Mise en place d’un serveur - WordPress.com · 2017. 5. 26. · Mise en place d’un serveur Active Directory et DNS en haute disponibilité Hélène Moutinho Page 4 C. Solution

Mise en place d’un serveur Active Directory et DNS en haute disponibilité Epreuve E4 : projet n° 2 Hélène Moutinho BTS SIO

Mise en place d’un serveur Active Directory et DNS en haute disponibilité

Hélène Moutinho Page 2

Table des matières

I. Présentation .................................................................................................................................... 3

A. Contexte ...................................................................................................................................... 3

B. Analyse des choix ........................................................................................................................ 3

C. Solution retenue .......................................................................................................................... 4

II. Mise en place de l’environnement de pré-production ................................................................... 5

A. Pré-requis .................................................................................................................................... 5

B. Création et configuration du premier serveur principal ............................................................. 6

1. Configuration d’un nom de serveur et d’une adresse IP fixe .................................................. 6

2. Installation et configuration des rôles AD DS et DNS .............................................................. 6

3. Création des O.U. Agences et de quelques utilisateurs .......................................................... 7

C. Création et configuration du serveur secondaire ....................................................................... 7

1. Configuration d’un nom de serveur, d’une adresse IP fixe et entrée dans le domaine .......... 7

2. Installation et configuration des rôles AD DS et DNS avec réplication ................................... 8

D. Phase de test ............................................................................................................................... 8

1. Création d’une nouvelle OU et de nouveaux utilisateurs sur l’un ou l’autre des serveurs

pour confirmer que la réplication est active ................................................................................... 8

2. Création d’une GPO spécifique à une OU pour confirmer que la réplication est active ......... 9

III. Conclusion du projet ................................................................................................................. 10

IV. Lexique relatif au projet ............................................................................................................ 11

A. Active Directory ......................................................................................................................... 11

B. Annuaire LDAP ........................................................................................................................... 11

C. DNS ............................................................................................................................................ 11

D. Kerberos .................................................................................................................................... 12

E. Catalogue global ........................................................................................................................ 12

F. OU .............................................................................................................................................. 12

G. GPO ............................................................................................................................................ 12

H. Les rôles FSMO .......................................................................................................................... 12



I. Présentation

A. Contexte

TIPSO est le service informatique de la société @com, cabinet d’expertise comptable et conseil, avec plus de 80 agences partout en France. Ainsi, TIPSO a décidé de développer le réseau de l’entreprise en TSE (terminal Server Edition), qui permet à un utilisateur d'accéder à des applications ou des données stockées sur un ordinateur distant au moyen d'une connexion réseau. De plus, la plupart des changements et mises à jour se font directement sur le serveur, ce qui permet une maintenance et une administration plus centralisée. L’un des problèmes avec la technologie de TSE est qu’elle est fortement dépendante de l’Active Directory, du fait de l’authentification. L’entreprise nous demande donc de mettre en place un Active Directory en haute disponibilité.

B. Analyse des choix

Sur un serveur Windows 2012 R2, le rôle d’Active Directory ou AD consiste à mettre en œuvre des services d’annuaire LDAP. LDAP ou Lightweight Directory Access Protocol est à l'origine un protocole permettant l'interrogation et la modification des services d'annuaire. Ainsi, l’Active Directory répertorie les éléments présents sur un réseau, comme par exemple les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Il permet donc de fournir des services d’identification et d’authentification à un réseau d’ordinateurs utilisant le système Windows, mais aussi l’attribution et l’application de stratégies (GPO ou Group Policy Object), la distribution de logiciels et l’installation de mises à jour critique par les administrateurs. Ainsi, un utilisateur pour donc s’identifier et s’authentifier sur le réseau, et l’administration sera simplifié pour le ou les administrateurs. On parle de haute disponibilité lorsque que toutes les dispositions sont prises afin qu’un service soit disponible, dans l’idéal, en continu. Ainsi, aucune interruption de service ne doit avoir lieu. Cela est d’autant plus vrai dans notre cas, car le TSE est dépendant de l’Active Directory au niveau de l’identification et l’authentification des utilisateurs. La haute disponibilité implique très souvent en informatique une redondance ou une réplication des données sensibles sur un ou plusieurs autres serveurs afin d’assurer une tolérance aux pannes. Mettre en place un contrôleur de domaine secondaire avec réplication de données de l’un sur l’autre semble donc être une solution appropriée dans notre cas. Il existe d’autres solutions actuellement qu’un Active Directory sur un Windows Server. Par exemple, il est maintenant possible de créer l’équivalent d’un Active Directory grâce à Samba, qui inclus depuis la version 4.0 les fonctionnalités correspondantes à un Active Directory, avec les services LDAP, Kerberos, DNS et la gestion et le déploiement de GPO entre autre. Ainsi, ce type d’Active Directory se révèle compatible avec les produits Microsoft Windows Server allant de 2000 à 2012. Il faut cependant prendre en compte que ce genre de solution n’implémente pas encore toutes les fonctionnalités avancées présentes de base sur un Active Directory traditionnel. De plus, toute l’installation et la configuration se fait en ligne de commande.



C. Solution retenue

Nous allons privilégier la mise en place de serveurs Windows, car cela permettra de ne pas avoir à former des techniciens sur une technologie qu’ils ne connaissent pas ou peu, c’est-à-dire Samba 4. Avec l’utilisation d’un environnement Windows, aucune montée en compétence au sein de l’entreprise n’est obligatoire. Pour assurer la haute disponibilité, nous mettrons en place deux serveurs Windows Server 2012 R2, chacun avec les rôles AD DS et DNS, et avec une réplication entre les deux afin d’assurer une continuité de services. En effet, si l’un des deux cesse de fonctionner, peu importe la raison, l’autre pourra prendre la relève et donc continuer à assurer ces rôles. Nous utilisons ici des Windows Server 2012 R2 car c’est ce qui est présent au jour d’aujourd’hui au sein de l’infrastructure de l’entreprise. Aussi, nous ne jugeons pas utile de mettre en place aussi le rôle DHCP, car nous ne disposons que de postes fixes, et que l’adressage est défini par un tableau d’adressage précis et stricte. Ainsi, notre environnement de pré-production sera composée de 2 Windows Server 2012 R2 avec réplication entre les deux, et dont l’architecture présente sur l’Active Directory se rapprochera en partie de celle présente actuellement sur le serveur de l’entreprise. Nous créerons aussi quelques postes client afin de voir si notre maquette est fonctionnelle. Il en sera de même pour notre déploiement sur la baie.



II. Mise en place de l’environnement de pré-production

A. Pré-requis

Nous utiliserons deux serveurs Windows Server 2012 R2 et 3 postes clients, que nous créerons sur un VLAN, ce qui nous permettra de cloisonner notre réseau de test. La configuration minimale pour un serveur Windows Server 2012 R2 est :

- un processeur de 1,4 GHz et compatible 64 bits - une mémoire RAM de 512 Mo minimum (dans le cas d’un serveur Active Directory il est

plutôt conseillé de monter jusqu’à 2 Go minimum) - un espace disque disponible de 32 Go (il est conseillé 40 Go minimum pour une optimisation

optimale mais cela dépend de votre réseau, du nombre de clients, du type de mises à jour, etc)

- une carte réseau de 100Mb/s Vous trouverez ci-dessous un récapitulatif concernant les paramètres des deux serveurs Active Directory et des postes clients et un schéma fonctionnel du réseau, avec encadré en rouge les machines créées pour ce PPE. Ces dernières sont sur un VLAN test.

Nom Poste ou Serveur

Fonction dans le réseau

Adresse IP Masque de sous-réseau

Serveur DNS Appartenance à une OU

S1AD1

Serveur Active Directory et DNS

172.16.80.1 255.255.255.0 172.16.80.1 172.16.80.2

S2AD2

Serveur Active Directory et DNS

172.16.80.2 255.255.255.0 172.16.80.2 172.16.80.1

Client1 Client sous Windows 7

175.16.80.50 255.255.255.0 ProjetAD Agence Bordeaux


172.16.80.51 255.255.255.0 ProjetAD Agence Cahors


172.16.80.52 255.255.255.0 ProjetAD Agence Villeneuve sur Lot



B. Création et configuration du premier serveur principal

1. Configuration d’un nom de serveur et d’une adresse IP fixe

Nous allons d’abord lui donner l’adresse IP fixe 172.16.80.1, le masque de sous-réseau 255.255.255.0 et pour l’instant nous lui mettrons sa propre adresse en tant que Serveur DNS. Nous allons ensuite lui donner un nom de serveur valide. Ici, nous choisissons S1AD1.

2. Installation et configuration des rôles AD DS et DNS

L’installation du rôle AD DS est assez simple car Windows guide énormément et que peu de paramètres sont à définir pour l’instant.

Ainsi, nous installons le rôle AD DS sur notre serveur. Cela installera automatiquement les

fonctionnalités nécessaires à ce rôle. A la fin de l’installation des fonctionnalités, il nous faudra promouvoir notre serveur en

contrôleur de domaine afin que le domaine soit créé et que notre serveur devienne le contrôleur principal de notre domaine. Anciennement, cette action était effectuée en tapant la commande dcpromo.

Un assistant se lance alors. Il nous faut ajouter une nouvelle forêt car nous souhaitons créer

un nouveau contrôleur dans un nouveau domaine. Nous lui donnerons comme nom de domaine racine domaine2test.com.

Même si nous travaillons sur des serveurs Windows Server 2012 R2, nous choisissons comme

niveau fonctionnel de la forêt et du domaine Windows Server 2008 R2, afin d’assurer une rétrocompatibilité, car ce niveau ne peut être qu’augmenter et pas diminuer. Notre serveur, en tant que premier serveur Active Directory sur le domaine, deviendra automatiquement Catalogue Global et serveur DNS.



Le nom NetBIOS de notre domaine est déterminé automatiquement à partir du nom de domaine racine.

Il est question des chemins d’accès de l’Active Directory à sa base de données, aux fichiers

journaux et à SYSVOL ou System Volume, qui regroupe les scripts de connexion et les stratégies de groupe. Nous les laissons tels qu’ils sont été définis par défaut.

La connexion se fera dès lors dans le domaine, grâce au compte Administrateur, ici

DOMAINE2TEST\Administrateur. Afin de configurer le rôle DNS, il faut indiquer certains paramètres. Nous pouvons voir que la zone de recherche directe a déjà été créée en même temps que

l’Active Directory, avec des enregistrements correspondant à notre serveur. Cette zone de recherche nous permet la résolution de nom d’hôte en adresse IP.

Il nous faut alors créer une zone de recherche inverse, qui va permettre la résolution

d’adresse IP en nom d’hôte afin d’avoir des requêtes DNS qui aboutissent. Nous choisissons donc que cette zone inverse est une zone principale qui sera enregistrée

dans l’Active Directory et qui concernera les adresses IPV4. Nous allons mettre comme ID réseau 172.16.80, car l’ID réseau est la partie des adresses IP qui appartient à notre réseau. Cela va donc créer la zone de recherche inversée 80.16.172.in-addr.arpa. De plus, nous allons lui spécifier qu’il doit n’autoriser que les mises à jour dynamiquement sécurisées, c’est-à-dire accepter les enregistrements DNS des clients approuvés par le contrôleur de domaine Active Directory.

Nous avons configuré la recherche inverse sur le domaine, il nous faut alors le faire pour notre serveur en particulier, en créant un pointeur sur notre serveur dans la zone inverse dans le gestionnaire DNS ou en exécutant la commande ipconfig /registerdns, qui va créer automatiquement ce pointeur.

Nous pouvons vérifier le fonctionnement des zones de recherche directe et inverse grâce à la commande nslookup.

3. Création des O.U. Agences et de quelques utilisateurs

Dans le Centre d’administration Active Directory, nous créons donc une OU Agence, dans lequel nous allons créer 3 O.U. correspondant à nos agences, à savoir Bordeaux, Cahors et Villeneuve sur Lot. Au moins un utilisateur sera intégré dans chaque OU.

C. Création et configuration du serveur secondaire

1. Configuration d’un nom de serveur, d’une adresse IP fixe et entrée dans le domaine

Nous allons commencer par lui donner l’adresse IP fixe 172.16.80.2, le masque de sous-réseau 255.255.255.0 et nous lui mettrons son adresse IP en tant que Serveur DNS principal et l’adresse IP du serveur principale en secondaire. Nous allons ensuite lui donner un nom de serveur valide. Ici, nous choisissons S2AD2 et nous le faisons rentrer dans le domaine.



2. Installation et configuration des rôles AD DS et DNS avec réplication

L’installation du rôle AD DS est assez simple car Windows guide énormément et que peu de paramètres sont à définir pour l’instant.

Ainsi, nous installons le rôle AD DS sur notre serveur. Cela installera automatiquement les

fonctionnalités nécessaires à ce rôle.

Comme précédemment, à la fin de l’installation des fonctionnalités, il nous faudra promouvoir notre serveur en contrôleur de domaine afin que notre serveur devienne contrôleur de domaine.

Un assistant se lance alors. Nous allons ajouter notre contrôleur de domaine à notre domaine qui existe déjà. Le nom de domaine sera spécifié automatiquement. Il ne nous restera qu’à fournir les informations d’identification pour effectuer cette opération, c’est-à-dire le compte et le mot de passe administrateur sur notre serveur principal.

Nous décidons que notre serveur sera aussi serveur DNS et Catalogue Global. Notre serveur sera affecté au site Default-First-Name-Site. En effet, lors de la création du premier contrôleur de domaine, ce site par défaut a été crée dans les services AD DS. Un site représente la structure physique de notre réseau, alors que le domaine va représenter la structure logique de celui-ci. Ainsi, tant qu’il n’y a pas création d’un nouveau site, tous les contrôleurs de domaine seront affectés au site par défaut.

Nous devons alors spécifier que notre contrôleur de domaine secondaire va prendre le contrôleur de domaine principal comme source de réplication.

Nous laissons par défaut les chemins d’accès de l’Active Directory à sa base de données, aux fichiers journaux et à SYSVOL.

La connexion se fera dès lors dans le domaine, grâce au compte Administrateur, ici DOMAINE2TEST\Administrateur.

On peut maintenant voir que notre Active Directory, avec les O.U. et les utilisateurs créés précédemment, s’est bien répliqué sur notre contrôleur de domaine secondaire. Il en est de même pour nos enregistrements DNS, nos zones directe et inverse ont bien été répliquées. Nous pouvons aussi voir que le pointeur sur le contrôleur secondaire a été créé automatiquement, aussi bien sur la zone directe que sur la zone inverse.

Il ne nous reste plus qu’à renseigner sur notre contrôleur principal l’adresse IP de notre contrôleur secondaire en tant que DNS secondaire.

D. Phase de test

1. Création d’une nouvelle OU et de nouveaux utilisateurs sur l’un ou l’autre des serveurs pour confirmer que la réplication est active

Afin de tester la réplication d’un serveur sur l’autre, nous créons donc une nouvelle OU sur notre contrôleur de domaine principal. Nous pouvons voir que celui-ci s’est bien répliqué sur notre contrôleur de domaine secondaire.



Nous allons aussi créer plusieurs utilisateurs, sur l’un et l’autre des contrôleurs de domaine. Nos utilisateurs se répliquent bien sur l’autre contrôleur de domaine.

2. Création d’une GPO spécifique à une OU pour confirmer que la réplication est active

Lors d’un précédent PPE, nous avons créé une GPO spécifique à WSUS. Nous pouvons voir que cette dernière s’est bien répliquée sur les deux serveurs.



III. Conclusion du projet

Après notre environnement de test, nous avons déployé DC0 et DC1, qui seront nos contrôleurs de domaine principal et secondaire. Ainsi, il existe bien sur le réseau un Active Directory en haute disponibilité, et ce grâce à la création de deux serveurs Windows Server 2012 R2 avec les rôles Active Directory et DNS De plus, cela permet de pouvoir mettre sur chaque client léger le serveur principal en tant que DNS principal et le serveur secondaire en tant que DNS secondaire. La définition du serveur secondaire en tant que catalogue global lui aussi permet d’assurer la disponibilité du rôle et répartir la charge au niveau des requêtes, et donc la redondance du service. C’est pourquoi il est conseillé aussi bien dans le cas d’une forêt mono-domaine ou multi-domaines d’activer ce rôle. Nous répondons donc bien à la problématique de l’entreprise. En vue d’une évolution future, il pourrait être intéressant de mettre en place un contrôleur de domaine en lecture seule, ou RODC (Read Only Domain Controller) dans chaque agence. Un RODC est un contrôleur de domaine qui contient les mêmes informations qu’un contrôleur classique, à l’exception des mots de passe utilisateurs. De plus, du fait que ces informations sont stockées en lecture seule, aucune modification ne peut être initiée depuis ce RODC. Ainsi, cette technologie présente plusieurs avantages :

- Elle permet de sécuriser les sites distants, car il est possible de choisir les mots de passe stockés sur le serveur. De ce fait, en cas de vol ou de corruption du serveur la perte sera moindre, car il ne pourra être dérobé que les mots de passe utilisateurs standards du site

- Le serveur RODC pourra avoir le rôle de serveur DNS de cache. Il ne pourra donc pas effectuer de modification mais recevra celles effectuées sur le ou les serveurs DNS depuis lesquels il se réplique. Ainsi, le cache permettra de générer moins de trafic sur la liaison WAN et consommera moins de bande passante

- Dans le cas où le RODC est autorisé à mettre en cache le mot de passe de l’utilisateur, cela permettra d’économiser là aussi de la bande passante.



IV. Lexique relatif au projet

A. Active Directory

L’Active Directory ou AD est la mise en œuvre des services d’annuaire LDAP pour les systèmes d’exploitation Windows par Microsoft. Ainsi, l’Active Directory répertorie les éléments présents sur un réseau, comme par exemple les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Il permet donc de fournir des services d’identification et d’authentification à un réseau d’ordinateurs utilisant le système Windows, mais aussi l’attribution et l’application de stratégies (GPO ou Group Policy Object), la distribution de logiciels et l’installation de mises à jour critique par les administrateurs. Ainsi, un utilisateur pour donc s’identifier et s’authentifier sur le réseau, et l’administration sera simplifié pour le ou les administrateurs.

B. Annuaire LDAP

LDAP ou Lightweight Directory Access Protocol est à l'origine un protocole permettant l'interrogation et la modification des services d'annuaire. Ce protocole se base sur TCP/IP. Il a cependant évolué pour représenter une norme pour les systèmes d'annuaires, incluant un modèle de données, un modèle de nommage, un modèle fonctionnel basé sur le protocole LDAP, un modèle de sécurité et un modèle de réplication.

C. DNS

Le DNS (Domain Name System ou système de noms de domaine) est un service qui permet de traduire un nom de domaine en informations de plusieurs types, et notamment en l’adresse IP de la machine portant ce nom. Il existe de nombreux types d’enregistrement DNS. Parmi les plus utilisés de nos jours, on peut retrouver : L’enregistrement A pour Address : il permet de relier un nom d’hôte (domaine ou sous-

domaine) à l’adresse IPV4 d’un serveur L’enregistrement AAAA pour Adresse IPV6 : il permet de relier un nom d’hôte (domaine ou

sous-domaine) à l’adresse IPV6 d’un serveur L’enregistrement CNAME pour Canonical Name : il permet de spécifier un nom de domaine

comme un alias d'un autre domaine. L’enregistrement NS pour Name Server : il permet d’indiquer quels sont les serveurs qui vont

gérer une zone DNS L’enregistrement MX pour Mail eXchanger Record : il permet d’indiquer quels sont les

serveurs qui gèrent les services emails reliés à un nom de domaine L’enregistrement SRV pour SRV Record : il permet d’indiquer quel est le serveur qui gère un

service spécifique, comme LDAP par exemple L’enregistrement SOA pour Start Of Authority : il permet d’indiquer quel est le serveur

Maitre du domaine L’enregistrement PTR pour Pointer : il réalise l’inverse de l’enregistrement A ou AAAA, et

permet donc de relier l’adresse IP d’un serveur à un nom d’hôte (domaine ou sous-domaine) Ceci est une liste non-exhaustive.



D. Kerberos

Kerberos est un protocole d’authentification sur le réseau. Celui-ci repose sur un mécanisme de clés secrètes (par chiffrement symétrique) et l’utilisation de tickets. Ainsi, une fois que le client s’est identifié, celui-ci obtient un ticket. Ce ticket peut se présenter sous la forme d’un fichier texte, mais son contenu peut aussi être stocké dans une zone de mémoire sécurisée. Le ticket jouera le rôle d’une carte d’identité avec une date de péremption qui est assez courte, de l’ordre de huit heures généralement. Cela permet donc d’éviter de faire transiter les mots de passe en clair, et le risque d’interception frauduleuse des mots de passe des utilisateurs.

E. Catalogue global

Le catalogue global est une sorte d’annuaire central, car il regroupera les éléments provenant de l’ensemble de la forêt. Ainsi, il contient une copie des attributs principaux de tous les domaines de la forêt. Donc un contrôleur de domaine « catalogue global » sera capable de localiser des objets dans l’ensemble de la forêt car il a une vue d’ensemble sur tous les objets. Le premier contrôleur de domaine créé au sein d’une forêt est automatiquement catalogue global mais ce rôle peut être défini sur d’autres contrôleurs. Microsoft conseille au minimum un catalogue global par forêt, et un ou plusieurs catalogues globaux par site si cette forêt regroupe plusieurs domaines à des emplacements géographiques différents. Il assure 4 fonctions clés auprès de l’Active Directory : la recherche d’objets dans la forêt / la résolution des noms principaux d’utilisateurs / la recherche d’informations sur les appartenances aux groupes universels / la vérification des références d’objets inter-domaines

F. OU

Une OU (Organizational Unit ou unité organisationnelle) est un conteneur Active Directory dans lequel il est possible de placer des objets, comme des utilisateurs, des groupes, des ordinateurs, mais aussi d’autres unités organisationnelles. Ainsi, cela permet de reproduire la hiérarchie de l’organisation dans le domaine. C’est aussi la plus petite unité sur laquelle on peut attribuer des paramètres de stratégies de groupe ou déléguer une autorité administrative.

G. GPO

Les GP (Group Policy ou stratégie de groupe) sont l’ensemble des configurations et paramètres s’appliquant à des configurations « ordinateurs » et « utilisateurs » dans l’Active Directory. Ces stratégies de groupe sont gérées à travers des objets de stratégie de groupe communément appelés GPO (Group Policy Objects). Ces dernières peuvent être lié à un ou plusieurs domaines, sites ou OU. Cela permet donc de simplifier l’administration globale d’un ensemble plus ou moins vaste d’éléments du réseau par une seule stratégie de groupe. Il en existe à ce jour plus de 3600. Cela peut aussi bien concerner le contrôle des clés de registre, la sécurité NTFS, la politique de sécurité et d’audit, l’installation de logiciel, les scripts de connexion et de déconnexion, la redirection des dossiers, et les paramètres d’Internet Explorer, entre autre.

H. Les rôles FSMO

FSMO est un l’acronyme de « Flexible Single Master Operation ». Il existe depuis la version 2000 de Windows Server.



Dans un environnement Active Directory, il est fortement conseillé d’avoir plusieurs contrôleurs de domaine. Seulement, il serait problématique que plusieurs de ces contrôleurs puissent modifier des données en même temps, ce qui conduirait à des conflits et à des problèmes ultérieurs. Les rôles FSMO ont donc été crées pour pallier à ce problème. Ce rôle permet de savoir quel contrôleur de domaine a le droit d’effectuer une action particulière au sein de l’annuaire. Un rôle FSMO est attribué à un contrôleur de domaine, qui deviendra ainsi un maitre d’opération. Il ne peut y avoir qu’un seul maitre d’opération pour un rôle donné. Il existe 5 rôles FSMO : Le rôle « maitre d’attribution des noms de domaine » : comme son nom l’indique, ce rôle

permet de distribuer des noms de domaine, soit lors de la création d’un nouveau domaine, dans ce cas soit le maitre d’opération est à l’origine de la création, soit le contrôleur de domaine à l’origine de la création doit être en mesure de contacter le maitre d’opération sinon la procédure échouera. Ce rôle permet aussi de renommer des domaines déjà existants.

Le rôle « contrôleur de schéma » : on nomme schéma la structure de l’annuaire Active Directory. Ainsi, ce rôle permet de pouvoir initier des changements au niveau de cette structure et ainsi de la gérer.

Le rôle « maitre RID » : le RID (Relative ID) est une partie unique du SID (Security Identifier) qui est commun aux objets d’un même domaine. Ce rôle permet donc d’attribuer des pools de RID à chaque contrôleur de domaine d’un même domaine. Quand un contrôleur de domaine aura épuisé son stock de RID disponible, il faudra qu’il contacte le maitre d’opération afin que celui-ci lui en alloue de nouveaux.

Le rôle « maitre d’infrastructure » : ce rôle a pour objectif de gérer les références entre plusieurs objets au sein d’un même domaine. Le maitre d’opération sera donc en charge de s’assurer de la réplication d’informations relatives à un objet sur tous les contrôleurs de domaine. Il permettra donc une réplication plus rapide et une meilleure communication entre les contrôleurs de domaine.

Le rôle « émulateur PDC » : l’émulateur PDC (Primary Domain Controler) a 5 missions principales : la modification des stratégies de groupe du domaine (éviter les conflits et les écrasements) / la synchronisation des horloges sur tous les contrôleurs de domaine (heure et date) / la gérance du verrouillage des comptes / le changement des mots de passe / la compatibilité avec les contrôleurs de domaine Windows NT.

Les rôles « maitre d’attribution des noms de domaine », « contrôleur de schéma » et « émulateur PDC » s’appliqueront sur le domaine alors que les rôles « maitre RID » et « maitre d’infrastructure » s’appliqueront sur les objets.

I. PrésentationA. ContexteB. Analyse des choixC. Solution retenue

II. Mise en place de l’environnement de pré-productionA. Pré-requisB. Création et configuration du premier serveur principal1. Configuration d’un nom de serveur et d’une adresse IP fixe2. Installation et configuration des rôles AD DS et DNS3. Création des O.U. Agences et de quelques utilisateurs

C. Création et configuration du serveur secondaire1. Configuration d’un nom de serveur, d’une adresse IP fixe et entrée dans le domaine2. Installation et configuration des rôles AD DS et DNS avec réplication

D. Phase de test1. Création d’une nouvelle OU et de nouveaux utilisateurs sur l’un ou l’autre des serveurs pour confirmer que la réplication est active2. Création d’une GPO spécifique à une OU pour confirmer que la réplication est active

III. Conclusion du projetIV. Lexique relatif au projetA. Active DirectoryB. Annuaire LDAPC. DNSD. KerberosE. Catalogue globalF. OUG. GPOH. Les rôles FSMO

Documents

Mise en place d’un serveur - WordPress.com · 2017. 5. 26. · Mise en place d’un serveur Active Directory et DNS en haute disponibilité Hélène Moutinho Page 4 C. Solution