ITIC Intégrer un contrôleur de domaine secondaire 2014

Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 1

Sommaire Introduction ............................................................................................................................................. 2

Vérifier les niveaux fonctionnels du domaine et de la forêt ................................................................... 2

Préparation de l’annuaire........................................................................................................................ 3

Installation du contrôleur supplémentaire ............................................................................................. 4

Vérification post-installation ................................................................................................................... 7

Conclusion ............................................................................................................................................... 9

ITIC Intégrer un contrôleur de domaine secondaire 2014

Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 2

Introduction

Nous allons voir à travers cet article l’intégration d’un contrôleur supplémentaire au sein d’un domaine Active

Directory. On parle en général d’un contrôleur secondaire cependant ceci est une fausse appellation car une

architecture Active Directory est multi-maître.

Dans le cadre de cet article, nous allons donc voir comment intégrer un contrôleur supplémentaire en version 2008

R2 dans un domaine existant géré par un 2003 R2. A noter cependant que cette procédure est applicable pour

toutes les versions Windows Server.

La réalisation est rapide et simple avec une implication limitée dans un milieu de productif. Il faut toutefois veiller à

disposer de sauvegardes fiables et en particulier concernant votre Active Directory.

Vérifier les niveaux fonctionnels du domaine et de la forêt

Nous allons vérifier le niveau fonctionnel du domaine et l’augmenter si nécessaire. Nous ferons de même avec le

niveau fonctionnel de la forêt. En vue de l’environnement dans lequel se réalise cet article, il faudra veiller à ce que

les niveaux fonctionnels soient compatibles avec l’intégration d’un serveur en 2008 R2. Pour obtenir des

informations complémentaires sur les niveaux fonctionnels Active Directory et pour connaitre sur quel niveau vous

devez vous placer dans votre environnement, nous vous invitons à vous rendre ici.

Il faut au moins être en mode natif 2000. Si votre serveur 2003 est le seul contrôleur de domaine de votre

infrastructure vous pouvez opter pour le niveau fonctionnel 2003. Ouvrez la mmc « Domaines et approbations

Active Directory » depuis « Démarrer » | « Outils d’administration ». Faire un clic droit sur [MONDOMAINE] et

choisir « Augmenter le niveau fonctionnel du domaine… ».

Dans notre exemple, le niveau fonctionnel est en Windows 2000 mixte et il faut donc l’augmenter en Windows 2000

natif ou en Windows 2003 pour permettre l’intégration du serveur 2008 R2. Nous choisissons le plus haut niveau

fonctionnel car nous ne disposons pas de serveur en 2000.

Nous allons vérifier ensuite le niveau fonctionnel de la forêt en cliquant droit sur la racine « Domaines et

approbations Active Directory » et sélectionner « Augmenter le niveau fonctionnel de la forêt… ». Le niveau

actuel est Windows 2000. Nous l’augmentons au niveau fonctionnel « Windows Server 2003 ».

ITIC Intégrer un contrôleur de domaine secondaire 2014

Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 3

Préparation de l’annuaire

Il faut maintenant préparer le domaine et la forêt de l’annuaire existant pour pouvoir intégrer le nouveau contrôleur

de domaine en version 2008 R2. La préparation est une simple mise à jour des schémas Active Directory entrainant

la création de nouveaux objets et attributs.

Pour cela, nous allons utiliser l’outil ADPREP fourni sur le support d’installation du Windows 2008 R2. Vous le

trouverez sur « D:\support\adprep » (D : est la lettre du lecteur DVD). Dans ce répertoire vous avez ADPREP.EXE

et ADPREP32.EXE, selon le type d’architecture de votre Windows 2003 R2 (s’il est en 32 bits, cas le plus fréquent,

nous utiliserons ADPREP32).

Lancez donc un invite de commande et rendez-vous dans le répertoire « d:\support\adprep » et exécutez la

commande « adprep32 /forestprep » pour la préparation de la forêt. Une fois l’opération terminée nous allons

faire de même avec la commande « adprep32 /domainprep » pour la préparation du domaine.

ITIC Intégrer un contrôleur de domaine secondaire 2014

Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 4

Sur le serveur 2008, nous allons en premier lieu configurer les paramètres TCP/IP afin qu’il puisse en tout

logique communiquer avec le contrôleur de domaine. Nous allons surtout veiller à ce que ce dernier soit bien

référencer en tant que serveur DNS primaire. Lancer donc la commande « ncpa.cpl » depuis « Démarrer » |

« Exécuter » pour ouvrir « connexion réseau ». Accéder ensuite aux propriétés de la carte réseau et vérifier en

particulier que le DNS primaire est l’adresse IP du contrôleur de domaine existant ( le serveur Windows 2003 est

en 192.168.102.150 dans l’exemple ci-dessous).

Installation du contrôleur supplémentaire Nous allons maintenant installer le rôle « services de domaine Active Directory » ce qui nous permettra de

disposer de l’outil DCDIAG. Ouvrez « Gestionnaire de serveur » et choisissez « Ajouter des rôles ». Nous

sélectionnons « Services de domaine Active Directory », l’assistant signale qu’il faudra installer des

fonctionnalités requises (en l’occurrence le .NET Framework 3.5). Nous faisons « Suivant » et ensuite « Installer

».

Une fois le rôle installé, nous allons tester l’incorporation du serveur 2008 en tant que contrôleur de domaine

supplémentaire à l’aide de la commande « dcdiag /test:dcpromo /dnsdomain:domaine.local /replicadc »

(domaine.local est le domaine DNS géré par notre annuaire Active Directory) de puis l’invite de commande afin

de vérifier qu’il n’y a pas d’obstacle à la promotion de ce serveur.

ITIC Intégrer un contrôleur de domaine secondaire 2014

Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 5

Exécutons désormais « dcpromo » à partir de « Exécuter ». Nous laissons par défaut « Utiliser l’installation en

mode avancé ». Il faut ensuite choisir d’intégrer le nouveau contrôleur dans une forêt existante. Nous indiquons

à l’étape suivante le nom du domaine Active Directory et précisons le compte disposant des privilèges

nécessaires pour réaliser cette installation (nous avons choisi le compte administrateur du domaine).

L’assistant nous signale que n’ayant pas préparé l’annuaire avec l’option « /rodcprep », il ne nous sera pas

possible d’intégrer un contrôleur en lecture seule (nouvelle fonctionnalité disponible depuis les versions 2008).

ITIC Intégrer un contrôleur de domaine secondaire 2014

Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 6

Nous spécifions le site sur lequel sera hébergé le contrôleur de domaine. Nous sélectionnons ensuite les options

« Serveur DNS » et « Catalogue global ». Un autre avertissement apparaît concernant un problème de

délégation avec la zone parente (.local) ce qui est logique car la zone parente .local est fictive. La zone DNS se

répliquera sans problème dès lors qu’elle est intégrée à Active Directory.

L’assistant vous laisse la possibilité de choisir la provenance des données Active Directory existantes à répliquer.

Soit directement par le biais du réseau en contactant le contrôleur de domaine existant, soit à partir d’une

sauvegarde. Ceci peut être intéressant lorsque vous devrez ajouter un contrôleur supplémentaire à travers une

liaison lente. Nous choisissons de le faire à partir du réseau.

ITIC Intégrer un contrôleur de domaine secondaire 2014

Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 7

Suite à la sélection précédente, nous devons choisir le contrôleur à contacter. Ensuite nous définissons la

location des fichiers liés à l’annuaire (il serait judicieux de suivre les recommandations de Microsoft et de séparer

la base de données des fichiers journaux). A l’étape suivante, vous allez devoir rentrer un mot de passe de

restauration. Celui-ci sera utiliser en cas de nécessité pour pouvoir démarrer le serveur en mode restauration

Active Directory. Enfin, il vous est possible d’exporter cette configuration sous forme de fichier de réponses qui

pourrait être utilisé pour d’autres promotion Active Directory (pour la promotion d'un RODC par exemple où il faut

obligatoirement un fichier de réponses).

Une fois redémarré, le serveur est désormais promu en tant que contrôleur de domaine

Vérification post-installation Lancer la commande « repadmin /syncall » depuis le 2008 pour forcer une réplication et « repadmin /showrepl

» pour vérifier si la réplication fonctionne correctement.

ITIC Intégrer un contrôleur de domaine secondaire 2014

Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 8

Vous pouvez également vérifier que les informations DNS ont bien été répliquées depuis le gestionnaire DNS sur

le serveur 2008.

Vous avez aussi la possibilité d'utiliser la commande DCDIAG depuis l’invite de commande pour vérifier l’état santé

général du contrôleur ou utiliser l’option /test pour effectuer des tests spécifiques (dcdiag /? fera apparaitre tous les

tests à disposition).

Enfin, vous disposez également d’un outil graphique qui a l’avantage d’être très explicite sur le bon fonctionnement

de votre contrôleur qui est replmon. Malheureusement, cet outil a disparu avec les versions 2008 donc si vous

voulez l'utiliser, il faudra passer par le 2003. L'outil est fourni avec les supports tools (téléchargeable ici). Une fois

ce dernier installé, il faut se rendre dans le répertoire « C:\Program Files\Support Tools » et lancer « replmon.exe

». Il vous suffira d’ajouter le nouveau contrôleur de domaine dans le monitoring en cliquant droit sur « Monitored

Servers » et en sélectionnant « Add Monitored Server… ». Ajouter ensuite le serveur soit explicitement soit à

l’aide d’une recherche depuis l’annuaire. Une fois le serveur ajouté, vous obtenez toutes une liste d’actions pour

vérifier l’état du contrôleur de domaine. Nous pouvons voir, par exemple, depuis l’onglet « Server Flags »

accessible depuis « Propriétés », la liste des services relatifs à Active Directory et leur état.

ITIC Intégrer un contrôleur de domaine secondaire 2014

Tayeb Bendjelti version du document : v1.0 Formateur en Informatique Page 9

Pensez également à modifier les paramètres de la carte réseau du 2008 en ajoutant en DNS primaire la boucle

local (127.0.0.1) et en DNS secondaire le serveur 2003. Il serait également intéressant de rajouter le 2008 en

DNS secondaire sur le 2003 ainsi que sur l'ensemble de votre parc

Conclusion

Vous avez donc tout en main pour pouvoir intégrer des contrôleurs supplémentaires et vérifier que tout est

opérationnel. Nous soulignons cependant que l'architecture Active Directory étant multi-maîtres aucun contrôleur

sera réellement prioritaire par rapport à ses pairs dans ce type de configuration hormis pour des opérations

spécifiques.

Maintenant que vous disposez de deux contrôleurs de domaine, vous serez sans doute intéresser par l'article Gérer

la charge de vos contrôleurs de domaine.