.

Active Directory et le rôle de contrôleur de domaine








Contrôleur de domaine
Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de données Active Directory, participant à la réplication Active Directory et contrôlant l'accès aux ressources réseau. Les administrateurs peuvent gérer les comptes d'utilisateurs, l'accès réseau, les ressources partagées, la topologie du site et les autres objets d'annuaire à partir de n'importe quel contrôleur de domaine de la forêt.
Contrôleur de domaine supplémentaire
Tout contrôleur de domaine installé sur un domaine existant. Tous les contrôleurs de domaine participent de manière égale à la réplication Active Directory mais, par défaut, le premier contrôleur de domaine installé sur un domaine se voit attribuer la propriété des opérations à maître unique.
Domaine enfant
Pour DNS et Active Directory, domaine de l'arborescence de l'espace de noms situé immédiatement sous un autre nom de domaine (le domaine parent). Par exemple, exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle aussi de sous-domaine.
Arborescence de domaine
Dans DNS, structure de l'arborescence hiérarchique inversée utilisée pour indexer les noms de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques aux arborescences de répertoires utilisées par les systèmes de fichiers des ordinateurs pour le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stockés sur un disque, les répertoires peuvent être utilisés pour organiser les fichiers de façon logique. Lorsqu'une arborescence de domaine comprend plusieurs branches, chaque branche peut organiser en ensembles logiques des noms de domaines utilisés dans l'espace de noms.
Dans Active Directory, structure hiérarchique d'un ou plusieurs domaines liés par des relations d'approbations bidirectionnelles et transitives formant un espace de noms contigu. Plusieurs arborescences de domaine peuvent appartenir à la même forêt.
Forêt
Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe et d'attribut (schéma), les mêmes informations relatives au site et à la réplication (configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue global). Les domaines d'une même forêt sont liés par des relations bidirectionnelles et transitives.
Deux méthodes sont possibles pour installer un contrôleur de domaine:
  • Utiliser l'assistant "dcpromo" qui installe automatiquement Active Directory s'il n'est pas encore installé puis installe interactivement les composants de gestion et d'administration liès au fonctionnement en tant que contrôleur de domaine.
  • Utiliser l'utilitaire "Gestionnaire de serveur" qui propose l'installation d'Active Directory (s'il n'est pas encore installé) avec le rôle supplémentaire de contrôleur de domaine (installation d'Active Directory puis exécution de dcpromo pour l'installation des composants de gestion et d'administration liès au fonctionnement en tant que contrôleur de domaine).
L'assistant "Gérer votre serveur"
"Gestionnaire de serveur"
-> "Résumé des rôles"
-> "Ajouter des rôles"
"Ajouter des rôles"
Message préliminaire
"Ajouter des rôles"
Choix du(des) rôle(s) ajouté(s)
"Ajouter des rôles"
Messages d'information et installation

"Ajouter des rôles"
Bascule vers l'assistant dcpromo en mode avancé
"dcpromo"
Message d'information
"dcpromo"
Choix du nom du nouveau domaine (au format nom TCP/IP)
puis validation de ce nom
"dcpromo"
Choix du nom compatible NetBEUI
"dcpromo"
Choix du niveau fonctionnel
"dcpromo"
Choix de l'installation de DDNS sur le contrôleur de domaine
"dcpromo"
Localisation des répertoires de stockage des informations
d'administration du domaine
"dcpromo"
Choix du mot de passe de restauration des services d'annuaire
"dcpromo"
Confirmation
-> Démarrage de l'installation
"dcpromo"
Installation en cours
"dcpromo"
Fin et reboot
Réouverture de session
(le mot de passe de l'administrateur du domaine
est le mot de passe de l'ancien administrateur local)
Contenu du journal "Configuration de votre serveur"
Après redémarrage, ADS est en fonctionnement pour la gestion du domaine w2k8.univ-fcomte.fr. Le service DNS est lui aussi en fonctionnement, mais il n'est pas configuré.
Reprise de dcpromo avec choix d'un serveur supplémentaire
Choix du domaine et authentification
avec un compte administrateur de ce domaine
Choix du domaine et du site d'insertion
Options d'installation
Warning
Choix des options de réplication initiale
Localisation des données de domaine sur le serveur supplémentaire
Mot de passe de restoration des services d'annuaire
Résumé avant confirmation et installation
Installation en cours
Installtion terminée
Résultat dans le "Gestionnaire des utilisateurs
et des ordinateurs Active Directory"
Amorçage de la désinstallation au moyen de dcpromo
Indication si le serveur supprimé est le dernier serveur du domaine
-> Le domaine disparait.
Définition du mot de passe de l'administrateur
pour le serveur simple restitué après désinstallation
Résumé et confirmation
Désinstallation en cours
Désinstallation terminée
2 rôles et 2 fonctionnalités supplémentaires assurés
"Gestionnaire de serveur"
"Gestionnaire de serveur"
"Serveur DNS"
"Gestionnaire de serveur"
"Service de domaine Active Directory"
Modification des propriétés système
  • Nom complet au format TCP/IP
  • Indication du nom de domaine
  • Impossibilité de changer de domaine sans désinstallation du service Contrôleur de domaines
  • Risques en cas de changement de nom du serveur
Modification de la configuration TCP/IP
  • Changement du serveur DNS vers 127.0.0.1
Nouveaux processus en exécution
  • dns.exe
  • ...
Nouveaux services
Nouveaux répertoires dans le système d'exploitation
  • NTDS
  • SYSVOL
  • ...
Modification des droits vers plus (+) de restrictions
  • Interdiction d'ouverture de session locale aux utilisateurs lambda
  • Bureau à distance plus vérouillé
  • ...
Configuration de nouveaux journaux d'événements
  • DNS
  • DFS
  • Active Directory
Ajout de nouveaux outils d'administration
  • Gestion des stratégies de groupe
  • DNS
  • Domaines et approbation Active Directory
  • Modification ADSI
  • Sites et services Active Directory
  • Utilisateurs et ordinateurs Active Directory
Création de nouveaux partages administratifs
  • SYSVOL
  • NETLOGON
Les maîtres uniques d'opérations (FSMO, flexible single master of operation)
Existence de 5 exceptions à la règle qui place les contrôleurs d'un domaine au même niveau du point de vue des charges d'administration et donc à l'indifférenciation des contrôleurs
-> 5 opérations à maître unique:
  • Contrôleur de schéma
  • Maître d'attribution des noms de domaine
  • Contrôleur de domaine principal (émulateur PDC)
  • Gestionnaire du pool RID (ID relatives)
  • Maître d'infrastructure
La commande "netdom query fsmo" permet de savoir quelles sont les machines chargées de ces rôles.
Ces opérations doivent être assurées par un contrôleur "en ligne" pour que le domaine fonctionne correctement lors de certaines opérations administratives.
Ces rôles peuvent être transférés entre contrôleurs.
  • Contrôleur du schéma:
    Outils d'administration ","
  • Maître d'attribution de noms de domaine:
    Outils d'administration ","
  • Maître RID:
    Outils d'administration "Utilisateurs et ordinateurs Active Directory"
  • Emulateur PDC:
    Outils d'administration "Utilisateurs et ordinateurs Active Directory"
  • Maître d'infrastructure:
    Outils d'administration "Utilisateurs et ordinateurs Active Directory"
Si le transfert est effectué "on line", l'opération est réversible.
Si le transfert est effectué "off line", l'opération est irréversible. L'ancien maître unique ne devra alors jamais revenir "on line".


                                                      | Accueil du site ]