• Aucun résultat trouvé

TP 0 - Création d'un domaine Active Directory (correction)

N/A
N/A
Protected

Academic year: 2022

Partager "TP 0 - Création d'un domaine Active Directory (correction)"

Copied!
47
0
0

Texte intégral

(1)

TP 0 - Création d'un domaine Active Directory (correction)

0. Introduction

Cette correction du TP 0 donne une procédure d'installation d'un Active Directory sur Windows Server (2016, 2019 ou 2022). Les méthodes graphique et ligne de commande sont reprises dans ce document, qui sont les deux possibilités pour effectuer ce type d'installation. Dans le cadre de la VM, nous pouvons utiliser des snapshots, ou clichés instantanés, pour revenir à un état antérieur de la machine. Cela est utile en cas d'erreur ou pour effectuer des opérations de plusieurs manières sans avoir à réinstaller la machine complètement.

Comme dans l'énoncé du TP 0, nous allons créer un domaine sous la forme <nom_de_famille>.epsi.com, ce qui dans mon cas donnera floquet.epsi.com. Le montage des machines dans cette correction est fait sur VMware Workstation Pro 16, mais toutes les fonctionnalités utilisées peuvent être retrouvées dans VirtualBox.

La seule exception concerne VMware Player, qui ne peut pas effectuer de snapshots sur les machines virtuelles.

1. Installation de Windows Server 2022

J'utilise Windows Server 2022 pour cette correction, mais l'interface et la procédure est strictement identique sur Windows Server 2016 ou 2019. Elle reste similaire sur Windows Server 2012 R2, avec quelques petites différences d'interface.

1.1. Créez une machine virtuelle avec la configuration suivante, ou en fonction des performances de votre ordinateur

2 vCPUS 4 Go RAM

1 carte réseau en NAT 32GB de disque minimum

Les machines en NAT peuvent communiquer entre elles dans VMware Workstation Pro, ce qui n'est pas le cas dans VirtualBox. Le NAT pourra donc être remplacé par réseau NAT ou réseau interne sur

VirtualBox.

On se rend dans le menu File > New virtual machine... pour lancer l'assistant de création de machine virtuelle.

(2)

11/14/2021

2 / 47

On choisit le type Custom afin d'avoir un contrôle plus fin sur la création de la machine virtuelle.

Sauf cas particulier, la compatibilité de machine virtuelle choisie est la plus récente, afin de bénéficier de toutes les fonctionnalités possibles sur la machine virtuelle. Ce principe de compatibilité ne s'applique qu'à VMware.

(3)

Choisissons maintenant l'ISO d'installation pour Windows Server. Avec VMware Workstation, une option nommée Easy Install permet d'automatiser l'installation du système d'exploitation en vous demandant les informations nécessaires (Nom d'utilisateur, mot de passe, etc.) dès la création de la machine. Pour cette procédure, nous allons installer le système d'exploitation sans cette option. On ignore donc les informations à remplir sur la page Easy Install Inforamtion, d'autant plus que Windows Server 2022 n'est pas encore reconnu correctement par cette fonction.

(4)

11/14/2021

4 / 47

On nomme la machine virtuelle dc01 pour faire correspondre le nom au nom d'hôte que l'on donnera plus tard au serveur. On choisit également l'emplacement sur le disque où va être stockée la machine sur l'hôte.

Le type de firmware UEFI est choisi, plus récent que le type BIOS également proposé. L'option Secure Boot ajoute également de la sécurité à la machine en vérifiant que le code de démarrage du système d'exploitation n'est pas altéré ou corrompu. Il est possible de la cocher en plus (uniquement avec UEFI).

(5)

Le nombre de cœurs de processeurs est ensuite défini à 2 minimum (recommandé pour des performances correctes). Cela peut être choisi en prenant deux processeurs à 1 cœur, ou 1 processeur à 2 cœurs. La seule différence que cela apporterait serait la gestion des licences Microsoft à utiliser dans le cadre de l'entreprise.

Ici, pour cet exercice, nous n'utilisons pas de licence et ce choix n'a donc aucun impact.

(6)

11/14/2021

6 / 47

La RAM est définie sur 2 Go (2048 Mo) minimum pour que la machine puisse fonctionner correctement. Si votre machine le permet, vous pouvez indiquer 4 Go (4096 Mo) pour de meilleures performances.

On garde la carte réseau en mode NAT, qui permet aux machines virtuelles de communiquer entre elles, tout en n'étant pas visibles en dehors de la machine hôte. Sous VirtualBox, le mode NAT ne permet pas aux machines de communiquer entre elles. On lui préférera alors le mode réseau NAT qui correspond au NAT sur VMware Workstation. Il est aussi possible d'utiliser le mode réseau privé hôte, ou réseau interne dans

VirtualBox, mais les machines n'auront pas accès à Internet dans ce cas.

(7)

On garde le contrôleur d'entrée/sortie et le type de disque par défaut, qui conviennent très bien pour toutes les utilisations courantes de VM.

(8)

11/14/2021

8 / 47

On créé maintenant un nouveau disque virtuel, qui va stocker toutes les données de la machine virtuelle. On définit sa taille à 32 Go minimum pour pouvoir contenir sans problème l'installation de Windows Server et des autres rôles et fonctionnalités.

(9)

Il est possible de stocker le disque virtuel en un seul fichier, que je trouve plus pratique à gérer et qui offre de meilleures performances. Le plus important est de ne pas cocher la case Allocate disk space now, au risque de voir votre disque dur se remplir très rapidement : la totalité de la taille du disque virtuel serait réservée dès sa création, au lieu de grandir avec la machine.

(10)

11/14/2021

10 / 47

On garde ensuite le nom par défaut pour notre disque virtuel, on vérifie que tous les paramètres correspondent à nos attentes, et on valide la création de la machine.

Si on veut apporter davantage de modifications avant de démarrer la machine, on peut décocher la case qui démarre la machine directement à la fin de l'assistant.

(11)

Pour désactiver l'Easy Install, après la fin de l'assistant, et avant de démarrer la machine virtuelle, il faut retirer depuis les paramètres de la VM le Floppy qui est rajouté à la machine.

La VM est maintenant prête à être utilisée, à commencer par l'installation de l'OS.

1.2. Démarrez sur l'ISO de Windows serveur et effectuez une installation en utilisant tout le disque

L'OS n'étant pas installé, et l'ISO d'installation directement inséré lors de la création de la machine, il suffit de la démarrer et d'appuyer sur une touche lorsque c'est demandé pour que le processus d'installation se lance.

(12)

11/14/2021

12 / 47

Après quelques secondes de chargement, le premier écran apparaît et vous demande de choisir la langue pour votre installation. On garde les paramètres par défaut puis on choisit Installer maintenant.

(13)

On passe l'écran de clé de produit, que l'on ne va pas renseigner dans le cadre de l'exercice, et on choisit l'option Windows Server 2022 Standard (expérience de bureau).

(14)

11/14/2021

14 / 47

(15)

L'expérience de bureau permet d'avoir l'interface graphique, il faut donc faire attentionn de bien le sélectionner. A partir de Windows Server 2016, il est impossible d'installer l'interface graphique après l'installation de l'OS, sans réinstaller le serveur entier.

Dans le cadre de cet exercice, il n'y a pas de différence entre la version Standard et la version Datacenter. La version Datacenter possède des fonctionnalités plus avancées que nous n'allons pas utiliser et a un coût de licence plus élevé.

On accepte maintenant le contrat de licence, avant de choisir l'option d'installation Personnalisée.

(16)

11/14/2021

16 / 47

La machine est nouvelle et son disque n'a encore jamais été utilisée, la ligne sélectionnée va donc prendre tout l'espace du disque pour l'installation. Si le disque a déjà été utilisé, il faut Supprimer toutes les partitions pour se retrouver comme dans la capture d'écran ci-dessous.

(17)

⚠ Si vous supprimez des partitions, les données se trouvant dessus sont perdues de façon irréversible.

L'installation commence alors et la machine termine par redémarrer pour la fin de la configuration.

(18)

11/14/2021

18 / 47

(19)

Après le redémarrage, on remplit un mot de passe pour le compte Administrateur local avant de pouvoir utiliser le serveur.

(20)

11/14/2021

20 / 47

Pour effectuer Ctrl+Alt+Supp dans la VM, vous pouvez utiliser le raccourci clavier Ctrl+Alt+Inser sous VMware Workstation, Ctrl droit+Supp dans VirtualBox.

Avant de continuer, il est recommandé d'installer VMware Tools / les Addition invité. Cela permet d'avoir une meilleure prise en charge de l'affichage, du clavier, et aussi de partager le presse-papier (Copier - Coller) ou des dossiers avec l'hôte.

Pour insérer l'ISO d'installation de ces outils, vous pouvez utiliser le menu VM > Install VMware Tools... dans VMware Workstation (ou Périphériques > Insérer les additions invités... dans VirtualBox). L'installation est effectuée avec les paramètres par défaut, et la machine est redémarrée à la fin de l'installation.

(21)
(22)

11/14/2021

22 / 47

L'OS peut maintenant être configuré, à commencer par le renommage du serveur et la configuration réseau.

1.3. Renommez le serveur dc01, et fixez l'adresse IP en la rendant statique (attention à rester sur le réseau du NAT pour avoir Internet). N'oubliez pas de redémarrer pour valider le

changement de nom

Le renommage et la configuration réseau peut se faire rapidement depuis le Gestionnaire de serveur, à partir de l'onglet Serveur local. Il suffit pour cela de cliquer sur la ligne Ethernet0 (au niveau de Adresse IPv4

attribuée par DHCP), puis sur le nom du serveur (généré aléatoirement pendant l'installation) dans un deuxième temps.

Il est aussi possible d'exécuter la commande ncpa.cpl pour ouvrir les Connexions réseau sur n'importe quelle version de Windows.

On note l'adresse IP actuelle pour la rendre statique, ce qui est nécessaire pour le contrôleur de domaine Active Directory. On peut passer soit par la partie Détails du panneau Connexions réseau (a), soit par la commande ipconfig /all.

On utilise ensuite ces informations pour définir l'IP statique sur le serveur. On peut en profiter pour désactiver l'IPv6 (3) que nous n'allons pas utiliser.

(23)

Cocher la case Valider les paramètres en quittant n'est pas très utile, cela ne fait que lancer l'opération Diagnostiquer cette connexion en fermant ses propriétés.

De retour sur le Gestionnaire de serveur, on peut maintenant cliquer sur son nom pour le renommer en dc01.

(24)

11/14/2021

24 / 47

Au moment de fermer les paramètres de l'ordinateur, une invite nous indique de redémarrer le serveur pour que le renommage prenne effet.

1.4. Prenez un snapshot de votre machine virtuelle pour revenir en arrière si nécessaire

(25)

Le snapshot est pris après le redémarrage, avant d'installer tout rôle ou toute fonctionnalité d'Active Directory, pour avoir un retour en arrière possible en cas d'erreur, sans avoir à reecommencer toute l'installation du serveur.

On nomme notre snapshot pour se rappeler à quel état de la machine il correspond. On peut aussi ajouter une description.

La prise du snapshot n'est pas instantanée lorsque la machine est allumée, on peut remarquer un avancement dans le coin inférieur gauche de la fenêtre de VMware Workstation (sous VirtualBox, le snapshot ne peut être pris que machine éteinte).

Une fois le snapshot terminé, on peut passer à l'installation des rôles et fonctionnalités Active Directory.

2. Installation des rôles et des fonctionnalités

(26)

11/14/2021

26 / 47

Vous pouvez choisir une installation par interface graphique ou par ligne de commande. Si vous souhaitez tester les deux méthodes, vous pouvez revenir en arrière grâce au snapshot pour recommencer l'installation.

2.1. Par interface graphique

L'assistant pour ajouter des rôles et fonctionnalités est lancé depuis le Gestionnaire de serveur, soit par la section Démarrage rapide (a), soit par le menu (b).

2.1.1. Procédez à une installation de rôles et fonctionnalités en sélectionnant Active Directory Domain Services et en validant la liste des fonctionnalités par défaut

On passe les premières pages de l'assistant pour arriver jusqu'aux Rôles de serveurs.

(27)
(28)

11/14/2021

28 / 47

On coche ensuite la case Services AD DS, en acceptant les fonctionnalités par défaut ajoutées avec ce rôle.

On peut ensuite suivre l'assistant jusqu'à l'installation sans rien ajouter de plus.

(29)

Les fonctionnalités nécessaires ont automatiquement été ajoutées lors de la sélection du rôle à l'étape précédente.

(30)

11/14/2021

30 / 47

(31)

L'installation démarre et dure quelques minutes.

Une fois l'installation terminée, on peut fermer l'Assistant Ajout de rôles et de fonctionnalités

(32)

11/14/2021

32 / 47

Dans l'énoncé, un redémarrage était indiqué à cette étape. Il n'est en fait utile qu'après la promotion du serveur en tant que contrôleur de domaine.

2.2. Par ligne de commande

2.2.1. Dans un PowerShell ouvert en tant qu'administrateur, exécutez la commande Install- WindowsFeature AD-Domain-Services

Windows PowerShell

Copyright (C) Microsoft Corporation. Tous droits réservés.

Installez la dernière version de PowerShell pour de nouvelles fonctionnalités et améliorations ! https://aka.ms/PSWindows

PS C:\Users\Administrateur> Install-WindowsFeature 'AD-Domain-Services' - IncludeManagementTools

Success Restart Needed Exit Code Feature Result --- --- --- ---

True No Success {Services AD DS, Gestion de stratégie de g...

PS C:\Users\Administrateur>

(33)

On peut ajouter l'option -IncludeManagementTools pour avoir les fonctionnalités utiles pour l'administration du domaine.

3. Promotion en tant que contrôleur de domaine

Si vous souhaitez effectuer la promotion en ligne de commande, voici l'équivalent à la procédure graphique qui suit : Install-ADDSForest -DomainName "<nom-de-famille>.epsi.com" -InstallDns (adaptez avec vos valeurs)

L'option -InstallDns installe automatiquement un serveur DNS sur le contrôleur de domaine. Comme nous n'avons pas de serveur DNS externe à utiliser dans cet exercice, il ne faut pas oublier cette option.

PS C:\Users\Administrateur> Install-ADDSForest -DomainName "floquet.epsi.com" - InstallDns

SafeModeAdministratorPassword: *************

Confirmer SafeModeAdministratorPassword: *************

Le serveur cible sera configuré en tant que contrôleur de domaine et redémarré à la fin de cette opération.

Voulez-vous continuer en procédant à cette opération ?

[O] Oui [T] Oui pour tout [N] Non [U] Non pour tout [S] Suspendre [?] Aide (la valeur par défaut est « O ») : O

AVERTISSEMENT : Les contrôleurs de domaine Windows Server 2022 offrent un

paramètre de sécurité par défaut nommé « Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 ». Ce paramètre empêche l’utilisation

d’algorithmes de chiffrement faibles lors de l’établissement de sessions sur canal sécurisé.

Pour plus d’informations sur ce paramètre, voir l’article 942564 de la Base de connaissances (http://go.microsoft.com/fwlink/?LinkId=104751).

AVERTISSEMENT : Les contrôleurs de domaine Windows Server 2022 offrent un

paramètre de sécurité par défaut nommé « Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 ». Ce paramètre empêche l’utilisation

d’algorithmes de chiffrement faibles lors de l’établissement de sessions sur canal sécurisé.

Pour plus d’informations sur ce paramètre, voir l’article 942564 de la Base de connaissances (http://go.microsoft.com/fwlink/?LinkId=104751).

AVERTISSEMENT : Il est impossible de créer une délégation pour ce serveur DNS car la zone parente faisant autorité est introuvable ou elle n’exécute pas le serveur DNS Windows. Si vous procédez à l’intégration avec une infrastructure DNS

existante, vous devez manuellement créer une délégation avec ce serveur DNS dans la zone parente pour activer une résolution de noms fiable en dehors du domaine « floquet.epsi.com ». Sinon, aucune action n’est requise.

Message Context RebootRequired Status --- --- --- --- L’opération s’est déroulée avec succès. DCPromo.General.3 False Success

(34)

11/14/2021

34 / 47 PS C:\Users\Administrateur>

Pour pouvoir revenir en arrière et faire l'installation en graphique, je reviens à l'état de mon snapshot.

3.1. Dans le gestionnaire de serveur, lancez l'opération Promouvoir ce serveur en contrôleur de domaine

A la fin de l'installation des rôles et fonctionnalités AD DS, il nous est directement proposé de Promouvoir ce serveur en contrôleur de domaine (a). Si le serveur a été redémarré, on peut retrouver le lien pour commencer la promotion dans le menu en haut à droite du Gestionnaire de serveur (b).

3.2. Chosisser l'option Ajouter une nouvelle forêt et indiquez votre nom de domaine sous la

forme <nom_de_famille>.epsi.com

(35)

3.3. Indiquez un mot de passe de réstauration de votre choix, il vous serait utile en cas de

problème

(36)

11/14/2021

36 / 47

Les options par défaut pour le niveau fonctionnel de la forêt et du domaine peuvent être laissés à Windows Server 2016 étant donné qu'il s'agit de notre unique contrôleur de domaine. Dans le cas où on aurait des serveurs plus anciens, il faudrait l'adapter.

On souhaite aussi conserver l'option DNS Server, qui nous permettra de tout avoir sur la même machine, et d'utiliser le serveur installé automatiquement pendant la promotion. Dans ce cas, on peut aussi ignorer l'option sur la délégation DNS qui suit.

(37)

3.4. Indiquez un nom NetBIOS de votr choix pour votre domaine, sans qu'il n'excède 15 caractères

On peut garder le nom NetBIOS généré automatiquement ou le modifier. La seule contrainte à respecter est la limite de 15 caractères uniquement alphanumériques.

(38)

11/14/2021

38 / 47

3.5 Laissez les emplacements des bases et des logs par défaut, puis lancez la promotion et

laissez le serveur redémarrer une fois celle-ci terminée

(39)

Un récapitulatif et quelques vérification sont faites avant de démattrt la promotion.

(40)

11/14/2021

40 / 47

(41)

Lapromotion démarre et le serveur redémarre automatiquement à la fin de celle-ci.

4. Découverte des outils de gestion disponibles

Une fois redémarré, le Gestionnaire de serveur affiche bien les deux rôles supplémentaires AD DS et DNS.

Voici les outils les plus utiles installés avec le domaine. Nous ne les utiliserons pas tous lors de ce TP, mais vous pouvez tout de même les ouvrir pour les découvrir.

4.1. Sites et services Actives Directory

(42)

11/14/2021

42 / 47

Cet outil sert à gérer les localisations des contrôleurs de domaine lorsqu'ils sont répartis sur plusieurs sites géographiques. Il est aussi possible de lier plusieurs contrôleurs de domaine à un même site pour y apporter une haute disponibilité. D'autres sites moins importants peuvent ne contenir qu'un RODC (Read-Only Domain Controller) dans lequel aucune modification n'est possible.

4.1.1 Renommez le site par défaut et remplacez le nom par LaDéfense

Le renommage se fait très simplement, comme si l'on renommait un fichier. Il ne doit cependant pas contenir d'espace ni de caractères spéciaux.

Le site par défaut porte toujours le nom Default-First-Site-Name avant d'être modifié.

4.1.2 Créez un nouveau site Paris

Le site est crée par un assistant que l'on lance par un clic droit sur la ligne Sites en haut de l'arborescence.

(43)

Le nom du site est inscrit et on choisit un lien, ici celui qui est présent apr défaut automatiquement.

Cliquez sur OK à l'information qui s'affiche sur les pré-requis à l'utilisation de ce nouveau site pour terminer sa configuration.

(44)

11/14/2021

44 / 47

Si vous ajoutiez un nouveau serveur au domaine à Paris, il serait lié à ce site lors de la promotion en tant que contrôleur de domaine.

4.2. Domaines et approbations Active Directory

(45)

Cet outil permet de gérer le niveau fonctionnel de la forêt ou du domaine, ainsi que les liens de confiance établis entre différentes forêts ou domaines externes. S'il reste du temps en fin de journée, et que le réseau de l'école le permet, vous pouvez essayer d'établir une relation d'approbation en binôme entre vos contrôleurs de domaine.

4.3. Modification ADSI

Cette console donne accès à la laiste complète des paramètres de l'Active Directory. La plupart d'entre eux permettent une utilisation avancée du domaine avec des modification du comportement telles que les durées entre réplications de contrôleurs de domaines. Nous n'allons pas utiliser ceci aujourd'hui. Il est à noter

qu'ADSI ne prend en compte aucune protection contre les suppressions ou modifications accidentelles, et peut donc présenter des risques en cas de mauvaise manipulation.

4.3. Centre d'administration Active Directory

(46)

11/14/2021

46 / 47

Ce tableau de bord permet d'accéder de façon simplifiée aux opération les plus courantes du quotidien de la gestion d'Active Directory, comme la réinitialisation de mots de passe, la gestion de comptes et d'ordinateurs, etc. Nous allons aujourd'hui utiliser l'outil dsa.msc pour un accès plus complet.

4.4. Utilisateurs et ordinateurs Active Directory

C'est grâce à cet outil que nous allons dans les prochains exercices organiser, créer, modifier, désactiver ou supprimer des comptes et des groupes nécessaires à l'utilisation du domaine.

4.5. Gestion des stratégies de groupe

(47)

Enfin, cette dernière console nous permet de gérer des paramètres qui s'appliquent à des ensembles d'ordinateurs et d'utilisateurs du domaine. Les paramètres présents par défaut concernent le système Windows et les applications intégrées par défaut, mais il est possible de les compléter en ajoutant des modèles de GPO fournis par les applications (Firefox ESR ou Google Chrome par exemple).

Références

Documents relatifs

Avec Cubuntu vous avez le choix entre les Bureaux : Unity, Cinnamon, MATE (ou Gnome &lt; version avant 173) Le choix pour passer d'Unity à Cinnamon ou MATE/GNOME et vis versa se

BASSET Jean Marie Joseph Antoine, Condamné en 1906.. BASSET Joseph, Condamné

[r]

Ils sont disponibles uniquement en mode 16 millions de couleurs sans transparence et s'appliquent à.. la sélection de l'image

Les captures restent faibles, bien en dessous du seuil de risque de 30 captures hebdomadaires, mais le nombre de pièges avec au moins une capture a augmenté par rapport à la

design pour orienter l'élaboration et la mise en œuvre de stratégies vers des projets innovants au services des personnes, de la planète et des

Cette semaine, des symptômes de la maladie de la racine crochue sont observés sur tous les sites suivis avec des infestations allant de 10 à 35% de pieds

نأ كريغ دحلأ ًنمً لا ثيحب سجىيبمنلا شاهح ىلغ تيصىصخلا ًم عىه ءافطلإ تيصاخلا هره حاجأ اخفم فسػح لصالأ يف ىه يرلا لاثم )خسو( زاصخخا ح. Ctrl+c تقٍسؼلا هره