« Ce qui fait la vraie valeur d'un être humain, c'est de s'être délivré de son petit moi. »
.png)
Les systèmes d'exploitation OS Serveurs Windows Serveur 2012 Roles 2012 Active Directory L'installation d'Active Directory
La mise en place d'un contrôleur de domaine change quelque peu avec l'arrivée de Windows Serveur 8. Microsoft introduisait de nouvelles recommandations pour l'installation du rôle de Services de domaine Active Directory. Ces dernières étaient d'installer dans un premier temps les rôles en questions puis de faire le traditionnel DCPROMO. Rien ne nous l'obligeait car nous pouvions toujours installer ce rôle en tapant directement la commande DCPROMO, ce qui avait pour action d'installer les fichiers binaires automatiquement. Cette méthode avait pour mérite de fonctionner depuis Windows 2000 Serveur. S'en est fini!
Si vous tentez d'installer Active Directory en lançant la commande "DCPROMO", une fenêtre s'ouvrira vous invitant à vous rendre sur une page Web Microsoft contenant la nouvelle procédure.
Vous êtes dans la page principal du gestionnaire de serveur. Sélectionnez le lien "Ajouter des rôles et des fonctionnalités"
Un assistant amélioré 'par rapport à l'assistant de Windows Serveur 2008 R2" s'initialise.
Des détails supplémentaires font leurs apparitions. Dans notre cas, laisser la sélection par défaut...
Première nouveauté; la possibilité d'installer simplement un rôle ou une fonctionnalité à distance sur un serveur grâce au Powershell et cela sans bureau à distance! Sélectionner le serveur sur lequel vous souhaitez procéder à l'installation.
Vous choisirez le rôle à installer...
Les dépendances seront automatiquement sélectionnées.
Deuxième nouveauté: alors qu'auparavant l'installation des rôles et des fonctionnalités devaient se faire indépendamment, nous pouvons à présent les enchaîner. Ici, nous ne sélectionnerons rien de plus...
Le récapitulatif...
L'installation en cours...
Nous avons jusqu'à présent installer les fichiers binaires d'Active Directory, mais ce n'est par pour autant que le domaine est créé. Ne tentez toujours pas un "DCPROMO", vous obtiendrais la même boîte de dialogue qu'au début.
Vous remarquerez que, dans le volet de gauche, Le noeud "AD DS" est visible. Pour configurer un rôle ou une fonctionnalité, il faudra sélectionnez le pavillon blanc en haut à droite à côté duquel un triangle jaune est apparu. Cela nous informe une action est en attente.
Cliquez dessus et vous pourrez procéder à la configuration post-déploiement d'Active Directory.
L'assistant est à nouveau un petit peu plus familier. Sélectionner "Ajouter une nouvelle forêt"
Un nouveau niveau fonctionnel fait son apparition, "Windows Server 8 Beta".
Les réglages par défaut me convenant j'irais sur suivant jusqu'à la fin ou presque...
Suivant...
Suivant...
Toujours suivant...
Ah! Ici, une nouveauté est présente. Auparavant, lorsque vous éditiez le fichier de configuration, ce dernier se présentait comme étant un fichier texte...
A présent, il se présent comme un script powershell...
Terminez l'installation et redémarrez bien entendu!
La méthode d'installation et de configuration d'un contrôleur de domaine a quelque peu évolué. Rien de bien sorcier à partir du moment où l'on retrouve ses habitudes. La démarche intellectuel reste la même, c'est l'essentiel!
La vocation de Microsoft est de fournir systématiquement les commandes Powershell permettant de mener les actions sur les serveurs, à l'identique des serveurs de messagerie Exchange 2007-2010.
vous pouvez toujours automatiser l'installation d'un contrôleur de domaine via un fichier de réponse, mais contrairement aux versions antérieur à Windows Serveur 2012 R2, vous ne ferez plus appel à un fichier texte mais à un script powershell
Auparavant, la syntaxe était:
dcpromo /unattend:c:\fichier_de_réponse.txt
ou plus simplement
Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools
A présent, vous executerez un script powershell. Vous trouverz l'ensemble des commutateurs ici. En voici quelques exemples:
#
# Script Windows PowerShell pour le déploiement d’AD DS
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-NoGlobalCatalog:$false `
-CreateDnsDelegation:$false `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "surinfo.fr" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
#
# Script Windows PowerShell pour le déploiement d’AD DS
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-NoGlobalCatalog:$false `
-CreateDnsDelegation:$false `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "surinfo.fr" `
-InstallationMediaPath "E:\Install_Complete" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
#
# Script Windows PowerShell pour le déploiement d’AD DS
#
Import-Module ADDSDeployment
Install-ADDSDomain `
-NoGlobalCatalog:$false `
-CreateDnsDelegation:$true `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012R2" `
-DomainType "ChildDomain" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NewDomainName "sav" `
-NewDomainNetbiosName "SAV" `
-ParentDomainName "surinfo.fr" `
-NoRebootOnCompletion:$false `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
#
# Script Windows PowerShell pour le déploiement d’AD DS
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012R2" `
-DomainName "surinfo.fr" `
-DomainNetbiosName "SURINFO" `
-ForestMode "Win2012R2" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
#
# Script Windows PowerShell pour le déploiement d’AD DS
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @("Nom-du-domaine\Groupe de réplication dont le mot de passe RODC est autorisé") `
-NoGlobalCatalog:$false `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DelegatedAdministratorAccountName "Nom-du-domaine\stephane" `
-DenyPasswordReplicationAccountName @("BUILTIN\Administrateurs", "BUILTIN\Opérateurs de serveur", "BUILTIN\Opérateurs de sauvegarde", "BUILTIN\Opérateurs de compte", "Nom-du-domaine\Groupe de réplication dont le mot de passe RODC est refusé") `
-DomainName "Nom-du-domaine.fr" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-ReadOnlyReplica:$true `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
#
# Script Windows PowerShell pour le déploiement d’AD DS
#
Import-Module ADDSDeployment
Uninstall-ADDSDomainController `
-DemoteOperationMasterRole:$true `
-IgnoreLastDnsServerForZone:$true `
-LastDomainControllerInDomain:$true `
-RemoveDnsDelegation:$true `
-RemoveApplicationPartitions:$true `
-Force:$true
En réalité, ces fichiers de réponse sont à mon goût insuffisant pour automatiser à 100% l'installation d'un contrôleur de domaine et cela pour une raison simple, c'est que les informations d'identification ne sont pas présentes.
Je dois reconnaître que dans les anciens fichiers de réponse, la mise en place des informations était plusd simple mais la sécurité augmentant...
La première chose à savoir est que l'on ne peut inscrire de mot de passe en clair dans le fichier. Je pars du principe que j'enverrai par mail un dossier "dc" qui sera obligatoirement posé sur le lecteur C:. Ce dossier contiendra le script powershell ainsi qu'un fichier contenant mon mot de passe crypté de l'administrateur.
L'administrateur devra donc générer ce fichier à l'avance afin de l'intégrer dans le dossier. Pour ce faire, tapez la commande suivante et renseignez le mot de passe:
read-host -assecurestring | convertfrom-securestring | out-file c:\dc\securestring.txt
Amusez-vous à regarder le contenu du fichier...
Lancez ensuite le script en tant que administrateur
#
# Script Windows PowerShell pour le déploiement d'un domaine enfant# Installation des fichiers binaires
Install-windowsfeature -name AD-Domain-Services –IncludeManagementToolsInstall-windowsfeature -name DNS
# read-host -assecurestring | convertfrom-securestring | out-file c:\dc\securestring.txt
# Generation des informations d'itentification pour le domaine
$username = "nom_du_domaine\nom_de_l'utilisateur"
$password = cat c:\dc\securestring.txt | convertto-securestring
$cred = new-object -typename System.Management.Automation.PSCredential `
-argumentlist $username, $password
Import-Module ADDSDeployment
Install-ADDSDomain `
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)`
-Credential $cred `
-SiteName "Default-First-Site-Name" `
-NoGlobalCatalog:$false `
-CreateDnsDelegation:$true `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012R2" `
-DomainType "ChildDomain" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SysvolPath "C:\Windows\SYSVOL" `
-NewDomainName "nom_Netbios_du_domaine_enfant" `
-NewDomainNetbiosName "nom_Netbios_du_domaine_enfant" `
-ParentDomainName "nom_du_domaine_parent"
Prenez le temps de valider les variables. Changez le nom des domaines et du login de l'administrateur.
