WINDOWS 2012 : Configuration Active directory

1. Installation et configuration d’Active Directory

But : l’objet de cet atelier est d’installer le rôle AD DS sur AD1. Par la suite, la configuration consiste à créer une forêt nommée Formation.local.

Démarrez la machine AD1 puis ouvrez une session en tant qu’Administrateur.

Vérifiez que le serveur a bien été renommé en AD1 et possède la configuration IP adéquate.

La console Gestionnaire de serveur se lance, cliquez sur Ajouter des rôles et des fonctionnalités.

Dans la page Avant de commencer, cliquez sur Suivant.

Laissez le choix par défaut dans la fenêtre Sélectionner le type d’installation et cliquez sur Suivant.

images/03CE01N.png

Dans la fenêtre du choix du serveur de destination, cliquez sur Suivant.

Dans la fenêtre Sélectionner des rôles de serveurs, sélectionnez le rôle Services AD DS.

images/03CE02N.png

Cliquez sur Ajouter des fonctionnalités dans la fenêtre qui s’affiche.

Cliquez sur Suivant dans la fenêtre Sélectionner des fonctionnalités.

Cliquez deux fois sur Suivant puis sur Installer.

L’installation est en cours, cliquez sur Fermer.

Dans la console Gestionnaire de serveur, cliquez sur le triangle jaune et sélectionnez l’option Promouvoir ce serveur en contrôleur de domaine.

images/03CE03N.png

L’assistant se lance…

Dans la fenêtre Configuration de déploiement, cliquez sur Ajouter une nouvelle forêt puis saisissez Formation.local dans le champ Nom de domaine racine.

images/03CE04N.png

Validez votre choix en cliquant sur Suivant.

Dans le champ Taper le mot de passe du mode de restauration des services d’annuaire (DSRM), saisissez Pa$$w0rd puis confirmez ce mot de passe.

images/03CE05N.png

Cliquez sur Suivant.

Validez toutes les fenêtres en cliquant sur Suivant puis sur Installer pour lancer la promotion.

Le serveur est maintenant promu.

2. Mise en place d’un RODC

But : après avoir créé le site AD, un contrôleur de domaine en lecture seule est installé. Par la suite, les mots de passe des utilisateurs de ce site sont envoyés en cache.

Sur AD1, ouvrez la console Sites et services Active Directory.

Développez le nœud Sites puis effectuez un clic droit sur Default-First-Site-Name.

Cliquez sur Renommer puis saisissez Marseille.

images/03CE06N.png

Effectuez un clic droit sur Sites puis, dans le menu contextuel, sélectionnez Nouveau et Site.

Un nouveau menu s’affiche…

Saisissez Paris dans le champ Nom puis cliquez sur DEFAULTIPSITELINK.

images/03CE07N.png

Validez la saisie en cliquant sur OK.

Dans le message d’information qui apparaît alors, cliquez sur OK.

Le nouveau site apparaît dans la console.

images/03CE08N.png

Lancez la console Utilisateurs et ordinateurs Active Directory.

Effectuez un clic droit sur le nœud Formation.local puis, dans le menu contextuel, cliquez sur Nouveau – Unité d’organisation.

Saisissez Paris dans le champ Nom.

images/03CE09N.png

Cliquez sur OK pour procéder à la création.

Effectuez un clic droit sur le nœud Formation.local puis, dans le menu contextuel, cliquez sur Nouveau – Unité d’organisation.

Saisissez Marseille dans le champ Nom.

Cliquez sur OK pour procéder à la création.

Cliquez sur l’OU Paris puis sur le bouton permettant la création d’un nouvel utilisateur dans la barre d’outils.

images/03CE14.png

Saisissez Marc dans le champ Prénom puis VENDARG dans le champ Nom.

Dans les champs Nom d’ouverture de session de l’utilisateur et Nom d’ouverture de session de l’utilisateur (antérieur à Windows 2000), saisissez mvendarg.

images/03CE10N.png

Cliquez sur Suivant puis saisissez Pa$$w0rd dans le champ Mot de passe.

Confirmez-le puis décochez L’utilisateur doit changer le mot de passe à la prochaine ouverture de session.

Validez le tout en cliquant sur Suivant puis sur Terminer.

Recommencez les mêmes opérations pour les utilisateurs ci-dessous :

  • Harry MANDELIEU (nom d’utilisateur : hmandelieu, mot de passe : Pa$$w0rd).

  • Stéphanie THED (nom d’utilisateur : sthed, mot de passe : Pa$$w0rd).

  • Jean RAFFET (nom d’utilisateur : jraffet, mot de passe : Pa$$w0rd).

Dans l’unité d’organisation Paris, cliquez sur l’icône permettant la création d’un groupe (bouton à droite de celui permettant la création d’utilisateur dans la barre d’outils).

Saisissez les informations comme dans la capture suivante :

images/03CE11N.png

Cliquez sur OK pour procéder à la création.

Double cliquez sur le groupe Stagiaires puis sélectionnez l’onglet Membres.

Cliquez sur Ajouter et saisissez les noms d’ouverture de session des utilisateurs précédemment créés séparés par un point-virgule.

images/03CE12N.png

Cliquez sur le bouton Vérifier les noms puis sur OK.

Les utilisateurs sont bien présents dans le groupe.

images/03CE13N.png

Effectuez un clic droit sur l’unité d’organisation Domains Controllers puis sélectionnez dans le menu contextuel Créer au préalable un compte de contrôleur de domaine en lecture seule.

Cochez l’option Utiliser l’installation en mode avancé puis cliquez sur Suivant.

images/03CE14N.png

Dans la fenêtre Informations d’identification réseau, laissez le choix par défaut puis cliquez sur Suivant.

Saisissez AD2 dans le champ Nom de l’ordinateur et validez à l’aide du bouton Suivant.

images/03CE15N.png

Sélectionnez le site AD Paris puis cliquez sur Suivant.

images/03CE16N.png

Dans la fenêtre Options supplémentaires pour le contrôleur de domaine, laissez le choix par défaut.

Le serveur fait office de RODC, serveur DNS en lecture seule et catalogue global.

La fenêtre Spécifier la stratégie de réplication de mot de passe permet d’indiquer la politique de mise en cache des mots de passe. Par défaut, le mot de passe des comptes possédant des droits d’administration (opérateur, administrateur…) n’est pas mis en cache.

images/03CE17N.png

Cliquez sur Suivant.

Dans la fenêtre Délégation de l’installation et de l’administration du RODC, cliquez sur Définir.

Saisissez mvendarg puis cliquez sur Vérifier les noms.

Enfin, cliquez sur OK puis sur Suivant.

Lancez l’installation et cliquez sur Terminer afin de fermer l’assistant.

Le compte est préalablement créé.

images/03CE18N.png

Sur AD2, ouvrez une session puis cliquez sur Ajouter des rôles et des fonctionnalités dans la console Gestionnaire de Serveur.

L’assistant se lance, cliquez trois fois sur Suivant.

Cochez le rôle Services AD DS puis cliquez sur le bouton Ajouter des fonctionnalités dans la fenêtre qui s’affiche.

images/03CE19N.png

Dans la fenêtre de sélection des fonctionnalités, cliquez sur Suivant.

Cliquez sur Suivant puis sur Installer.

À la fin de l’installation, cliquez sur Fermer.

Dans la console Gestionnaire de serveur, cliquez sur le drapeau de notification puis sélectionnez Promouvoir ce serveur en contrôleur de domaine.

images/03CE20N.png

L’assistant se lance, cliquez sur le bouton Sélectionner.

Authentifiez-vous en tant que formation\mvendarg (mot de passe Pa$$w0rd) puis cliquez sur OK.

images/03CE21N.png

Au bout de quelques secondes, le domaine Formation.local s’affiche dans la fenêtre. Sélectionnez le domaine puis cliquez sur OK.

images/03CE22N.png

Le nom de domaine s’affiche dans le champ, cliquez sur Suivant.

images/03CE23N.png

Saisissez Pa$$w0rd dans le champ Taper le mot de passe du mode de restauration des services d’annuaire (DSRM).

images/03CE24N.png

Cliquez sur Suivant au niveau des fenêtres Options supplémentairesChemins d’accès et Examiner les options en laissant les paramètres par défaut.

Procédez à la promotion à l’aide du bouton Installer.

Après le redémarrage d’AD2, ouvrez une session en tant que formation\mvendarg (mot de passe Pa$$w0rd).

Le contrôleur de domaine est bien en lecture seule. Il est impossible de créer un utilisateur, un groupe… Les options sont maintenant grisées.

Par défaut, la console se connecte au contrôleur de domaine en lecture/écriture. Pour que la console se connecte au RODC, effectuez un clic droit sur le domaine puis sélectionnez l’option Changer de contrôleur de domaine.

images/R03CE01.png

Le serveur DNS est lui aussi en lecture seule.

images/03CE26N.png

Sur AD1, lancez la console Sites et services Active Directory.

Développez les nœuds SitesParis puis Servers. Vérifiez la présence du serveur AD2.

images/03CE27N.png

Lancez la console Utilisateurs et ordinateurs Active Directory sur AD1.

Développez les nœuds Formation.local puis cliquez sur le conteneur Users.

Double cliquez sur Groupe de réplication dont le mot de passe est autorisé puis sélectionnez l’onglet Membres.

Cliquez sur Ajouter, saisissez jraffet;hmandelieu;sthed;mvendarg puis cliquez sur Vérifier les noms.

Validez à l’aide du bouton OK.

Sélectionnez l’unité d’organisation Domain Controllers.

Double cliquez sur AD2 puis sélectionnez l’onglet Stratégie de réplication de mot de passe.

images/03CE28N.png

Cliquez sur le bouton Avancé puis sur Stratégie résultante.

Cliquez sur le bouton Ajouter, saisissez jraffet;hmandelieu;sthed;mvendarg puis cliquez sur le bouton Vérifier les noms.

Cliquez sur OK, le résultat Autoriser s’affiche.

images/03CE29N.png

Le mot de passe des comptes utilisateurs sera mis en cache lors de la prochaine réplication ou connexion de l’utilisateur.

Dans certains cas, il peut être utile de “forcer” la mise en cache sans avoir à attendre la réplication ou la connexion de l’utilisateur.

Sélectionnez l’onglet Utilisation de la stratégie puis cliquez sur Préremplir les mots de passe.

images/03CE30N.png

Saisissez jraffet;hmandelieu;sthed;mvendarg puis cliquez sur Vérifier les noms.

Cliquez sur OK puis sur Oui dans la fenêtre qui s’affiche.

images/03CE31N.png

Les comptes sont maintenant mis en cache.

images/03CE32N.png

Dans l’onglet Utilisation de la stratégie, les comptes sont maintenant présents.

images/03CE33N.png

Le contrôleur de domaine en lecture seule peut désormais authentifier ces comptes même si une coupure de la liaison avec le contrôleur de domaine en lecture/écriture a lieu.

3. Clonage d’un contrôleur de domaine virtuel

But : cloner AD1 afin de créer un nouveau contrôleur de domaine virtualisé.

Sur AD1, dans l’interface Windows, effectuez un clic droit sur Windows PowerShell puis cliquez sur Exécuter comme administrateur.

Afin de connaître le serveur qui a le rôle FSMO Émulateur PDC, saisissez la commande :

Get-ADComputer (Get-ADDomainController -Discover -Service 
"PrimaryDC").name -Property operatingsystemversion | fl

Le script peut être téléchargé depuis la page Informations générales.

images/03CE34N.png

AD1 exécute Windows Server 2012 R2, le pré-requis est donc respecté (le serveur Émulateur PDC est présent sur un serveur exécutant Windows Server 2012 R2).

Lancez la console Utilisateurs et ordinateurs Active Directory puis sélectionnez le conteneur Users.

Renommez le groupe Contrôleurs de domaine clonables en Cloneable Domain Controllers puis ajoutez AD1 comme membre.

Sans renommer le groupe ou créer un nouveau groupe portant ce nom, l’opération de clonage échoue car le groupe n’est pas trouvé (même s’il existe mais avec le nom en français).

images/03CE38N.png

Validez à l’aide du bouton OK.

Saisissez la commande PowerShell suivante afin de vous assurer qu’aucune application exclue n’est présente sur le serveur :

Get-ADDCCloningExcludedApplicationList

Le script peut être téléchargé depuis la page Informations générales.

images/03CE35N.png

La commande retourne les applications, services ou rôles n’étant pas compatibles avec la fonction de clonage. Ici WLMS n’est pas supporté par l’opération de clonage, il est donc nécessaire de créer une exception. Cette dernière est présente dans le fichier XML CustomDCCloneAllowList.xml.

WLMS est présent car nous sommes en version d’évaluation.

Saisissez la commande ci-dessous pour générer le fichier XML :

Get-ADDCCloningExcludedApplicationList -GenerateXML

Le script peut être téléchargé depuis la page Informations générales.

images/03CE36N.png

Le fichier est maintenant présent dans le dossier NTDS.

images/03CE37N.png

Saisissez la commande PowerShell suivante afin de vous assurer qu’aucune application exclue n’est maintenant présente sur le serveur :

Get-ADDCCloningExcludedApplicationList

Le fichier DCCloneConfig.xml peut maintenant être créé à l’aide de la commande :

New-ADDCCloneConfigFile -Static -IPv4Address "192.168.1.20" 
-IPv4DNSResolver "192.168.1.10" -IPv4SubnetMask "255.255.255.0" 
-CloneComputerName "AD3" -IPv4DefaultGateway "192.168.1.254" 
-SiteName "Marseille"

Ce fichier contient la configuration IP mais également le nom du nouveau serveur. Le serveur DNS présent dans la configuration IP du poste doit en premier lieu être celui du serveur actuel, sans quoi l’opération de clonage échoue. Il est par la suite possible de le modifier.

Le script peut être téléchargé depuis la page Informations générales.

images/03CE39N.png

Le fichier est bien présent dans le dossier NTDS.

images/03CE40N.png

Arrêtez la VM puis, dans la console Hyper-V, effectuez un clic droit sur la VM et sélectionnez Exporter. L’export doit être fait dans un répertoire différent de celui où se trouvent les VM.

Une fois l’exportation terminée, redémarrez AD1.

Cliquez sur Importer un ordinateur virtuel dans la console Hyper-V.

La machine virtuelle peut être importée sur le même serveur Hyper-V ou sur un serveur différent. L’importation du même serveur fonctionne si la machine source est stockée dans un emplacement différent de celui d’origine (nom du fichier VHD identique pour la source et la VM clonée).

L’assistant d’importation se lance…

Dans la fenêtre Avant de commencer, cliquez sur Suivant.

Cliquez sur le bouton Parcourir puis sélectionnez le dossier précédemment créé.

images/03CE41N.png

Cliquez deux fois sur Suivant.

Dans la fenêtre Choisir le type d’importation, sélectionnez le bouton radio Copier l’ordinateur virtuel (créer un ID unique) puis cliquez sur Suivant.

images/03CE42N.png

Cliquez deux fois sur Suivant puis sur Terminer.

L’importation est en cours…

Renommez la machine virtuelle qui vient d’être importée afin qu’elle ne porte pas le même nom que AD1.

images/03CE43N.png

Redémarrez la machine qui vient d’être importée.

Le clonage est en cours.

images/03CE51.png

Le contrôleur de domaine a bien été cloné.

images/03CE44N.png

La configuration IP du serveur AD3 est bien celle spécifiée dans le fichier DCCloneConfig.xml.

images/03CE45N.png

Le serveur AD3 est un serveur DNS, il est possible de mettre l’adresse IP d’AD3 en tant que serveur DNS préféré et AD1 en tant que serveur DNS auxiliaire.

Le site AD Marseille contient maintenant deux serveurs, AD1 et AD3.

images/03CE46N.png

Il est maintenant plus aisé de déployer de nouveaux contrôleurs de domaine.

4. Création d’un snapshot AD

But : création et montage d’un snapshot Active Directory.

Machine virtuelle : AD1.

Sur AD1, lancez une invite de commandes DOS.

Saisissez ntdsutil puis validez la saisie à l’aide de la touche [Entrée].

Saisissez les commandes suivantes (appuyez sur [Entrée] après chaque commande) :

snapshot 
activate instance ntds 
create 
quit 
quit

Un GUID concernant ce snapshot apparaît. Cet identifiant est utilisé par la suite.

Dans la console Utilisateurs et ordinateurs Active Directory, développez le nœud Formation.local puis cliquez sur Paris.

Déplacez le compte utilisateur de Stéphanie Thed dans l’unité d’organisation Marseille.

Le changement a été effectué afin de montrer la différence avec le snapshot.

Sur AD1, saisissez la commande ntdsutil dans une invite de commandes DOS.

Saisissez les commandes ci-dessous et pressez la touche [Entrée] à la fin de chacune :

snapshot 
activate instance ntds 
list all

Les différents snapshots créés ainsi que leur GUID s’affichent.

images/03CE47N.png

Montez le snapshot précédemment créé. Pour cela, saisissez les commandes :

mount guid 
quit 
quit 

Guid est l’identifiant qui s’affiche à l’aide de la commande saisie précédemment.

images/03CE48N.png

L’instance du snapshot doit être démarrée. Pour cela, saisissez la commande :

Dsamain /dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds.dit 
/ldapport 5000

Remplacez $snap_datetime_volumec$ par le nom du répertoire présent sur C: et qui débute par $snap.

Sur un contrôleur de domaine, il est nécessaire de changer le port de l’instance, le port 389 est déjà utilisé par l’instance de production. Ce changement de port ne s’effectue que sur un contrôleur de domaine.

images/03CE49N.png

Lancez la console Utilisateurs et ordinateurs Active Directory puis effectuez un clic droit sur le domaine Formation.local.

Sélectionnez l’option Changer de contrôleur de domaine puis, dans le champ <Tapez ici un nom de serveur d’annuaire>, saisissez AD1:5000.

images/03CE50N.png

Cliquez sur OK puis déroulez le nœud Formation.local.

Sélectionnez l’unité d’organisation Paris, le compte utilisateur Stéphanie THED est bien présent.

Le changement a été opéré après le snapshot. Ce dernier ne contient donc pas le changement.

Les propriétés de l’utilisateur sont bien en lecture seule.

Il est maintenant nécessaire de démonter le snapshot.

Dans l’invite de commande, effectuez la combinaison de touches [Ctrl] C puis saisissez les commandes ntdsutil puis snapshot.

Activez l’instance NTDS à l’aide de la commande activate instance ntds.

Utilisez la commande list all afin de retrouver le GUID souhaité.

Saisissez la commande unmount guid.

Remplacez guid par l’identifiant du snapshot souhaité.

Sortez de la commande en saisissant l’instruction quit deux fois.

images/03CE51N.png

Pour rappel, la fonctionnalité snapshot ne remplace pas la sauvegarde.

5. Manipulation de la corbeille AD

But : activer et utiliser la fonctionnalité Corbeille AD.

Machine virtuelle : AD1.

Sur AD1, lancez la console Centre d’administration Active Directory.

Sélectionnez le nœud Formation (local) puis cliquez sur Activer la corbeille dans le bandeau Tâches.

images/03CE52N.png

Cliquez sur Oui puis sur OK au niveau des fenêtres d’avertissements.

Dans la console Utilisateurs et ordinateurs Active Directory, sélectionnez le menu Affichagepuis cliquez sur Fonctionnalités avancées.

Effectuez un clic droit sur l’unité d’organisation Paris et cliquez sur Propriétés.

Sélectionnez l’onglet Objet et décochez la case Protéger l’objet des suppressions accidentelles.

images/03CE53N.png

Cliquez sur OK puis supprimez l’unité d’organisation Paris.

images/03CE54N.png

Dans la console Centre d’administration Active Directory, cliquez sur Formation (local) puis effectuez un double clic sur DeletedObjects.

Actualisez la console si le conteneur DeletedObjects n’est pas présent.

L’ensemble des objets est présent.

Sélectionnez l’ensemble des objets en maintenant la touche [Ctrl] enfoncée puis cliquez sur Restaurer.

images/03CE55N.png

Il est possible de restaurer les objets dans un emplacement différent en sélectionnant l’option Restaurer sur.

Les objets sont de nouveau présents dans la console Utilisateurs et ordinateurs Active Directory.

6. Défragmentation de la base de données

But : défragmenter la base de données Active Directory.

Machine virtuelle : AD1.

Sur AD1, lancez la console Services.msc puis arrêtez le service Services de domaine Active Directory.

images/03CE56N.png

Lancez une invite de commandes DOS.

Saisissez les commandes ntdsutil et activate instance ntds (appuyez sur la touche [Entrée] après chaque commande).

images/03CE57N.png

Saisissez file puis validez à l’aide de la touche [Entrée]. Lancez la défragmentation à l’aide de la commande compact to c:\.

images/03CE58N.png

Copiez le fichier c:\ntds.dit dans le dossier c:\windows\ntds\.

Supprimez les fichiers ayant l’extension log dans le dossier c:\windows\ntds.

Dans l’invite de commandes DOS, saisissez integrity puis validez à l’aide de la touche [Entrée].

images/03CE59N.png

Saisissez quit deux fois afin de quitter la commande ntdsutil.

Chaque commande quit doit être validée à l’aide de la touche [Entrée].

Redémarrez le service Services de domaine Active Directory.

Lancez la console Utilisateurs et ordinateurs Active Directory afin de s’assurer qu’aucun problème n’est présent suite à la défragmentation.