2. Vue d’ensemble du module
• Vue d’ensemble de AD DS
• Vue d’ensemble des contrôleurs de domaine AD DS
• Déploiement d’un contrôleur de domaine
3. Leçon 1 : Vue d’ensemble d’AD DS
• Vue d’ensemble de AD DS
• Qu’est-ce que le schéma AD DS ?
• Qu’est-ce qu’une forêt AD DS ?
• Qu’est-ce qu’un domaine AD DS ?
• Que sont les UO ?
• Nouveautés d’AD DS dans Windows Server 2016
• Qu’est-ce qu’AD Azure ?
• Vue d’ensemble des outils d’administration AD DS
• Démonstration : Utiliser le Centre d’administration
Active Directory pour administrer et gérer AD DS
4. Vue d’ensemble d’AD DS
Composants logiques Composants physiques
• Cloisons
• Schéma
• Domaines
• Arborescences de
domaine
• Forêts
• Sites
• Unités d’organisation
• Conteneurs
• Les contrôleurs de
domaine
• Magasins de données
• Serveurs de catalogue
global
• RODC
AD DS est constitué de composants logiques et
physiques
6. Qu’est-ce qu’une forêt AD DS ?
Racine
d’arbores
cence
domaine
fabrikam.com
atl.adatum.com
Domaine enfant
adatum.com
Racine de forêt
domaine
7. Qu’est-ce qu’un domaine AD DS ?
• Le nom de domaine est une limite de
réplication
• Le domaine est un centre administratif
pour la configuration et la gestion des
objets
• Tout contrôleur de domaine peut
authentifier n’importe quelles infos
d’identification, partout dans le domaine
• Le domaine donne l’autorisation
• AD DS nécessite un ou plusieurs contrôleurs de domaine
• Tous les contrôleurs de domaine détiennent une copie de la base
de données de domaine, qui est continuellement synchronisée
• Le domaine est le contexte dans lequel les comptes d’utilisateurs,
les comptes d’ordinateurs et les groupes sont créés
AD DS
Ordinateurs
Utilisateurs
Groupes
8. Que sont les UO ?
•Utilisez des conteneurs pour regrouper les objets
dans un domaine :
•Vous ne pouvez pas appliquer les GPO aux
conteneurs
•Les conteneurs sont utilisés pour les objets du
système et en tant que valeur par défaut pour
les nouveaux objets
•Créez des UO pour :
•Configurer les objets en leur attribuant les GPO
•Déléguer les autorisations administratives
9. Nouveautés d’AD DS dans Windows Server 2016
• PAM
• Azure AD Join
• Microsoft Passport
10. Qu’est-ce qu’AD Azure ?
Azure
AD
Service Azure App
Sur place
AD DS
Applications
connectées à Internet
Skype
Entreprise
SharePoint
Online
Exchange
Online
Office 365
Internet
11. Vue d’ensemble des outils d’administration AD DS
La gestion d’AD DS est généralement effectuée à
l’aide des outils suivants :
• Centre d’administration Active Directory
• Utilisateurs et ordinateurs Active Directory
• Sites et services Active Directory
• Domaines et approbations Active Directory
• Schéma de composant logiciel enfichable Active Directory
• Module Active Directory pour Windows PowerShell
12. Démonstration : Utiliser le Centre d’administration
Active Directory pour administrer et gérer AD DS
Dans cette démonstration, vous apprendrez à :
• Naviguez dans le Centre d’administration Active Directory.
• Effectuer une tâche administrative au sein du Centre
d’administration Active Directory
• Créer des objets
• Voir tous les attributs de l’objet
• Utilisez la visionneuse Historique Windows PowerShell dans le
Centre d’administration Active Directory
13. Leçon 2 : Vue d’ensemble des contrôleurs de
domaine AD DS
• Qu’est-ce qu’un contrôleur de domaine ?
• Qu’est-ce qu’un catalogue global ?
• Vue d’ensemble de l’enregistrement SRV des
contrôleurs de domaine
• Démonstration : Affichage des enregistrements
SRV dans DNS
• Processus de connexion AD DS
• Quels sont les maîtres d’opérations ?
• Transférer et prise des rôles
14. Qu’est-ce qu’un contrôleur de domaine ?
Contrôleurs de domaine :
• Sont des serveurs qui hébergent la base de données
AD DS (Ntds.dit) et SYSVOL
• Hébergent le service d’authentification Kerberos et les
services KDC pour effectuer une authentification
• Avoir les bonnes pratiques pour :
• La disponibilité :
• Utilisez au moins deux contrôleurs de domaine dans
un domaine
• La sécurité :
• Utilisez un RODC ou BitLocker
15. Qu’est-ce qu’un catalogue global ?
Le catalogue global :
• Héberge un jeu d’attributs partiel
pour d’autres domaines de la forêt
• Prend en charge les requêtes pour
des objets dans la forêt
Serveur de catalogue global
Schéma
Configuration
Domaine A
Domaine B
Domaine A
Configuration
Schéma
Domaine B
Configuration
Schéma
Domaine B
Configuration
Schéma
AD DS
16. Vue d’ensemble du contrôleur de domaine des
enregistrements SRV
• Les clients trouvent les contrôleurs de domaine par le
biais de la recherche DNS
• Les contrôleurs de domaine enregistrent
dynamiquement leurs adresses avec DNS
• Les résultats des requêtes DNS pour les contrôleurs de
domaine sont retournés dans cet ordre :
1. Une liste des contrôleurs de domaine du même site
que le client.
2. Une liste des contrôleurs de domaine dans le
prochain site le plus proche, si aucun n’est disponible
sur le même site.
3. Une liste aléatoire de contrôleurs de domaine sur
d’autres sites, si aucun contrôleur de domaine n’est
disponible sur le site le plus proche.
17. Démonstration : Affichage des enregistrements
SRV dans DNS
Dans cette démonstration, vous allez apprendre
comment utiliser le Gestionnaire DNS pour afficher
les enregistrements SRV
18. Processus de connexion AD DS
1. Le compte de l’utilisateur est
authentifié auprès du contrôleur de
domaine.
2. Le contrôleur de domaine renvoie
un TGT au client.
3. Le client utilise le TGT pour
demander l’accès au poste de
travail.
4. Le contrôleur de domaine accorde
l’accès à la station de travail.
5. Le client utilise le TGT pour
demander l’accès au serveur.
6. Le contrôleur de domaine rétablit
l’accès au serveur.
Contrôleur
de domaine
Serveur
Station de travail
19. Que sont les contrôleurs d’opérations ?
• Dans le modèle de réplication multimaître, certaines
opérations doivent être des opérations à maître unique
• De nombreux termes sont utilisés pour les opérations à
maître unique dans AD DS, notamment :
• Maître d’opérations (ou rôle maître d’opérations)
• Rôle de maître unique
• Opérations à maître unique flottant (FMSO)
Les cinq FSMO :
Forêt :
• Maître d’opérations des noms
de domaine
• Contrôleur de schéma
Domaine :
• Maître RID
• Maître d’infrastructure
• Maître d’émulateur de
contrôleur de domaine principal
20. Le transfert et la prise de rôles
• Le transfert est :
• Planifié
• Réalisé avec les dernières données
• Effectué grâce à des composants logiciels
enfichables Windows PowerShell ou ntdsutil.exe
• La prise de rôle est :
• Non planifiée et utilisée en dernier recours
• Faite avec des données incomplètes ou
obsolètes
• Effectuée grâce à Windows PowerShell ou
ntdsutil.exe
21. Leçon 3 : Déploiement d’un contrôleur de domaine
• Installation d’un contrôleur de domaine depuis le
Gestionnaire de serveur
• Installation d’un contrôleur de domaine sur une
installation minimale de Windows Server 2016
• Mise à niveau d’un contrôleur de domaine
• Installation d’un contrôleur de domaine en
l’installant depuis un support
• Clonage des contrôleurs de domaine
• Démonstration : Le clonage d’un contrôleur de
domaine
• Les bonnes pratiques pour la virtualisation des
contrôleurs de domaine
22. Installer un contrôleur de domaine depuis le
Gestionnaire de serveur
La section Configuration du déploiement de l’Assistant
Configuration des services de domaine Active Directory
23. Installer un contrôleur de domaine sur une
installation Server Core de Windows Server 2016
• Utilisation du Gestionnaire de serveur :
1. Installation du rôle AD DS.
2. Exécuter l’Assistant Configuration des services de
domaine Active Directory.
• Utilisation de Windows PowerShell :
1. Installez les fichiers en exécutant la commande
Install-WindowsFeature AD-Domain-Services.
2. Installer le rôle de contrôleur de domaine en exécutant la
commande Install-ADDSDomainController.
24. Mise à niveau d’un contrôleur de domaine
Options de mise à niveau d’AD DS pour Windows Server 2016 :
• Effectuer une mise à niveau sur place de Windows Server 2008 à
Windows Server 2016.
• Avantage : sauf pour les contrôles préalables, tous les fichiers et
programmes restent en place et aucun travail supplémentaire
n’est nécessaire
• Risque : Il peut laisser des fichiers obsolètes et des bibliothèques
de liaisons dynamiques (DLL)
• Introduire un nouveau serveur exécutant Windows Server 2016 dans
le domaine, puis le promouvoir afin qu’il soit contrôleur de domaine
(cette option est généralement préférée) :
• Avantage : le nouveau serveur n’a pas les fichiers et paramètres
obsolètes
• Risque : la migration des fichiers et des paramètres des
administrateurs peut demander un travail supplémentaire
25. Installer un contrôleur de domaine en installant des
médias
La section Installation à partir d’un support de la page
Options supplémentaires de l’Assistant de configuration
des services de domaine Active Directory
26. Cloner des contrôleurs de domaine
• Vous pouvez cloner des contrôleurs de domaine pour :
• Un déploiement rapide
• Les clouds privés
• Les stratégies de récupération
• Pour cloner un contrôleur de domaine source :
• Ajouter le contrôleur de domaine au groupe des
Contrôleurs de domaine clonables
• Vérifier la compatibilité des applications et des services
• Créer un fichier DCCloneConfig.xml
• Exporter une fois, puis créer autant de clones que
nécessaire
• Démarrer les clones
27. Cloner des contrôleurs de domaine
Démarrage
Non
Génération d’ordinateur virtuel
identifiant changé ?
Non
Oui
DCCloneConfig
existe ?
Renommer
DDCloneConfig
Normale
Démarrage
Redémarrer
DSRM
Oui
Protections de
virtualisation
déclenchées
DCCloneConfig
existe ?
Non Non
Normale
Démarrage
Dupliquer IP
Adresse ?
Oui
Redémarrer
DSRM
Clone
Oui
Réussi
Redémarrer
Échec
Redémarrer
DSRM
Non
Oui
Renommer
DDCloneConfig
Normale
Démarrage
Non
Oui
Oui
Ordinateur virtuel
identificateur de génération existe-t-il ?
28. Démonstration : Cloner un contrôleur de domaine
Dans cette démonstration, vous apprendrez à :
• Préparer un contrôleur de domaine source à cloner
• Exporter l’ordinateur virtuel source
• Créer et démarrer le contrôleur de domaine cloné
29. Meilleures pratiques pour la virtualisation du
contrôleur de domaine
• Éviter les points de défaillance uniques
• Utiliser les services de temps
• Utiliser la technologie de virtualisation avec la fonction d’identification
de génération d’ordinateur virtuel
• Utiliser Windows Server 2012 ou une version ultérieure en tant
qu’invités de virtualisation
• Éviter ou désactiver les points de contrôle
• Penser à améliorer la sécurité
• Envisager de tirer profit du clonage dans votre déploiement ou dans
votre stratégie de récupération
• Lancer au maximum 10 nouveaux clones en même temps
• Penser à utiliser les technologies de virtualisation qui permettent aux
ordinateurs virtuels invités de se déplacer entre les sites
• Ajuster votre stratégie de nommage pour autoriser les clones de
contrôleurs de domaine
30. Atelier pratique : Déploiement et administration
d’AD DS
• Exercice 1 : Déploiement d’AD DS
• Exercice 2 : Déploiement de contrôleurs de domaine
en procédant à un clonage du contrôleur de domaine
• Exercice 3 : Administration AD DS
Informations d’ouverture de session
Ordinateurs virtuels : 22742A-LON-DC1
22742A-LON-DC2
22742A-LON-SVR1
Nom d’utilisateur : AdatumAdministrator
Mot de passe : Pa$$w0rd
Durée approximative : 45 minutes
31. Scénario de l’atelier pratique
Vous êtes administrateur informatique à A. Datum
Corporation. La société étend ses activités et possède
plusieurs nouveaux emplacements. L’équipe
d’administration AD DS évalue actuellement les
méthodes disponibles dans Windows Server 2016
pour un déploiement rapide et à distance du
contrôleur de domaine. En outre, l’équipe cherche un
moyen d’automatiser certaines tâches administratives
AD DS. L’équipe veut un déploiement rapide et
transparent des nouveaux contrôleurs de domaine
pour les nouveaux emplacements et elle veut faire la
promotion de serveurs auprès de contrôleurs de
domaine à partir d’un emplacement central.
32. Contrôle des acquis et éléments à retenir
• Questions de contrôle des acquis
• Problèmes courants et conseils de résolution des
problèmes