Owner = CN=NTDS Settings,CN=SRV-GEEKHELPME,CN=Servers,CN=Premi
er-Site-par-defaut,CN=Sites,CN=Configuration,DC=geekhelpme,DC=lan
Role Rid Owner = CN=NTDS Settings,CN=SRV-GEEKHELPME,CN=Servers,CN=Premi
er-Site-par-defaut,CN=Sites,CN=Configuration,DC=geekhelpme,DC=lan
Role Infrastructure Update Owner = CN=NTDS Settings,CN=SRV-GEEKHELPME,C
N=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=geekhelpme,DC=
lan
......................... SRV-GEEKHELPME passed test KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 1603 to 1073741823
* srv-geekhelpme.geekhelpme.lan is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1103 to 1602
* rIDPreviousAllocationPool is 1103 to 1602
* rIDNextRID: 1105
......................... SRV-GEEKHELPME passed test RidManager
Starting test: MachineAccount
Checking machine account for DC SRV-GEEKHELPME on DC SRV-GEEKHELPME.
* SPN found :LDAP/srv-geekhelpme.geekhelpme.lan/geekhelpme.lan
* SPN found :LDAP/srv-geekhelpme.geekhelpme.lan
* SPN found :LDAP/SRV-GEEKHELPME
* SPN found :LDAP/srv-geekhelpme.geekhelpme.lan/GEEKHELPME
* SPN found :LDAP/dbb1267b-56d3-4933-affc-6d54829124be._msdcs.geekhelpm
e.lan
* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/dbb1267b-56d3-4933-af
fc-6d54829124be/geekhelpme.lan
* SPN found :HOST/srv-geekhelpme.geekhelpme.lan/geekhelpme.lan
* SPN found :HOST/srv-geekhelpme.geekhelpme.lan
* SPN found :HOST/SRV-GEEKHELPME
* SPN found :HOST/srv-geekhelpme.geekhelpme.lan/GEEKHELPME
* SPN found :GC/srv-geekhelpme.geekhelpme.lan/geekhelpme.lan
......................... SRV-GEEKHELPME passed test MachineAccount
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... SRV-GEEKHELPME passed test Services
Test omitted by user request: OutboundSecureChannels
Starting test: ObjectsReplicated
SRV-GEEKHELPME is in domain DC=geekhelpme,DC=lan
Checking for CN=SRV-GEEKHELPME,OU=Domain Controllers,DC=geekhelpme,DC=l
an in domain DC=geekhelpme,DC=lan on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS Settings,CN=SRV-GEEKHELPME,CN=Servers,CN=Premier-S
ite-par-defaut,CN=Sites,CN=Configuration,DC=geekhelpme,DC=lan in domain CN=Confi
guration,DC=geekhelpme,DC=lan on 1 servers
Object is up-to-date on all servers.
......................... SRV-GEEKHELPME passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... SRV-GEEKHELPME passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
......................... SRV-GEEKHELPME passed test frsevent
Starting test: kccevent
* The KCC Event log test
Found no KCC errors in Directory Service Event log in the last 15 minut
es.
......................... SRV-GEEKHELPME passed test kccevent
Starting test: systemlog
* The System Event log test
Found no errors in System Event log in the last 60 minutes.
......................... SRV-GEEKHELPME passed test systemlog
Test omitted by user request: VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)
CN=SRV-GEEKHELPME,OU=Domain Controllers,DC=geekhelpme,DC=lan and
backlink on
CN=SRV-GEEKHELPME,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Con
figuration,DC=geekhelpme,DC=lan
are correct.
The system object reference (frsComputerReferenceBL)
CN=SRV-GEEKHELPME,CN=Domain System Volume (SYSVOL share),CN=File Replic
ation Service,CN=System,DC=geekhelpme,DC=lan
and backlink on
CN=SRV-GEEKHELPME,OU=Domain Controllers,DC=geekhelpme,DC=lan are
correct.
The system object reference (serverReferenceBL)
CN=SRV-GEEKHELPME,CN=Domain System Volume (SYSVOL share),CN=File Replic
ation Service,CN=System,DC=geekhelpme,DC=lan
and backlink on
CN=NTDS Settings,CN=SRV-GEEKHELPME,CN=Servers,CN=Premier-Site-par-defau
t,CN=Sites,CN=Configuration,DC=geekhelpme,DC=lan
are correct.
......................... SRV-GEEKHELPME passed test VerifyReferences
Test omitted by user request: VerifyEnterpriseReferences
Test omitted by user request: CheckSecurityError
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : geekhelpme
Starting test: CrossRefValidation
......................... geekhelpme passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... geekhelpme passed test CheckSDRefDom
Running enterprise tests on : geekhelpme.lan
Starting test: Intersite
Skipping site Premier-Site-par-defaut, this site is outside the scope
provided by the command line arguments provided.
......................... geekhelpme.lan passed test Intersite
Starting test: FsmoCheck
GC Name: \\srv-geekhelpme.geekhelpme.lan
Locator Flags: 0xe00003fd
PDC Name: \\srv-geekhelpme.geekhelpme.lan
Locator Flags: 0xe00003fd
Time Server Name: \\srv-geekhelpme.geekhelpme.lan
Locator Flags: 0xe00003fd
Preferred Time Server Name: \\srv-geekhelpme.geekhelpme.lan
Locator Flags: 0xe00003fd
KDC Name: \\srv-geekhelpme.geekhelpme.lan
Locator Flags: 0xe00003fd
......................... geekhelpme.lan passed test FsmoCheck
Test omitted by user request: DNS
Test omitted by user request: DNS
C:\Program Files\Support Tools>
Voilà vous pouvez vérifier que tout les test sont ok.
e] Un outil incontournable de Windows 2003 : GPMC (Group Policy Management Console)
GPMC est un outil puissant qui permet de gérer vos stratégies de groupe et de faire des analyses sur vos utilisateurs ou ordinateurs en récupérant le jeu de stratégie résultant d’un objet.
Pour installer GPMC, télécharger le:
http://download.microsoft.com/download/a/d/b/adb5177d-01a7-4f04-bfcc-cb7cea8b5bb7/gpmc.msi
Au lancement de GPMC vous pourrez avoir un message d’avertissement vous demandant d’installer les éléments nécessaires au bon fonctionnement de la console GPMC.
Cliquer sur Oui puis installer GPMC.
Après l’installation vous le trouverez dans Démarrer -> Tous les programmes -> Outils d’administration sous le nom "Group Policy Management"
Voici l’interface de GPMC
RAPPEL: les GPO ne peuvent être appliquer que sur des OU (Organizational Unit) je vous conseil donc de créer une OU pour vos ordinateurs et d’autres pour vos utilisateurs afin de pouvoir définir des stratégies pertinentes.
Voilà il ne vous reste plus qu’a créer vos OU et de leur appliquer vos GPO.
En espérant que ce tuto vous aidera car c'est très simple à réaliser et ceci en vue d'un tutoriel conssacrer à l'authentification RADIUS. Pour toute questions n’hésitez pas a venir réagir sur notre forum ;o)
|
ATOM Dossiers
RSS 2.0 Dossiers