View
214
Download
0
Category
Preview:
Citation preview
ITIC Intégrer un contrôleur de domaine secondaire 2014
Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 1
Sommaire Introduction ............................................................................................................................................. 2
Vérifier les niveaux fonctionnels du domaine et de la forêt ................................................................... 2
Préparation de l’annuaire........................................................................................................................ 3
Installation du contrôleur supplémentaire ............................................................................................. 4
Vérification post-installation ................................................................................................................... 7
Conclusion ............................................................................................................................................... 9
ITIC Intégrer un contrôleur de domaine secondaire 2014
Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 2
Introduction
Nous allons voir à travers cet article l’intégration d’un contrôleur supplémentaire au sein d’un domaine Active
Directory. On parle en général d’un contrôleur secondaire cependant ceci est une fausse appellation car une
architecture Active Directory est multi-maître.
Dans le cadre de cet article, nous allons donc voir comment intégrer un contrôleur supplémentaire en version 2008
R2 dans un domaine existant géré par un 2003 R2. A noter cependant que cette procédure est applicable pour
toutes les versions Windows Server.
La réalisation est rapide et simple avec une implication limitée dans un milieu de productif. Il faut toutefois veiller à
disposer de sauvegardes fiables et en particulier concernant votre Active Directory.
Vérifier les niveaux fonctionnels du domaine et de la forêt
Nous allons vérifier le niveau fonctionnel du domaine et l’augmenter si nécessaire. Nous ferons de même avec le
niveau fonctionnel de la forêt. En vue de l’environnement dans lequel se réalise cet article, il faudra veiller à ce que
les niveaux fonctionnels soient compatibles avec l’intégration d’un serveur en 2008 R2. Pour obtenir des
informations complémentaires sur les niveaux fonctionnels Active Directory et pour connaitre sur quel niveau vous
devez vous placer dans votre environnement, nous vous invitons à vous rendre ici.
Il faut au moins être en mode natif 2000. Si votre serveur 2003 est le seul contrôleur de domaine de votre
infrastructure vous pouvez opter pour le niveau fonctionnel 2003. Ouvrez la mmc « Domaines et approbations
Active Directory » depuis « Démarrer » | « Outils d’administration ». Faire un clic droit sur [MONDOMAINE] et
choisir « Augmenter le niveau fonctionnel du domaine… ».
Dans notre exemple, le niveau fonctionnel est en Windows 2000 mixte et il faut donc l’augmenter en Windows 2000
natif ou en Windows 2003 pour permettre l’intégration du serveur 2008 R2. Nous choisissons le plus haut niveau
fonctionnel car nous ne disposons pas de serveur en 2000.
Nous allons vérifier ensuite le niveau fonctionnel de la forêt en cliquant droit sur la racine « Domaines et
approbations Active Directory » et sélectionner « Augmenter le niveau fonctionnel de la forêt… ». Le niveau
actuel est Windows 2000. Nous l’augmentons au niveau fonctionnel « Windows Server 2003 ».
ITIC Intégrer un contrôleur de domaine secondaire 2014
Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 3
Préparation de l’annuaire
Il faut maintenant préparer le domaine et la forêt de l’annuaire existant pour pouvoir intégrer le nouveau contrôleur
de domaine en version 2008 R2. La préparation est une simple mise à jour des schémas Active Directory entrainant
la création de nouveaux objets et attributs.
Pour cela, nous allons utiliser l’outil ADPREP fourni sur le support d’installation du Windows 2008 R2. Vous le
trouverez sur « D:\support\adprep » (D : est la lettre du lecteur DVD). Dans ce répertoire vous avez ADPREP.EXE
et ADPREP32.EXE, selon le type d’architecture de votre Windows 2003 R2 (s’il est en 32 bits, cas le plus fréquent,
nous utiliserons ADPREP32).
Lancez donc un invite de commande et rendez-vous dans le répertoire « d:\support\adprep » et exécutez la
commande « adprep32 /forestprep » pour la préparation de la forêt. Une fois l’opération terminée nous allons
faire de même avec la commande « adprep32 /domainprep » pour la préparation du domaine.
ITIC Intégrer un contrôleur de domaine secondaire 2014
Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 4
Sur le serveur 2008, nous allons en premier lieu configurer les paramètres TCP/IP afin qu’il puisse en tout
logique communiquer avec le contrôleur de domaine. Nous allons surtout veiller à ce que ce dernier soit bien
référencer en tant que serveur DNS primaire. Lancer donc la commande « ncpa.cpl » depuis « Démarrer » |
« Exécuter » pour ouvrir « connexion réseau ». Accéder ensuite aux propriétés de la carte réseau et vérifier en
particulier que le DNS primaire est l’adresse IP du contrôleur de domaine existant ( le serveur Windows 2003 est
en 192.168.102.150 dans l’exemple ci-dessous).
Installation du contrôleur supplémentaire Nous allons maintenant installer le rôle « services de domaine Active Directory » ce qui nous permettra de
disposer de l’outil DCDIAG. Ouvrez « Gestionnaire de serveur » et choisissez « Ajouter des rôles ». Nous
sélectionnons « Services de domaine Active Directory », l’assistant signale qu’il faudra installer des
fonctionnalités requises (en l’occurrence le .NET Framework 3.5). Nous faisons « Suivant » et ensuite « Installer
».
Une fois le rôle installé, nous allons tester l’incorporation du serveur 2008 en tant que contrôleur de domaine
supplémentaire à l’aide de la commande « dcdiag /test:dcpromo /dnsdomain:domaine.local /replicadc »
(domaine.local est le domaine DNS géré par notre annuaire Active Directory) de puis l’invite de commande afin
de vérifier qu’il n’y a pas d’obstacle à la promotion de ce serveur.
ITIC Intégrer un contrôleur de domaine secondaire 2014
Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 5
Exécutons désormais « dcpromo » à partir de « Exécuter ». Nous laissons par défaut « Utiliser l’installation en
mode avancé ». Il faut ensuite choisir d’intégrer le nouveau contrôleur dans une forêt existante. Nous indiquons
à l’étape suivante le nom du domaine Active Directory et précisons le compte disposant des privilèges
nécessaires pour réaliser cette installation (nous avons choisi le compte administrateur du domaine).
L’assistant nous signale que n’ayant pas préparé l’annuaire avec l’option « /rodcprep », il ne nous sera pas
possible d’intégrer un contrôleur en lecture seule (nouvelle fonctionnalité disponible depuis les versions 2008).
ITIC Intégrer un contrôleur de domaine secondaire 2014
Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 6
Nous spécifions le site sur lequel sera hébergé le contrôleur de domaine. Nous sélectionnons ensuite les options
« Serveur DNS » et « Catalogue global ». Un autre avertissement apparaît concernant un problème de
délégation avec la zone parente (.local) ce qui est logique car la zone parente .local est fictive. La zone DNS se
répliquera sans problème dès lors qu’elle est intégrée à Active Directory.
L’assistant vous laisse la possibilité de choisir la provenance des données Active Directory existantes à répliquer.
Soit directement par le biais du réseau en contactant le contrôleur de domaine existant, soit à partir d’une
sauvegarde. Ceci peut être intéressant lorsque vous devrez ajouter un contrôleur supplémentaire à travers une
liaison lente. Nous choisissons de le faire à partir du réseau.
ITIC Intégrer un contrôleur de domaine secondaire 2014
Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 7
Suite à la sélection précédente, nous devons choisir le contrôleur à contacter. Ensuite nous définissons la
location des fichiers liés à l’annuaire (il serait judicieux de suivre les recommandations de Microsoft et de séparer
la base de données des fichiers journaux). A l’étape suivante, vous allez devoir rentrer un mot de passe de
restauration. Celui-ci sera utiliser en cas de nécessité pour pouvoir démarrer le serveur en mode restauration
Active Directory. Enfin, il vous est possible d’exporter cette configuration sous forme de fichier de réponses qui
pourrait être utilisé pour d’autres promotion Active Directory (pour la promotion d'un RODC par exemple où il faut
obligatoirement un fichier de réponses).
Une fois redémarré, le serveur est désormais promu en tant que contrôleur de domaine
Vérification post-installation Lancer la commande « repadmin /syncall » depuis le 2008 pour forcer une réplication et « repadmin /showrepl
» pour vérifier si la réplication fonctionne correctement.
ITIC Intégrer un contrôleur de domaine secondaire 2014
Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 8
Vous pouvez également vérifier que les informations DNS ont bien été répliquées depuis le gestionnaire DNS sur
le serveur 2008.
Vous avez aussi la possibilité d'utiliser la commande DCDIAG depuis l’invite de commande pour vérifier l’état santé
général du contrôleur ou utiliser l’option /test pour effectuer des tests spécifiques (dcdiag /? fera apparaitre tous les
tests à disposition).
Enfin, vous disposez également d’un outil graphique qui a l’avantage d’être très explicite sur le bon fonctionnement
de votre contrôleur qui est replmon. Malheureusement, cet outil a disparu avec les versions 2008 donc si vous
voulez l'utiliser, il faudra passer par le 2003. L'outil est fourni avec les supports tools (téléchargeable ici). Une fois
ce dernier installé, il faut se rendre dans le répertoire « C:\Program Files\Support Tools » et lancer « replmon.exe
». Il vous suffira d’ajouter le nouveau contrôleur de domaine dans le monitoring en cliquant droit sur « Monitored
Servers » et en sélectionnant « Add Monitored Server… ». Ajouter ensuite le serveur soit explicitement soit à
l’aide d’une recherche depuis l’annuaire. Une fois le serveur ajouté, vous obtenez toutes une liste d’actions pour
vérifier l’état du contrôleur de domaine. Nous pouvons voir, par exemple, depuis l’onglet « Server Flags »
accessible depuis « Propriétés », la liste des services relatifs à Active Directory et leur état.
ITIC Intégrer un contrôleur de domaine secondaire 2014
Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 9
Pensez également à modifier les paramètres de la carte réseau du 2008 en ajoutant en DNS primaire la boucle
local (127.0.0.1) et en DNS secondaire le serveur 2003. Il serait également intéressant de rajouter le 2008 en
DNS secondaire sur le 2003 ainsi que sur l'ensemble de votre parc
Conclusion
Vous avez donc tout en main pour pouvoir intégrer des contrôleurs supplémentaires et vérifier que tout est
opérationnel. Nous soulignons cependant que l'architecture Active Directory étant multi-maîtres aucun contrôleur
sera réellement prioritaire par rapport à ses pairs dans ce type de configuration hormis pour des opérations
spécifiques.
Maintenant que vous disposez de deux contrôleurs de domaine, vous serez sans doute intéresser par l'article Gérer
la charge de vos contrôleurs de domaine.
Recommended