Cours installation d’Active Directory sous Windows Server 2008, tutoriel & guide de travaux pratiques en pdf.
Choisir correctement le nom de votre Active Directory
Pourquoi une partie dédiée au nommage de votre Active Directory ? « Mais c’est pourtant simple, je prends n’importe quel nom DNS et ça va marcher ! ». C’est vrai qu’en prenant n’importe quel nom DNS non utilisé sur votre réseau, ça va marcher… jusqu’à une certaine limite. La limite n’est pas bien loin : dès que vous voudrez donner accès depuis Internet à un service de votre entreprise, ça risque de poser problème. Cela posera également problème aux postes Linux (uniquement ceux qui fonctionnent avec mDNS) et Apple.
Le service Bonjour peut être installé sur Windows par iTunes ou encore Acrobat Reader. Cependant, le service n’est pas utilisé comme client DNS principal : c’est celui de Windows qui est toujours utilisé. Sur Mac, le service Bonjour est utilisé comme client DNS principal d’où le problème.
Alors quelles sont les règles à respecter pour bien nommer votre domaine ?
Pour commencer, vous ne devez pas utiliser un TLD nommé .local. Ce TLD pose problème aux postes Apple à cause du service Bonjour et aux postes Linux fonctionnant avec Zeroconf ou mDNS. Ce service réserve le TLD .local à la machine locale : tous les noms de domaine finissant par .local sont équivalent à localhost donc aucune requête à destination d’un domaine en .local ne sortira de la machine. Ainsi, un poste Apple ne pourra jamais contacter votre Active Directory.
Le nom de domaine choisi ne doit pas exister sur Internet : en effet, vos postes internes pourraient aller consulter les DNS d’Internet pour accéder à votre Active Directory. Ce n’est pas souhaitable. Vous pouvez acheter le nom de domaine pour être certain qu’il vous appartienne. Cependant, je vous déconseille d’utiliser un nom public mais il existe deux « écoles ».
La première consiste à utiliser un nom de domaine public (mais que vous possédez !). Vous n’avez qu’une zone à gérer dans votre Active Directory pour l’accès interne de votre entreprise et une zone publique pour les services que vous pouvez proposer sur Internet comme un site web (commercial, webmail, etc.) ou d’autres services comme la messagerie électronique (SMTP principalement). Cette méthode est simple. Cependant, selon la dimension de votre réseau, votre zone interne sera plus ou moins remplie.
Si vous avez cinq postes et deux serveurs, la zone sera simple à gérer. Vous saurez quel enregistrement est publié pour vos collaborateurs : par exemple, vous saurez que l’enregistrement webmail pointe sur votre serveur de messagerie. Vous avez également créé cet enregistrement dans votre DNS externe pour que l’on puisse accéder au webmail depuis n’importe où. Bref, c’est assez simple de s’y retrouver. La situation est différente quand vous avez plus de postes. La zone devient difficile à gérer et vous ne retrouverez pas simplement les serveurs publiés. Personnellement, je n’aime pas cette méthode de nom public pour Active Directory. Je préfère la méthode suivante qui peut paraitre plus compliquée mais qui permet de bien différencier ce que l’on fait.
Cette deuxième méthode se nomme le split-dns (principe expliqué ici). Dans ce cas, on ne va pas utiliser un nom de domaine public mais un nom de domaine privé. Pour qu’il soit privé, il ne faut pas que le TLD choisi fasse partie de cette liste. Je déconseille d’utiliser des TLD courts (sur deux lettres) puisqu’ils risquent d’être ouverts un jour. Personnellement, j’utilise des TLD du genre « .adds » : cela n’est pas un mot, c’est assez long et relativement « insignifiant » pour qu’il soit ouvert au public un jour. Le nom de domaine doit être le plus passe-partout possible : aucune entreprise n’est à l’abri d’un rachat, d’une alliance avec une autre entreprise qui mènerait à un changement de nom ou simplement d’un changement de nom pour des raisons marketing. Vous pouvez tout à fait prendre le nom de votre entreprise comme nom de domaine mais en cas de changement de nom de l’entreprise, on pourra vous demander de supprimer toute référence à l’ancien nom (ça fait partie des aspects « corporate »). C’est une opération qui n’est pas faisable en trois minutes ou en deux clics. Cela se planifie et ça prend plusieurs mois. Renseignez-vous auprès des directions pour savoir si vous êtes susceptibles de changer de nom, si oui prévenez-les que ça prendra plusieurs mois s’il faut changer le nom de l’AD et essayez de savoir si un nom générique leur convient. Par nom générique, j’entends un nom qui ne pourra pas changer comme la ville où est implantée l’entreprise, la région, etc. C’est la situation idéale. Cependant, dans le cadre d’un rachat ou d’une fusion, les politiques dans les DSI peuvent différer et donc changer votre politique de nommage. Dans ce tutoriel, j’ai choisi le domaine racine de forêt todorovic.adds.
Je reviens rapidement sur le split-dns. J’ai installé mon domaine Active Directory todorovic.adds et je possède le domaine todorovic.fr. Je veux mettre à disposition des services sur Internet. Je vais prendre l’exemple d’un webmail installé dans mes locaux sur un serveur nommé exchange. Ce serveur est disponible sur Internet grâce à une publication dans un reverse-proxy ou simplement un PAT (dangereux). Dans mon dns externe (disponible sur Internet), j’ai créé un enregistrement webmail. Je peux donc accéder à mon webmail via webmail.todorovic.fr. En interne, je souhaite accéder au webmail. Je peux donc y aller avec exchange.todorovic.adds ou si un alias a été créé avec webmail.todorovic.adds. J’arriverai directement sur le serveur de messagerie interne sans passer par Internet. C’est un comportement normal : il n’y a aucune raison d’aller sur Internet pour revenir en interne. Cela ajoute une charge sur le routeur/firewall de votre entreprise alors que c’est tout à fait inutile. Cependant, pour l’utilisateur, ça n’est pas très pratique : il faut retenir deux adresses et utiliser la bonne selon qu’il est à l’intérieur ou à l’extérieur de l’entreprise. On a donc créé une deuxième zone sur le dns interne nommée todorovic.fr. Dans cette zone, on a créé un enregistrement webmail pointant vers le serveur de messagerie interne. Ainsi, les utilisateurs, où qu’ils soient, accéderont au webmail via webmail.todorovic.fr. Ce besoin de split-dns est encore plus fort lorsque vous êtes en situation de mobilité avec Outlook Anywhere ou Office Communicator.
Maintenant que vous avez les éléments pour bien sélectionner votre nom de domaine, passons à l’installation d’Active Directory.
Installation d’Active Directory
Je vais exposer l’installation d’une configuration Active Directory idéale (elle n’est pas pour autant irréaliste), c’est à dire un Active Directory mono-forêt et mono-domaine.
Vous aurez besoin d’une configuration IP fixe. Votre serveur devra porter un nom correct : le nom de serveur par défaut créé lors de l’installation de Windows n’est pas satisfaisant. Attention au nom de votre contrôleur de domaine (Domain Controller ou appelé fréquemment DC). Il ne doit pas être nommé « dc » : cela semble poser des problèmes dans ADCS et certainement dans d’autres produits.
Installation du rôle
Sous Windows 2000 et 2003, il n’y avait pas d’installation des binaires d’Active Directory : ils étaient installés par défaut. Un serveur peut être utilisé pour autre chose qu’Active Directory donc Microsoft a décidé de ne plus installer ces binaires par défaut depuis Windows 2008.
Allez dans le gestionnaire de serveur puis faites un clic droit sur Rôles, Ajouter des rôles.
I – Introduction
II – Les bases
II-A – Les composants
II-B – Sites et domaines
II-C – Arborescences et forêts
II-D – Niveau fonctionnel de forêt et de domaine : différentes fonctionnalités
II-E – Utilisateurs et ordinateurs
II-F – Groupes
II-G – RODC
II-H – DNS
III – Choisir correctement le nom de votre Active Directory
IV – Installation d’Active Directory
IV-A – Installation du rôle
IV-B – Assistant Installation des services de domaine Active Directory (dcpromo.exe)
V – Configuration sommaire
V-A – Configuration du site
V-B – Suffixe UPN
V-C – Configuration DNS
V-C-1 – Zone de recherche inversée
V-C-2 – Zone de recherche directe publique à usage privé
V-C-3 – Redirecteurs
V-D – Réglage de l’heure via NTP
VI – Conclusion
Télécharger le cours complet
