Un contrôleur de domaine Active Directory (AD) est un serveur Windows qui héberge une base de données contenant des informations sur les comptes d'utilisateurs, les groupes, les ordinateurs, les imprimantes et d'autres ressources réseau dans le domaine Active Directory.
Dans ce tutoriel, je vous propose de voir ensemble l'installation et la configuration d'un contrôleur de domaine sous Windows Server 2022.
Sommaire
- Introduction
- Prérequis
- Installation de l'Active Directory Domain Services
- Configuration réseau du serveur
- Configurer le nom de la machine
- Installer le rôle serveur "ADDS" (Active Directory Domain Services)
- Configuration du contrôleur de domaine
- Finalisation de l'installation
- Règles de bonne pratiques
- Conclusion
Le contrôleur de domaine AD est responsable de l'authentification et de l'autorisation des utilisateurs et des ordinateurs au sein du domaine. Il fournit également la réplication des informations entre différents contrôleurs de domaine dans le domaine pour garantir la disponibilité des données et la tolérance aux pannes.
Ils sont essentiels à la gestion des environnements Active Directory et permettent aux administrateurs de gérer de manière centralisée les comptes et les ressources réseau en un seul endroit, simplifiant les tâches administratives et améliorant la sécurité.
Avant de commencer l'installation et la configuration d'un contrôleur de domaine sous Windows Server 2022, assurez-vous d'avoir :
- Un serveur Windows Server 2022 avec des spécifications matérielles appropriées et ses dernières mises à jour.
- Les informations d'identification d'un compte d'administrateur avec des autorisations suffisantes pour effectuer les tâches nécessaires.
- Une adresse IP statique configuré sur le serveur.
- Un nom de domaine réservé et enregistré (généralement un domaine local tel que
corporate.local). Évitez le domaine de votre entreprise : cela peux prêter à confusion. Ce domaine doit être résolu par l'AD. - La configuration réseau du serveur avec une adresse IP fixe et un DNS configuré pour pointer vers lui-même.
Active Directory est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows.L'installation du rôle Active Directory Domain Services (ADDS) est la première étape pour installer un contrôleur de domaine.
Configuration réseau du serveur
Précédemment, nous avons évoqué la nécessitée de configurer le réseau IP & les DNS. Nous allons aller dans les Paramètres Windows > Réseau et Internet > Ethernet. Sélectionnez la carte réseau (NIC) du serveur.
Dans la section "Paramètres IP (IPv4)". Cliquez sur le bouton "Modifier" :
Attribuez une adresse IP, un masque de sous réseau et une passerelle par défaut, issu de votre plan d'adressage IP (1) :
Configurez ensuite les services de noms de domaine (DNS). Pour un contrôleur, il est nécessaire de mettre son adresse de loopback afin de se joindre lui-même et de se fier à sa propre résolution (puisque ce serveur sera délégué en tant que serveur de noms de domaine (DNS Server) (2) :
Pour une alternative plus anciens mais fonctionnelle (et pour les plus vieux 
), saisissez la commande control.exe netconnections afin d'afficher toutes vos cartes réseaux.
Effectuez les modifications réseaux nécessaires :
Pour résumer, les informations à renseigner sont :
- Adresse IP de la machine
- Masque de sous réseau
- Passerelle par défaut (accès à d'autres réseaux)
- Serveurs DNS :
- Adresse de loopback : 127.0.0.1
- DNS public (Cloudflare, Quad9...)
Configurer le nom de la machine
Avant l'installation, vous devez renommer votre serveur de telle sorte à identifier clairement son rôle explicite (exemple : SRV-AD-001).
Allez dans les Paramètres Windows > Système > À propos de > Renommer le PC. Définissez ensuite un nom pour ce serveur Active Directory.
Une fois cela, redémarrez ensuite le poste
Installer le rôle serveur "ADDS" (Active Directory Domain Services)
Connectez-vous au serveur Windows Server 2022 en tant qu'administrateur. Ouvrez ensuite le Gestionnaire de serveur à partir du menu Démarrer ou dans la barre des tâche Windows.
Cliquez sur "Ajouter des rôles et fonctionnalités" dans le menu "Gérer" de la barre de navigation.
L'assistant démarre. Cliquez sur "Suivant". Un rappel est effectué concernant l'entropie du mot de passe du compte "Administrateur", les paramètres réseaux et les dernières mises à jour de Windows.
Assurez-vous de sélectionner une installation basée sur un rôle ou une fonctionnalité :
Assurez-vous de sélectionner le serveur où le rôle "AD DS" sera installé. Cliquez ensuite sur "Suivant":
Cliquez sur Suivant jusqu'à atteindre la page "Sélection des rôles". Sélectionnez le rôle "Services AD DS" (Active Directory Domain Services) dans la liste des rôles disponibles :
Ajoutez également les fonctionnalités associées au rôle "AD DS" (modules d'administrations & outils PowerShell) lorsque la boîte de dialogue s'affiche :
Poursuivez l'assistant d'installation en cliquant sur suivant. Ignorez l'ajout de fonctionnalités, ce qui n'est pas nécessaire dans notre cas.
Un affichage vient résumer l'installation qui va être effectuée sur le Windows Server. Lancez l'installation des rôles et fonctionnalités sélectionnés.
Configuration du contrôleur de domaine
Une fois l'installation du rôle ADDS (Active Directory Domain Services) effectuée, nous pouvons commencer à configurer le contrôleur de domaine.
Dans le Gestionnaire de serveur, une configuration supplémentaire est requise pour le rôle "AD DS" cliquez sur "Promouvoir de serveur en contrôleur de domaine".
Un assistant s'ouvre. Sélectionnez "Ajouter une nouvelle forêt" afin de créer un nouveau domaine Active Directory lors des options de déploiement du contrôleur de domaine. Spécifier ensuite un domaine local pour la création du nouveau domaine.
Au niveau du choix du nom de domaine, quelques points à prendre en compte :
- Le nom racine doit être composé d'un TLS (domaine de premier niveau) qui sont public (ex : .com, .fr) ou non donc avec des extensions de portée locale (ex : .lan, .corp, .work, .local...) et d'un nom, qui peut être le nom de votre entreprise par exemple ou d'un groupe de travail dédié.
- Tenez également compte du fait que ce nom sera utilisé pour les noms d'utilisateurs utilisateurs de la forme [emailprotected] (ex : [emailprotected]).
- Il n'est pas nécessaire d'acheter un domaine auprès de l'ICANN (Internet Corporation for Assigned Names and Numbers).
- Pour des raisons de pratiques, nous évitons les domaines publics que nous utilisons, tels que les sites Internet d'entreprise.
Sélectionnez le niveau fonctionnement de la forêt et du domaine de ce nouvel Active Directory (AD) recommandé. Assurez-vous d'installer le service DNS car l'écosystème Active Directory fonctionne essentiellement avec un serveur DNS. Assurez-vous, enfin de saisir un mot de passe de restauration des service d'annuaire (DSRM). Ce dernier doit être robuste et être gardé précieusem*nt (dans un Keepass par exemple, pas un vulgaire PostIT ).
L'écran suivant nous montre un avertissem*nt concernant une erreur lors de la création d'une délégation DNS. Étant donné qu'il s'agit d'un tout nouveau domaine local et que nous sommes censés n'avoir aucun serveur DNS et domaine local, c'est tout à fait normal car, en effet, il essaye de résoudre le domaine DNS local. Si il s'agissait d'un domaine public sur Internet, l'erreur ne serait pas présente. N'y prêtez donc pas attention
L'écran du nom "NetBIOS" sert uniquement à des fins de comptabilité pour les vieux systèmes Windows :
À l'origine, le service NetBIOS est un service de mise en réseau de la couche session qui effectue le mappage nom-adresse IP pour la résolution des noms.
Ensuite, spécifiez l'emplacement des fichiers de base de données, des fichiers journaux NTDS et des fichiers SYSVOL. Généralement, nous gardons les emplacements par défaut :
Un récapitulatif est affiché afin de vérifier les paramètres choisis précédemment lors de l'assistant :
En cliquant sur Suivant, l'assistant vérifie la configuration préalable pour le fonctionnement du contrôleur de domaine Active Directory. Nous voyons ci-dessous que les conditions sont respectées :
Cliquez enfin sur "Installer".
Un redémarrage automatique du serveur sera effectué. Attendez que l'installation soit terminée. Cela peut prendre quelques minutes.
Une fois la configuration du contrôleur de domaine terminée, quelques étapes sont nécessaires afin de finaliser l'installation.
Connectez-vous au serveur en tant qu'administrateur de domaine (DOMAIN\Administrateur), redirigé sur le compte du domaine par défaut. Les informations d'identifications sont identiques au compte Administrateur local du serveur Windows :
Ouvrez, une fois connecté, le Gestionnaire de serveur et vérifiez que le rôle de contrôleur de domaine a été installé avec succès. On constate que les services Active Directory (AD DS) et que le serveur DNS sont bien installés :
Nous distinguons que nous sommes connecté au domaine local (ici : vemotech.corp) :
Afin de démarrer au mieux dans l'installation de domaine, je vous invite vivement à suivre le tutoriel lié à la "Sécurisation d'un contrôleur de domaine nouvellement installé". 
Et voilà ! Vous avez maintenant installé et configuré avec succès un contrôleur de domaine sous Windows Server. Cette procédure reste la même pour un contrôleur de domaine allant de Windows Server 2012 à 2019.
Il est important de noter que la configuration d'un contrôleur de domaine est une tâche complexe et qu'il est essentiel de suivre les étapes avec soin pour éviter tout problème. Si vous rencontrez des problèmes ou des erreurs pendant l'installation, n'hésitez-pas à consultez les journaux d'événements et les documents d'assistance Microsoft afin de tenter de résoudre le problème.
