Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

Déployer un contrôleur de domaine

Introduction

Active Directory, nous l’avons vu depuis le début de cet ouvrage, est un service d’annuaire centralisant un certain nombre de ressources de types différents. Ce principe de base induit d’autres principes, comme la gestion de l’accès à ces ressources. Par là, nous entendons, entre autres, les mécanismes d’authentification et de permission visant à réguler les processus d’accès aux différentes ressources. Et cela constitue une question majeure, car si les principes de gestion des ressources gérées par un annuaire comme Active Directory ne sont pas clairement posés, alors des problèmes liés à la sécurité émergeront inévitablement remettant en cause le fonctionnement même du service d’annuaire.

Pour préserver ce qui participe au fondement d’un service d’annuaire globalement distribué tel que l’est Active Directory, ces questions doivent être pensées de façon à ce que toutes les ressources d’une infrastructure donnée puissent être accessibles de manière sécurisée. Dans l’écosystème d’un service d’annuaire Active Directory, la notion de contrôleur de domaine est centrale, puisque c’est lui qui réalise l’ensemble...

Qu’est-ce qu’un contrôleur de domaine Active Directory ?

Le concept de contrôleur de domaine Active Directory recouvre une catégorie de serveur dont le rôle au sein d’un domaine Active Directory est essentiel. En effet, un contrôleur de domaine permet de gérer l’authentification des ressources d’un domaine. Ce peuvent être par exemple des utilisateurs ou ordinateurs. Ainsi un contrôleur de domaine Active Directory permet l’accès aux ressources sur la base de permissions très strictes.

Pour que tous les clients et serveurs puissent disposer du service de résolution DNS, un contrôleur de domaine peut aussi jouer le rôle de serveur DNS, surtout dans de petites infrastructures. Le rôle de serveur DNS est donc souvent celui que prend un contrôleur de domaine Active Directory. Il se trouve que, à la différence des contrôleurs de domaine Windows NT, les contrôleurs de domaine Active Directory sont localisés à partir du service DNS, qui est un système de résolution de noms dont le rôle est essentiel dans l’économie du fonctionnement de l’Active Directory.  

La promotion d’un contrôleur de domaine Active Directory suppose l’installation des services Active Directory Domain Services, ou AD DS. Sans l’installation des services AD DS...

Installer un contrôleur de domaine Active Directory

L’opération qui consiste à déployer un contrôleur de domaine Active Directory est une démarche que tout administrateur de cette technologie doit connaître. En effet, tout domaine Active Directory contient au moins un contrôleur de domaine. Donc, la question du déploiement d’un contrôleur de domaine Active Directory est une problématique inévitable. Partant de là, la perspective de l’automatisation de ce genre d’opérations peut être posée de manière tout à fait légitime.

Installer un contrôleur de domaine Active Directory en passant par la méthode classique, qui n’est autre qu’une succession d’interfaces graphiques, ne pose à la limite pas de problèmes car cela ne relève pas d’opérations quotidiennes. Un administrateur Active Directory doit par contre gérer quotidiennement des problèmes liés à la gestion des utilisateurs, des mots de passe et autres créations de groupes pour ne citer que ces tâches récurrentes.

Cependant, déployer un contrôleur de domaine Active Directory fait aussi partie de leurs fonctions, et si Windows PowerShell peut apporter l’avantage de l’automatisation de ce type de déploiement, alors il serait dommage...

Encapsuler dcpromo dans une fonction

Nous l’avons compris, dcpromo est un outil très puissant, et l’articulation avec Windows PowerShell est sans conteste extrêmement productive. Dans cette section, nous allons intégrer la commande dcpromo à l’intérieur d’une fonction Windows PowerShell de façon à pouvoir profiter des avantages de l’une et de l’autre technologie. Voici la fonction hébergeant l’outil dcpromo :

function New-ADDomainController (1) 
{ 
 
    [CmdletBinding()] (3) 
 
 
    Param (2) 
    (         
        [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true)] 
        $UserName, 
        [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true)] 
        $UserDomain, 
[Parameter(Mandatory=$true)] 
        $Password, 
        [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true)] 
        $ReplicaOrNewDomain, 
        [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true)] 
        $ReplicaDomainDNSName, 
        [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true)] 
        $DatabasePath, 
        [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true)] 
        $LogPath, 
        [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true)] 
        $SYSVOLPath, 
        [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true)] 
        $InstallDNS, 
        [Parameter(Mandatory=$true,ValueFromPipelineByPropertyName=$true)] 
        $ConfirmGC, 
 
[Parameter(Mandatory=$true)] 
       ...

Vérifier que l’installation s’est bien passée

Après le redémarrage du contrôleur de domaine SLC-DC02, il est fondamental de vérifier que le processus d’installation a correctement fonctionné. Évidemment, plusieurs moyens s’offrent à nous, mais il convient ici de rechercher un moyen se basant sur Windows PowerShell. La commande Get-ADDomainController constitue un excellent moyen de vérifier le bon fonctionnement de l’opération de déploiement. 

1. La cmdlet Get-ADDomainController

Get-ADDomainController permet de lister un ou des contrôleurs de domaine Active Directory sur la base de certains critères comme une adresse IPv4 ou IPv6, un nom DNS et même un identifiant globalement unique (GUID). La commande Get-ADDomainController est extrêmement efficace lorsqu’il s’agit d’investiguer quelque peu au sujet d’un ou de plusieurs contrôleurs de domaine. La liste des paramètres ci-dessous énumère les plus importants.

Le paramètre -Filter

Ce paramètre spécifie un filtre permettant la récupération d’objets Active Directory. Ici, il s’agit d’un ou de plusieurs contrôleurs de domaine.

Le paramètre -Identity

Ce paramètre spécifie un objet contrôleur de domaine. Cependant, plusieurs valeurs peuvent être assignées à ce paramètre (adresse IPv4 ou IPv6, GUID, nom d’hôte DNS, etc.).

Le paramètre -Server

Indique l’instance des services de domaine Active Directory à partir de laquelle une connexion aura lieu.

Le paramètre -Discover

Ce paramètre liste le ou les contrôleurs de domaine Active Directory à partir de critères spécifiés à l’aide d’autres paramètres. Il s’agit d’un mécanisme de découverte.

Le paramètre -Credential

Spécifie les informations d’identification du compte utilisateur effectuant une requête. Par défaut, une requête est réalisée sur la base du compte utilisé pour l’exécuter.

Le paramètre -DomainName

Indique le nom du domaine où une recherche doit être effectuée. Ressemble au paramètre -Server, mais...