TP 0 - Création d'un domaine Active Directory (correction)
0. Introduction
Cette correction du TP 0 donne une procédure d'installation d'un Active Directory sur Windows Server (2016, 2019 ou 2022). Les méthodes graphique et ligne de commande sont reprises dans ce document, qui sont les deux possibilités pour effectuer ce type d'installation. Dans le cadre de la VM, nous pouvons utiliser des snapshots, ou clichés instantanés, pour revenir à un état antérieur de la machine. Cela est utile en cas d'erreur ou pour effectuer des opérations de plusieurs manières sans avoir à réinstaller la machine complètement.
Comme dans l'énoncé du TP 0, nous allons créer un domaine sous la forme <nom_de_famille>.epsi.com, ce qui dans mon cas donnera floquet.epsi.com. Le montage des machines dans cette correction est fait sur VMware Workstation Pro 16, mais toutes les fonctionnalités utilisées peuvent être retrouvées dans VirtualBox.
La seule exception concerne VMware Player, qui ne peut pas effectuer de snapshots sur les machines virtuelles.
1. Installation de Windows Server 2022
J'utilise Windows Server 2022 pour cette correction, mais l'interface et la procédure est strictement identique sur Windows Server 2016 ou 2019. Elle reste similaire sur Windows Server 2012 R2, avec quelques petites différences d'interface.
1.1. Créez une machine virtuelle avec la configuration suivante, ou en fonction des performances de votre ordinateur
2 vCPUS 4 Go RAM
1 carte réseau en NAT 32GB de disque minimum
Les machines en NAT peuvent communiquer entre elles dans VMware Workstation Pro, ce qui n'est pas le cas dans VirtualBox. Le NAT pourra donc être remplacé par réseau NAT ou réseau interne sur
VirtualBox.
On se rend dans le menu File > New virtual machine... pour lancer l'assistant de création de machine virtuelle.
11/14/2021
2 / 47
On choisit le type Custom afin d'avoir un contrôle plus fin sur la création de la machine virtuelle.
Sauf cas particulier, la compatibilité de machine virtuelle choisie est la plus récente, afin de bénéficier de toutes les fonctionnalités possibles sur la machine virtuelle. Ce principe de compatibilité ne s'applique qu'à VMware.
Choisissons maintenant l'ISO d'installation pour Windows Server. Avec VMware Workstation, une option nommée Easy Install permet d'automatiser l'installation du système d'exploitation en vous demandant les informations nécessaires (Nom d'utilisateur, mot de passe, etc.) dès la création de la machine. Pour cette procédure, nous allons installer le système d'exploitation sans cette option. On ignore donc les informations à remplir sur la page Easy Install Inforamtion, d'autant plus que Windows Server 2022 n'est pas encore reconnu correctement par cette fonction.
11/14/2021
4 / 47
On nomme la machine virtuelle dc01 pour faire correspondre le nom au nom d'hôte que l'on donnera plus tard au serveur. On choisit également l'emplacement sur le disque où va être stockée la machine sur l'hôte.
Le type de firmware UEFI est choisi, plus récent que le type BIOS également proposé. L'option Secure Boot ajoute également de la sécurité à la machine en vérifiant que le code de démarrage du système d'exploitation n'est pas altéré ou corrompu. Il est possible de la cocher en plus (uniquement avec UEFI).
Le nombre de cœurs de processeurs est ensuite défini à 2 minimum (recommandé pour des performances correctes). Cela peut être choisi en prenant deux processeurs à 1 cœur, ou 1 processeur à 2 cœurs. La seule différence que cela apporterait serait la gestion des licences Microsoft à utiliser dans le cadre de l'entreprise.
Ici, pour cet exercice, nous n'utilisons pas de licence et ce choix n'a donc aucun impact.
11/14/2021
6 / 47
La RAM est définie sur 2 Go (2048 Mo) minimum pour que la machine puisse fonctionner correctement. Si votre machine le permet, vous pouvez indiquer 4 Go (4096 Mo) pour de meilleures performances.
On garde la carte réseau en mode NAT, qui permet aux machines virtuelles de communiquer entre elles, tout en n'étant pas visibles en dehors de la machine hôte. Sous VirtualBox, le mode NAT ne permet pas aux machines de communiquer entre elles. On lui préférera alors le mode réseau NAT qui correspond au NAT sur VMware Workstation. Il est aussi possible d'utiliser le mode réseau privé hôte, ou réseau interne dans
VirtualBox, mais les machines n'auront pas accès à Internet dans ce cas.
On garde le contrôleur d'entrée/sortie et le type de disque par défaut, qui conviennent très bien pour toutes les utilisations courantes de VM.
11/14/2021
8 / 47
On créé maintenant un nouveau disque virtuel, qui va stocker toutes les données de la machine virtuelle. On définit sa taille à 32 Go minimum pour pouvoir contenir sans problème l'installation de Windows Server et des autres rôles et fonctionnalités.
Il est possible de stocker le disque virtuel en un seul fichier, que je trouve plus pratique à gérer et qui offre de meilleures performances. Le plus important est de ne pas cocher la case Allocate disk space now, au risque de voir votre disque dur se remplir très rapidement : la totalité de la taille du disque virtuel serait réservée dès sa création, au lieu de grandir avec la machine.
11/14/2021
10 / 47
On garde ensuite le nom par défaut pour notre disque virtuel, on vérifie que tous les paramètres correspondent à nos attentes, et on valide la création de la machine.
Si on veut apporter davantage de modifications avant de démarrer la machine, on peut décocher la case qui démarre la machine directement à la fin de l'assistant.
Pour désactiver l'Easy Install, après la fin de l'assistant, et avant de démarrer la machine virtuelle, il faut retirer depuis les paramètres de la VM le Floppy qui est rajouté à la machine.
La VM est maintenant prête à être utilisée, à commencer par l'installation de l'OS.
1.2. Démarrez sur l'ISO de Windows serveur et effectuez une installation en utilisant tout le disque
L'OS n'étant pas installé, et l'ISO d'installation directement inséré lors de la création de la machine, il suffit de la démarrer et d'appuyer sur une touche lorsque c'est demandé pour que le processus d'installation se lance.
11/14/2021
12 / 47
Après quelques secondes de chargement, le premier écran apparaît et vous demande de choisir la langue pour votre installation. On garde les paramètres par défaut puis on choisit Installer maintenant.
On passe l'écran de clé de produit, que l'on ne va pas renseigner dans le cadre de l'exercice, et on choisit l'option Windows Server 2022 Standard (expérience de bureau).
11/14/2021
14 / 47
L'expérience de bureau permet d'avoir l'interface graphique, il faut donc faire attentionn de bien le sélectionner. A partir de Windows Server 2016, il est impossible d'installer l'interface graphique après l'installation de l'OS, sans réinstaller le serveur entier.
Dans le cadre de cet exercice, il n'y a pas de différence entre la version Standard et la version Datacenter. La version Datacenter possède des fonctionnalités plus avancées que nous n'allons pas utiliser et a un coût de licence plus élevé.
On accepte maintenant le contrat de licence, avant de choisir l'option d'installation Personnalisée.
11/14/2021
16 / 47
La machine est nouvelle et son disque n'a encore jamais été utilisée, la ligne sélectionnée va donc prendre tout l'espace du disque pour l'installation. Si le disque a déjà été utilisé, il faut Supprimer toutes les partitions pour se retrouver comme dans la capture d'écran ci-dessous.
⚠ Si vous supprimez des partitions, les données se trouvant dessus sont perdues de façon irréversible.
L'installation commence alors et la machine termine par redémarrer pour la fin de la configuration.
11/14/2021
18 / 47
Après le redémarrage, on remplit un mot de passe pour le compte Administrateur local avant de pouvoir utiliser le serveur.
11/14/2021
20 / 47
Pour effectuer Ctrl+Alt+Supp dans la VM, vous pouvez utiliser le raccourci clavier Ctrl+Alt+Inser sous VMware Workstation, Ctrl droit+Supp dans VirtualBox.
Avant de continuer, il est recommandé d'installer VMware Tools / les Addition invité. Cela permet d'avoir une meilleure prise en charge de l'affichage, du clavier, et aussi de partager le presse-papier (Copier - Coller) ou des dossiers avec l'hôte.
Pour insérer l'ISO d'installation de ces outils, vous pouvez utiliser le menu VM > Install VMware Tools... dans VMware Workstation (ou Périphériques > Insérer les additions invités... dans VirtualBox). L'installation est effectuée avec les paramètres par défaut, et la machine est redémarrée à la fin de l'installation.
11/14/2021
22 / 47
L'OS peut maintenant être configuré, à commencer par le renommage du serveur et la configuration réseau.
1.3. Renommez le serveur dc01, et fixez l'adresse IP en la rendant statique (attention à rester sur le réseau du NAT pour avoir Internet). N'oubliez pas de redémarrer pour valider le
changement de nom
Le renommage et la configuration réseau peut se faire rapidement depuis le Gestionnaire de serveur, à partir de l'onglet Serveur local. Il suffit pour cela de cliquer sur la ligne Ethernet0 (au niveau de Adresse IPv4
attribuée par DHCP), puis sur le nom du serveur (généré aléatoirement pendant l'installation) dans un deuxième temps.
Il est aussi possible d'exécuter la commande ncpa.cpl pour ouvrir les Connexions réseau sur n'importe quelle version de Windows.
On note l'adresse IP actuelle pour la rendre statique, ce qui est nécessaire pour le contrôleur de domaine Active Directory. On peut passer soit par la partie Détails du panneau Connexions réseau (a), soit par la commande ipconfig /all.
On utilise ensuite ces informations pour définir l'IP statique sur le serveur. On peut en profiter pour désactiver l'IPv6 (3) que nous n'allons pas utiliser.
Cocher la case Valider les paramètres en quittant n'est pas très utile, cela ne fait que lancer l'opération Diagnostiquer cette connexion en fermant ses propriétés.
De retour sur le Gestionnaire de serveur, on peut maintenant cliquer sur son nom pour le renommer en dc01.
11/14/2021
24 / 47
Au moment de fermer les paramètres de l'ordinateur, une invite nous indique de redémarrer le serveur pour que le renommage prenne effet.
1.4. Prenez un snapshot de votre machine virtuelle pour revenir en arrière si nécessaire
Le snapshot est pris après le redémarrage, avant d'installer tout rôle ou toute fonctionnalité d'Active Directory, pour avoir un retour en arrière possible en cas d'erreur, sans avoir à reecommencer toute l'installation du serveur.
On nomme notre snapshot pour se rappeler à quel état de la machine il correspond. On peut aussi ajouter une description.
La prise du snapshot n'est pas instantanée lorsque la machine est allumée, on peut remarquer un avancement dans le coin inférieur gauche de la fenêtre de VMware Workstation (sous VirtualBox, le snapshot ne peut être pris que machine éteinte).
Une fois le snapshot terminé, on peut passer à l'installation des rôles et fonctionnalités Active Directory.
2. Installation des rôles et des fonctionnalités
11/14/2021
26 / 47
Vous pouvez choisir une installation par interface graphique ou par ligne de commande. Si vous souhaitez tester les deux méthodes, vous pouvez revenir en arrière grâce au snapshot pour recommencer l'installation.
2.1. Par interface graphique
L'assistant pour ajouter des rôles et fonctionnalités est lancé depuis le Gestionnaire de serveur, soit par la section Démarrage rapide (a), soit par le menu (b).
2.1.1. Procédez à une installation de rôles et fonctionnalités en sélectionnant Active Directory Domain Services et en validant la liste des fonctionnalités par défaut
On passe les premières pages de l'assistant pour arriver jusqu'aux Rôles de serveurs.
11/14/2021
28 / 47
On coche ensuite la case Services AD DS, en acceptant les fonctionnalités par défaut ajoutées avec ce rôle.
On peut ensuite suivre l'assistant jusqu'à l'installation sans rien ajouter de plus.
Les fonctionnalités nécessaires ont automatiquement été ajoutées lors de la sélection du rôle à l'étape précédente.
11/14/2021
30 / 47
L'installation démarre et dure quelques minutes.
Une fois l'installation terminée, on peut fermer l'Assistant Ajout de rôles et de fonctionnalités
11/14/2021
32 / 47
Dans l'énoncé, un redémarrage était indiqué à cette étape. Il n'est en fait utile qu'après la promotion du serveur en tant que contrôleur de domaine.
2.2. Par ligne de commande
2.2.1. Dans un PowerShell ouvert en tant qu'administrateur, exécutez la commande Install- WindowsFeature AD-Domain-Services
Windows PowerShell
Copyright (C) Microsoft Corporation. Tous droits réservés.
Installez la dernière version de PowerShell pour de nouvelles fonctionnalités et améliorations ! https://aka.ms/PSWindows
PS C:\Users\Administrateur> Install-WindowsFeature 'AD-Domain-Services' - IncludeManagementTools
Success Restart Needed Exit Code Feature Result --- --- --- ---
True No Success {Services AD DS, Gestion de stratégie de g...
PS C:\Users\Administrateur>
On peut ajouter l'option -IncludeManagementTools pour avoir les fonctionnalités utiles pour l'administration du domaine.
3. Promotion en tant que contrôleur de domaine
Si vous souhaitez effectuer la promotion en ligne de commande, voici l'équivalent à la procédure graphique qui suit : Install-ADDSForest -DomainName "<nom-de-famille>.epsi.com" -InstallDns (adaptez avec vos valeurs)
L'option -InstallDns installe automatiquement un serveur DNS sur le contrôleur de domaine. Comme nous n'avons pas de serveur DNS externe à utiliser dans cet exercice, il ne faut pas oublier cette option.
PS C:\Users\Administrateur> Install-ADDSForest -DomainName "floquet.epsi.com" - InstallDns
SafeModeAdministratorPassword: *************
Confirmer SafeModeAdministratorPassword: *************
Le serveur cible sera configuré en tant que contrôleur de domaine et redémarré à la fin de cette opération.
Voulez-vous continuer en procédant à cette opération ?
[O] Oui [T] Oui pour tout [N] Non [U] Non pour tout [S] Suspendre [?] Aide (la valeur par défaut est « O ») : O
AVERTISSEMENT : Les contrôleurs de domaine Windows Server 2022 offrent un
paramètre de sécurité par défaut nommé « Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 ». Ce paramètre empêche l’utilisation
d’algorithmes de chiffrement faibles lors de l’établissement de sessions sur canal sécurisé.
Pour plus d’informations sur ce paramètre, voir l’article 942564 de la Base de connaissances (http://go.microsoft.com/fwlink/?LinkId=104751).
AVERTISSEMENT : Les contrôleurs de domaine Windows Server 2022 offrent un
paramètre de sécurité par défaut nommé « Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 ». Ce paramètre empêche l’utilisation
d’algorithmes de chiffrement faibles lors de l’établissement de sessions sur canal sécurisé.
Pour plus d’informations sur ce paramètre, voir l’article 942564 de la Base de connaissances (http://go.microsoft.com/fwlink/?LinkId=104751).
AVERTISSEMENT : Il est impossible de créer une délégation pour ce serveur DNS car la zone parente faisant autorité est introuvable ou elle n’exécute pas le serveur DNS Windows. Si vous procédez à l’intégration avec une infrastructure DNS
existante, vous devez manuellement créer une délégation avec ce serveur DNS dans la zone parente pour activer une résolution de noms fiable en dehors du domaine « floquet.epsi.com ». Sinon, aucune action n’est requise.
Message Context RebootRequired Status --- --- --- --- L’opération s’est déroulée avec succès. DCPromo.General.3 False Success
11/14/2021
34 / 47 PS C:\Users\Administrateur>
Pour pouvoir revenir en arrière et faire l'installation en graphique, je reviens à l'état de mon snapshot.
3.1. Dans le gestionnaire de serveur, lancez l'opération Promouvoir ce serveur en contrôleur de domaine
A la fin de l'installation des rôles et fonctionnalités AD DS, il nous est directement proposé de Promouvoir ce serveur en contrôleur de domaine (a). Si le serveur a été redémarré, on peut retrouver le lien pour commencer la promotion dans le menu en haut à droite du Gestionnaire de serveur (b).
3.2. Chosisser l'option Ajouter une nouvelle forêt et indiquez votre nom de domaine sous la
forme <nom_de_famille>.epsi.com
3.3. Indiquez un mot de passe de réstauration de votre choix, il vous serait utile en cas de
problème
11/14/2021
36 / 47
Les options par défaut pour le niveau fonctionnel de la forêt et du domaine peuvent être laissés à Windows Server 2016 étant donné qu'il s'agit de notre unique contrôleur de domaine. Dans le cas où on aurait des serveurs plus anciens, il faudrait l'adapter.
On souhaite aussi conserver l'option DNS Server, qui nous permettra de tout avoir sur la même machine, et d'utiliser le serveur installé automatiquement pendant la promotion. Dans ce cas, on peut aussi ignorer l'option sur la délégation DNS qui suit.
3.4. Indiquez un nom NetBIOS de votr choix pour votre domaine, sans qu'il n'excède 15 caractères
On peut garder le nom NetBIOS généré automatiquement ou le modifier. La seule contrainte à respecter est la limite de 15 caractères uniquement alphanumériques.
11/14/2021
38 / 47
3.5 Laissez les emplacements des bases et des logs par défaut, puis lancez la promotion et
laissez le serveur redémarrer une fois celle-ci terminée
Un récapitulatif et quelques vérification sont faites avant de démattrt la promotion.
11/14/2021
40 / 47
Lapromotion démarre et le serveur redémarre automatiquement à la fin de celle-ci.
4. Découverte des outils de gestion disponibles
Une fois redémarré, le Gestionnaire de serveur affiche bien les deux rôles supplémentaires AD DS et DNS.
Voici les outils les plus utiles installés avec le domaine. Nous ne les utiliserons pas tous lors de ce TP, mais vous pouvez tout de même les ouvrir pour les découvrir.
4.1. Sites et services Actives Directory
11/14/2021
42 / 47
Cet outil sert à gérer les localisations des contrôleurs de domaine lorsqu'ils sont répartis sur plusieurs sites géographiques. Il est aussi possible de lier plusieurs contrôleurs de domaine à un même site pour y apporter une haute disponibilité. D'autres sites moins importants peuvent ne contenir qu'un RODC (Read-Only Domain Controller) dans lequel aucune modification n'est possible.
4.1.1 Renommez le site par défaut et remplacez le nom par LaDéfense
Le renommage se fait très simplement, comme si l'on renommait un fichier. Il ne doit cependant pas contenir d'espace ni de caractères spéciaux.
Le site par défaut porte toujours le nom Default-First-Site-Name avant d'être modifié.
4.1.2 Créez un nouveau site Paris
Le site est crée par un assistant que l'on lance par un clic droit sur la ligne Sites en haut de l'arborescence.
Le nom du site est inscrit et on choisit un lien, ici celui qui est présent apr défaut automatiquement.
Cliquez sur OK à l'information qui s'affiche sur les pré-requis à l'utilisation de ce nouveau site pour terminer sa configuration.
11/14/2021
44 / 47
Si vous ajoutiez un nouveau serveur au domaine à Paris, il serait lié à ce site lors de la promotion en tant que contrôleur de domaine.
4.2. Domaines et approbations Active Directory
Cet outil permet de gérer le niveau fonctionnel de la forêt ou du domaine, ainsi que les liens de confiance établis entre différentes forêts ou domaines externes. S'il reste du temps en fin de journée, et que le réseau de l'école le permet, vous pouvez essayer d'établir une relation d'approbation en binôme entre vos contrôleurs de domaine.
4.3. Modification ADSI
Cette console donne accès à la laiste complète des paramètres de l'Active Directory. La plupart d'entre eux permettent une utilisation avancée du domaine avec des modification du comportement telles que les durées entre réplications de contrôleurs de domaines. Nous n'allons pas utiliser ceci aujourd'hui. Il est à noter
qu'ADSI ne prend en compte aucune protection contre les suppressions ou modifications accidentelles, et peut donc présenter des risques en cas de mauvaise manipulation.
4.3. Centre d'administration Active Directory
11/14/2021
46 / 47
Ce tableau de bord permet d'accéder de façon simplifiée aux opération les plus courantes du quotidien de la gestion d'Active Directory, comme la réinitialisation de mots de passe, la gestion de comptes et d'ordinateurs, etc. Nous allons aujourd'hui utiliser l'outil dsa.msc pour un accès plus complet.
4.4. Utilisateurs et ordinateurs Active Directory
C'est grâce à cet outil que nous allons dans les prochains exercices organiser, créer, modifier, désactiver ou supprimer des comptes et des groupes nécessaires à l'utilisation du domaine.
4.5. Gestion des stratégies de groupe
Enfin, cette dernière console nous permet de gérer des paramètres qui s'appliquent à des ensembles d'ordinateurs et d'utilisateurs du domaine. Les paramètres présents par défaut concernent le système Windows et les applications intégrées par défaut, mais il est possible de les compléter en ajoutant des modèles de GPO fournis par les applications (Firefox ESR ou Google Chrome par exemple).