# Promouvoir le serveur en contrôleur de domaine Objectif : transformer le Windows Server fraîchement installé en premier DC d'une nouvelle forêt Active Directory. On installera aussi le rôle DNS, requis par AD. ## Ce qu'est AD DS et ce qu'on crée Une forêt Active Directory est une structure logique qui contient un ou plusieurs domaines. On va ici créer : - une nouvelle forêt dont la racine est le domaine configuré (`corp.lab` par défaut) - un premier contrôleur de domaine (`DC01`) qui héberge la base AD et le DNS Le DC est une machine critique : il gère l'authentification, les stratégies de groupe, les enregistrements DNS internes. En production, on en déploie toujours au moins deux pour la redondance. Dans ce lab, un seul suffit. ## Préparation Avant toute chose, on renomme la machine. C'est un geste obligatoire : une fois promue DC, elle ne pourra plus être renommée sans dépromotion. ### Approche graphique 1. `Paramètres > Système > À propos > Renommer ce PC` (ou `Win + Pause` puis "Modifier les paramètres") 2. Nouveau nom : `DC01` 3. Redémarrer ### Approche PowerShell ``` Rename-Computer -NewName "DC01" -Restart ``` Si `Rename-Computer` refuse l'authentification sur une install fraîche, passe par la GUI ou par le registre (voir `troubleshooting.md`). ## Installation des rôles Après le redémarrage, ouvre une session Administrator. ### Approche graphique 1. Ouvre le `Gestionnaire de serveur` 2. `Gérer > Ajouter des rôles et fonctionnalités` 3. Sélectionne : - `Services AD DS` - `Serveur DNS` 4. Laisse les fonctionnalités par défaut, valide et installe 5. Une fois l'installation terminée, clique sur le drapeau d'avertissement en haut à droite puis sur `Promouvoir ce serveur en contrôleur de domaine` ### Approche PowerShell ``` Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools ``` ## Promotion en contrôleur de domaine ### Approche graphique 1. Dans l'assistant de configuration des services de domaine Active Directory : 2. `Ajouter une nouvelle forêt` > Nom racine : `corp.lab` 3. Niveaux fonctionnels : laisse `Windows Server 2016` (ou la valeur proposée) 4. Coche `Serveur DNS`, `Catalogue global` 5. Saisis un mot de passe DSRM (mode restauration des services d'annuaire) 6. Ignore les avertissements DNS (normaux sur un DC tout neuf) 7. Valide et laisse la machine redémarrer ### Approche PowerShell ``` $dsrmPwd = Read-Host -AsSecureString "Mot de passe DSRM" Install-ADDSForest ` -DomainName "corp.lab" ` -DomainNetbiosName "CORP" ` -InstallDns ` -SafeModeAdministratorPassword $dsrmPwd ` -Force ``` Cmdlets clés : - `Install-ADDSForest` crée une nouvelle forêt - `Install-ADDSDomainController` joint un DC existant à une forêt (utile quand tu ajoutes un second DC) ## Validation Après redémarrage, reconnecte-toi (compte `CORP\Administrator` désormais) et lance : ``` Get-ADDomain Get-ADForest dcdiag ``` Les deux premières commandes renvoient les infos du domaine. `dcdiag` exécute une batterie de tests d'intégrité. Des avertissements DNS mineurs sont normaux sur un DC isolé. ## Points d'attention - Le mot de passe DSRM est indépendant de celui d'Administrator. Il sert en mode de récupération si AD est corrompu. Note-le dans ton gestionnaire de mots de passe. - Une fois la machine promue DC, elle ne peut plus être renommée sans d'abord être dépromotée (`Uninstall-ADDSDomainController`). - Sur une installation fraîche dockur, la VM a parfois un nom généré automatiquement (`WIN-xxxx`). Rename **avant** la promotion est crucial. ## Étape suivante Le DC est prêt, AD est vide. On passe à la création des OU, utilisateurs et groupes dans `03-ou-utilisateurs-groupes.md`.