Corentin
8e1b06e090
Complete Active Directory teaching environment based on dockurr/windows: - Windows Server domain controller, Windows 11 client, Debian 12 client - docker-compose orchestration, env-driven configuration - Bilingual documentation (FR + EN) for students - Dual approach (GUI + PowerShell) in every procedure - Instructor course plan and reference scripts - RDP launcher scripts for Linux, macOS and Windows Made by AcadéNice - https://acadenice.fr/
3.7 KiB
Promouvoir le serveur en contrôleur de domaine
Objectif : transformer le Windows Server fraîchement installé en premier DC d'une nouvelle forêt Active Directory. On installera aussi le rôle DNS, requis par AD.
Ce qu'est AD DS et ce qu'on crée
Une forêt Active Directory est une structure logique qui contient un ou plusieurs domaines. On va ici créer :
- une nouvelle forêt dont la racine est le domaine configuré (
corp.labpar défaut) - un premier contrôleur de domaine (
DC01) qui héberge la base AD et le DNS
Le DC est une machine critique : il gère l'authentification, les stratégies de groupe, les enregistrements DNS internes. En production, on en déploie toujours au moins deux pour la redondance. Dans ce lab, un seul suffit.
Préparation
Avant toute chose, on renomme la machine. C'est un geste obligatoire : une fois promue DC, elle ne pourra plus être renommée sans dépromotion.
Approche graphique
Paramètres > Système > À propos > Renommer ce PC(ouWin + Pausepuis "Modifier les paramètres")- Nouveau nom :
DC01 - Redémarrer
Approche PowerShell
Rename-Computer -NewName "DC01" -Restart
Si Rename-Computer refuse l'authentification sur une install fraîche, passe
par la GUI ou par le registre (voir troubleshooting.md).
Installation des rôles
Après le redémarrage, ouvre une session Administrator.
Approche graphique
- Ouvre le
Gestionnaire de serveur Gérer > Ajouter des rôles et fonctionnalités- Sélectionne :
Services AD DSServeur DNS
- Laisse les fonctionnalités par défaut, valide et installe
- Une fois l'installation terminée, clique sur le drapeau
d'avertissement en haut à droite puis sur
Promouvoir ce serveur en contrôleur de domaine
Approche PowerShell
Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools
Promotion en contrôleur de domaine
Approche graphique
- Dans l'assistant de configuration des services de domaine Active Directory :
Ajouter une nouvelle forêt> Nom racine :corp.lab- Niveaux fonctionnels : laisse
Windows Server 2016(ou la valeur proposée) - Coche
Serveur DNS,Catalogue global - Saisis un mot de passe DSRM (mode restauration des services d'annuaire)
- Ignore les avertissements DNS (normaux sur un DC tout neuf)
- Valide et laisse la machine redémarrer
Approche PowerShell
$dsrmPwd = Read-Host -AsSecureString "Mot de passe DSRM"
Install-ADDSForest `
-DomainName "corp.lab" `
-DomainNetbiosName "CORP" `
-InstallDns `
-SafeModeAdministratorPassword $dsrmPwd `
-Force
Cmdlets clés :
Install-ADDSForestcrée une nouvelle forêtInstall-ADDSDomainControllerjoint un DC existant à une forêt (utile quand tu ajoutes un second DC)
Validation
Après redémarrage, reconnecte-toi (compte CORP\Administrator désormais) et
lance :
Get-ADDomain
Get-ADForest
dcdiag
Les deux premières commandes renvoient les infos du domaine. dcdiag exécute
une batterie de tests d'intégrité. Des avertissements DNS mineurs sont normaux
sur un DC isolé.
Points d'attention
- Le mot de passe DSRM est indépendant de celui d'Administrator. Il sert en mode de récupération si AD est corrompu. Note-le dans ton gestionnaire de mots de passe.
- Une fois la machine promue DC, elle ne peut plus être renommée sans d'abord
être dépromotée (
Uninstall-ADDSDomainController). - Sur une installation fraîche dockur, la VM a parfois un nom généré
automatiquement (
WIN-xxxx). Rename avant la promotion est crucial.
Étape suivante
Le DC est prêt, AD est vide. On passe à la création des OU, utilisateurs et
groupes dans 03-ou-utilisateurs-groupes.md.