Вы находитесь на странице: 1из 22

w2k_DNS_AD (priv).

doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Reproduction et utilisation interdites sans laccord de lauteur

Support de formation
Configuration
Windows 2000 Server
DNS Active Directory

Avertissement
Ce support nest ni un manuel dutilisation
(pour cela, consultez la documentation jointe votre logiciel ou micro),
ni un outil dauto-formation.
Ce support est un complment vos notes personnelles
pour les formations sur la gestion et maintenance micro-informatique.

Modification et utilisation interdites sans laccord de lauteur de ce support.

Lauteur de ce support sur le web : http://www.e-wsc.com


Vous y trouverez des mises jour, de nouveaux supports

Sources diverses sur internet et louvrage Microsoft Windows 2000 Server au quotidien
Expert dition Microsoft Press

Nom du stagiaire :
William Saint-Cricq

Page 1 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 2 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

2.b
Matre RID Emulateur PDC Matre dinfrastructure .............................................................. 36
2.c
Matre de schma ...................................................................................................................... 36
2.c.1 Installation des outils dadministration supplmentaires de Windows 2000 ............................. 36
2.c.2 Cration dune nouvelle console de management (MMC) ....................................................... 38
2.c.3 Connatre quel serveur joue le rle de matre de schma ....................................................... 40
2.d
Serveur de catalogue global ...................................................................................................... 41

Sommaire
!

INTRODUCTION ............................................................................................................5

ACTIVE DIRECTORY ....................................................................................................5

1.

Terminologie et concepts dActive Directory..................................................................................... 6


1.a
Espace de noms et rsolution de noms ....................................................................................... 6
1.b
Attribut ......................................................................................................................................... 6
1.c
Objet............................................................................................................................................ 6
1.d
ID dobjet ..................................................................................................................................... 7
1.e
Conteneur.................................................................................................................................... 7
1.f
Arborescence et fort .................................................................................................................. 7
1.g
Nom distingu.............................................................................................................................. 8
1.h
Schma ....................................................................................................................................... 8

2.

Architecture dActive Directory........................................................................................................... 8


2.a
DSA (Directory System Agent) .................................................................................................... 8
2.b
Formats de noms......................................................................................................................... 8
2.c
Catalogue global.......................................................................................................................... 9

3.

En rsum............................................................................................................................................. 9

SERVEUR DNS ET WINDOWS 2000 SERVER..........................................................10

1.

Planification des zones DNS ............................................................................................................. 10


1.a
Zone de recherche directe ......................................................................................................... 10
1.b
Zone de recherche inverse ...................................................................................................... 10
1.c
Mise jour dynamique DNS ...................................................................................................... 11

ROLE DES CONTROLEURS DE DOMAINE ..............................................................12

1.

Matres dopration ............................................................................................................................ 12


1.a
Matre de schma ...................................................................................................................... 12
1.b
Matre de dnomination de domaine.......................................................................................... 13
1.c
Matre RID (Relative IDentifier).................................................................................................. 14
1.d
Matre de linfrastructure ............................................................................................................ 14
1.e
Emulateur de PDC..................................................................................................................... 16

2.

Serveur de catalogue global.............................................................................................................. 17

INSTALLATION DUN SERVEUR DNS SOUS WINDOWS 2000 ..............................18

1.

Configuration du serveur DNS par lassistant ................................................................................. 21

2.

Configuration manuelle du serveur DNS.......................................................................................... 29

DESINSTALLATION DACTIVE DIRECTORY............................................................42

QUELQUES LIENS INTERNET...................................................................................43

! INSTALLATION DACTIVE DIRECTORY : MISE EN PLACE DU PREMIER


CONTROLEUR DE DOMAINE 2000 ..................................................................................30
1.

Promotion du premier serveur .......................................................................................................... 30

2.

Pratique : Identification des rles des serveurs .............................................................................. 35


2.a
Matre de dnomination de domaine.......................................................................................... 35

William Saint-Cricq

Page 3 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 4 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Linterface ADSI (Active Directory Services Interface) permet aux dveloppeurs de crer
des applications pouvant accder aux annuaires, donnant ainsi aux utilisateurs un point
daccs unique vers de multiples annuaires.

! Introduction
Ce support fait suite au support traitant de linstallation de Windows 2000 serveur.

! Active Directory
Dans un environnement Windows NT, lutilisateur ouvre une session sur le domaine avec
un nom (login) et un mot de passe. Cet utilisateur peut ouvrir le voisinage rseau, puis
explorer les ressources partages.
Ceci se droule trs bien tant que le rseau garde la mme envergure.
Supposons que lentreprise ajoute une messagerie lectronique au rseau et que cet
utilisateur soit dot dune autre identit pour sa boite lectronique. Les autres services, les
bases de donnes et les outils dadministration, dont chacun identifie cet utilisateur dune
faon spcifique, doivent tre accessibles par cet utilisateur.
Imaginons que cet utilisateur ne soit quun utilisateur parmi des centaines dautres. Il y a l
une source potentielle derreurs trs difficiles rsoudre.
Lorsque le nombre dobjets du rseau atteint un certain seuil, il devient indispensable de
disposer de services dannuaire, cest--dire dun emplacement centralis contenant
toutes les donnes requises par ladministration de lensemble du systme informatique.
Un service dannuaire diffre dun simple rpertoire : il contient des donnes, des services
permettant aux utilisateurs daccder ces donnes.
Il est la fois un outil dadministration et un outil pour lutilisateur final. Il doit satisfaire aux
besoins suivants :
Accs tous les serveurs, toutes les applications et toutes les ressources par le
biais dune ouverture de session unique.
Rplication multi matre. Toutes les donnes sont distribues sur lensemble du
systme informatique et rpliques sur plusieurs serveurs.
Recherches de type pages blanches . Pour faire, par exemple, une recherche
partir dun nom ou dun type de fichier.
Recherches de type pages jaunes . Pour faire, par exemple, une recherche de
toutes les imprimantes du service administratif ou tous les serveurs du site de
Tarbes.
Suppression de la dpendance vis--vis des emplacements physiques, des fins
dadministration de lannuaire, partiellement ou compltement.
Microsoft emploie parfois le terme service dannuaire dans le contexte de Windows
NT, mais Windows NT noffre pas de vritables services dannuaire hirarchiques.
Sous Windows NT, les fonctionnalits dannuaire sont assures par plusieurs services :
Le service DNS (Domain Name System) qui traduit les noms de machines en
adresse IP.
Le service WINS (Windows Internet Naming Service) qui sert rsoudre les noms
NetBIOS.
Sous Windows 2000 serveur, Active Directory remplace les services parpills de
Windows NT par un service unifi qui regroupe DNS, DHCP, LDAP (*) (Lightweigh
Directory Access Protocol) et Kerberos.

Active Directory permet dadministrer, depuis un mme emplacement, toutes les


ressources publies comme les fichiers, priphriques, connexions dhte, bases de
donnes, accs web, utilisateurs, services,
Active Directory utilise le protocole DNS comme service de localisation et range les objets
des domaines dans une hirarchie dunits organisationnelles. AD permet de regrouper
plusieurs domaines au sein dune arborescence.
1.

1.a

Terminologie et concepts dActive Directory

Espace de noms et rsolution de noms

Chaque annuaire est un espace de noms : une aire bien dlimit permettant de rsoudre
un nom.
Ex : un programme de tlvision, dans lequel le nom dune chane est associ un
numro de canal ; un systme de fichiers dun ordinateur, dans lequel le nom de fichier est
associ au fichier lui-mme ; un programme tlphonique, dans lequel le numro de poste
tlphonique est associ lemplacement dans lauto-com.
Active Directory forme un espace de noms dans lequel le nom dun objet de lannuaire
permet daccder lobjet lui-mme. La rsolution de noms est le processus consistant
traduire un nom en un certain objet associ ce nom.
1.b

Attribut

Un attribut est un lment de donnes qui dcrit un certain aspect dun objet. Un attribut
se compose dun type et dune ou plusieurs valeurs.
Ex : un numro de tlphone ; type numrique ou alphanumrique, exemple de valeur
056200010203.
1.c

Objet

Un objet est un ensemble particulier dattributs qui reprsente quelque chose de concret,
par exemple un utilisateur, une imprimante ou une application. Les attributs contiennent
des donnes qui dcrivent lentit identifie par lobjet de lannuaire.
Les attributs dun utilisateur sont, par exemple, le nom, le prnom, ladresse de
messagerie,
La classification de lobjet indique quels sont les types dattributs utiliss. Par exemple : les
objets classifis comme utilisateur permettent demployer des types dobjet du genre
nom de famille , numro de tlphone et adresse de messagerie , alors que la
classe dobjets entreprise permet demployer des types du genre nom de la socit
et secteur dactivit . Un attribut peut prendre une ou plusieurs valeurs, selon son type.

(*) LDAP est le protocole d'annuaire standard et extensible sur TCP/IP.

William Saint-Cricq

Page 5 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 6 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

1.d

re

dition Avril 2002

Windows 2000 Server Config AD DNS

ID dobjet

1.g

Chaque objet dans Active Directory possde une identit qui lui est propre. Un objet peut
tre dplac ou renomm, mais son identit reste inchange.
Lidentit dun objet, qui sert son rfrencement interne dans AD, sappelle GUID
(Globaly Unique IDentifier). Le GUID est assign par le DSA (Directory System Agent) lors
de la cration de lobjet. Lattribut objectGUID ne peut tre ni modifi, ni supprim.
1.e

Conteneur

Le conteneur ressemble un objet en ce sens quil a des attributs et quil fait partie de
lespace de noms dActive Directory. Toutefois, contrairement un objet, il ne correspond
rien de concret : cest juste une enveloppe qui renferme des objets et dautres
conteneurs.
1.f

w2k_DNS_AD (priv).doc

Arborescence et fort

Larborescence dans Active Directory est une hirarchie dobjets et de conteneurs qui
indique les relations entre les objets (chemins par lesquels on passe dun objet un
autre).
Une arborescence est un espace de noms connexe dans lequel chaque nom est
descendant direct dun nom racine unique.
Exemple darborescence (arbre constitu de branches) :

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Nom distingu

Dans Active Directory chaque objet a un nom distingu (diffrenci). Ce nom identifie le
domaine contenant lobjet, ainsi que le chemin complet afin datteindre celui-ci travers la
hirarchie des conteneurs.
Exemple :
CN= Jean BON, OU= Cuisine, DC=Spam, DC=COM
Ce nom indique que lutilisateur Jean BON appartient lunit organisationnelle
Cuisine qui elle-mme appartient au domaine spam.com.
CN : Common Name
OU : Organizational Unit
DC : Domain Controller
1.h

Schma

Le terme schma est frquemment employ dans un contexte de bases de donnes.


Dans Active Directory, le schma est tout ce qui constitue lannuaire Active Directory : les
objets, les attributs, les conteneurs,
Le schma par dfaut dAD dfinit les classes dobjets les plus courantes : utilisateurs,
groupes, ordinateurs, units organisationnelles, stratgies de scurit et domaines.
Ce schma peut tre modifi par des applications qui ajoutent de nouveaux attributs et de
nouvelles classes.
2.

Architecture dActive Directory

2.a

DSA (Directory System Agent)

e-wsc.com

fr.e-wsc.com

tarbes.fr.e-wsc.com

pau.fr.e -wsc.com

usa.e-wsc.com

dev.usa.e-wsc.com

fina nce.usa.e -wsc.com

DSA est le processus permettant daccder au magasin physique des donnes de


lannuaire situ sur le disque dur.
2.b

Formats de noms

RFC 822 :
beta.tarbes.fr.e-wsc.com

format des utilisateurs de messagerie internet.


Ex : jeanBon@e-wsc.com.

URL HTTP : format des utilisateurs dexplorateurs web.


Ex : http://domaine/chemin_vers_page

Une fort est constitue d'une ou plusieurs arborescences ne formant pas d'espace de
noms contigu.

William Saint-Cricq

Page 7 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 8 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

LDAP :

re

dition Avril 2002

Windows 2000 Server Config AD DNS

plus complexe que les noms internet mais gnralement masqu dans les
applications. Les noms LDAP emploient la convention de dnomination
unique de X.500.
Exemple dURL LDAP :
ldap://AServer.e-wsc.com/CN=jeanbon,OU=Cuisine,OU=Production,
O=Spam,C=FR

X.500 : Norme du CCITT rpertoire des utilisateurs de systmes X.400.


X.400 : Protocole standard du CCITT pour un systme global d'change de courrier Electronique (e-mail).
CCITT : Comit Consultatif International de Tlgraphie et de Tlphonie. Ce groupement dfinit les normes de communications
l'chelle mondiale. La plupart de leurs recommandations concernent les modems et les fax de la srie V (V.21, V.32, V.32bis ...)

UNC :

2.c

Le format Universal Naming Convention, utilis sur les rseaux Windows NT


et 2000, permet de dsigner des volumes, des imprimantes et des fichiers
partags.
Ex : \\e-wsc.com\production.cuisine.voume\DocsPublisher\recette001.pub
Catalogue global

La catalogue global permet aux utilisateurs et aux applications de trouver un objet dans
une arborescence de domaine Active Directory partir dun ou plusieurs attributs de cet
objet.
3.

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

! Serveur DNS et Windows 2000 Server


Windows 2000 serveur sappuie sur le standard de rsolution des noms DNS (Domain
Name System) pour son espace de nom de domaine.
Votre domaine Windows 2000 pourra tre du style e-wsc.com.
Il est donc indispensable dutiliser le service DNS dans un rseau avec des domaines
Windows 2000.
Avant la promotion dun serveur membre ou autonome en contrleur de domaine
(installation dActive Directory), vous devez obligatoirement disposer dun serveur DNS.
1.

Planification des zones DNS

Pour dterminer la structure de lespace de noms il faut prendre en compte les points
suivants :
Doit-on dlguer la structure dune partie de lespace de noms de lorganisation
un autre emplacement de lentreprise ?
Doit-on diviser une zone afin de rpartir le trafic ou crer une tolrance de panne ?
Doit-on tendre lespace de noms afin de prvoir lajout de site ou de dpartement
au sein de lentreprise ?
Il existe deux zones de recherche :
Directe.
Inverse.

En rsum

Active Directory est un outil extrmement puissant et, comme tout outil trs puissant, il
peut faire des dgts si lon sen sert mal.
AD est une base dannuaire qui regroupe tous les objets rseaux.

1.a

Zone de recherche directe

A la configuration du serveur DNS, vous avez le choix entre trois types de zones :
Principale standard : copie principale de la base de donnes de zone (cest un
fichier texte stock sur %systemroot%\system32\dns).
Secondaire standard : copie de la zone principale standard. Copie en lecture seule.
Permet une tolrance de panne vis--vis de la zone principale.
Intgre Active Directory : fichier de zone stock dans la base dannuaire Active
Directory.
Il est possible tout moment de changer le type de zone.
1.b

Zone de recherche inverse

Cette zone permet deffectuer la recherche inverse dun ordinateur dont on dispose
uniquement de son adresse IP et dont on veut obtenir son nom.
Ex : la commande NSLOOKUP @ip permet dobtenir le nom de la machine qui possde
comme adresse ip @ip.

William Saint-Cricq

Page 9 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 10 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

1.c

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

! Rle des contrleurs de domaine

Mise jour dynamique DNS

La mise jour dynamique prise en charge par le service DNS de Windows 2000 server
permet de renseigner automatiquement les fichiers de zones.
Ceci permet de rduire le travail de maintenance de ladministrateur.

1.

Matres dopration

Dans un domaine Windows 2000, tous les contrleurs de domaine sont identiques . La
base dannuaire est duplique et distribue sur chaque contrleur. On parlera de
rplication multi matre.
Nanmoins certains contrleurs de domaine jouent des rles spcifiques de matre
dopration (FSMO Flexible Single Master Operation). Certains rles sont critiques pour le
rseau.
1.a

Matre de schma

Le matre de schma supervise toutes les modifications apportes au schma. Il ne peut y


avoir quun seul matre de schma dans toute la fort.
Le premier contrleur de domaine (le premier serveur install) prend le rle de matre de
schma.
Les modifications du schma tant assez rare, une panne durable du matre de schma
ne gne pas les utilisateurs.
Pour transfrer le rle de matre de schma dun serveur un autre :
Outil dadministration, Schma Active Directory
Clic droit, Changer de contrleur de domaine
Slectionnez le contrleur qui prendra le rle de matre de schma. Vous accdez
sa base.
Clic droit, Matre dopration.
Cliquez sur Modifier, puis Ok

William Saint-Cricq

Page 11 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 12 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Si le matre de schma est HS et quil ny a aucun espoir de le rparer, vous avez la


possibilit de faire une capture du rle de matre de schma :
Dmarrer / Excuter, tapez la commande NTDSUTIL
A chaque invite, tapez les donnes suivantes (en police courrier) :
o ntdsutil roles
o fsmo maintenance connections
o server connections connect to server suivi_du_nom_domaine_complet(*) du
serveur devant matre de schma

o server connections quit


o fsmo maintenance seize schema master
o ntdsutil quit
(*) nom de domaine complet
Nom de domaine DNS qui a t dclar sans ambigut afin d'indiquer une certitude absolue quant son emplacement dans
l'arborescence de l'espace de nom de domaine. Les noms de domaines pleinement qualifis (FQDN, fully qualified domain
name - nom de domaine pleinement qualifi) diffrent des noms relatifs car ils sont indiqus avec un point en fin de chane (.),
par exemple, hte.exemple.microsoft.com , pour indiquer leur position la racine de l'espace de noms..

1.b

Matre de dnomination de domaine

Le matre de dnomination de domaine est unique et est cr dans le premier domaine et


y reste toujours. Sil vient tre indisponible, cela devient gnant lorsquon a besoin de
crer un nouveau domaine. Ne transfrer ce rle uniquement si ce contrleur doit tre
retir dfinitivement du rseau.
Pour transfrer le rle de matre de dnomination de domaine dun serveur un autre :
Outil dadministration, Domaines et approbation Active Directory.
Clic droit, Se connecter au contrleur de domaine.
Slectionnez le contrleur qui doit devenir le matre de dnomination de domaine.
Clic droit, Matre dopration. La bote de dialogue affiche le contrleur qui
deviendra matre de dnomination de domaine ainsi que le matre dopration
actuel.
Cliquez sur modifier, puis ok
Si le matre de dnomination de domaine est HS et quil ny a aucun espoir de le rparer,
vous avez la possibilit de faire une capture du rle de matre de dnomination de
domaine :
Dmarrer / Excuter, tapez la commande NTDSUTIL
A chaque invite, tapez les donnes suivantes (en police courrier) :
o ntdsutil roles
o fsmo maintenance connections
o server connections connect to server suivi_du_nom_domaine_complet du
serveur devant matre de dnomination

o server connections quit


o fsmo maintenance seize domain naming master
o ntdsutil quit

William Saint-Cricq

Page 13 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

1.c

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Matre RID (Relative IDentifier)

Le matre RID alloue les ID relatifs chaque contrleur de domaine.


Quand un contrleur cre un objet de scurit (utilisateur, groupe, compte dordinateur), le
matre RID lui affecte un SID (Security IDentifier) unique. Le SID est compos de 2
parties : lID de scurit du domaine (ID commun tous les objets de scurit du
domaine) et lID relatif unique chaque objet.
Si le matre RID vient tre indisponible, cela ne gne ni les utilisateurs, ni les
administrateurs sauf sils crent des objets de scurit et que le domaine est cours dID
relatifs (au domaine).
Ne transfrer ce rle uniquement si ce contrleur doit tre retir dfinitivement du rseau.
Pour transfrer le rle de matre RID dun serveur un autre :
Outil dadministration, Utilisateurs et ordinateurs Active Directory.
Clic droit, Se connecter au contrleur de domaine.
Slectionnez le contrleur qui doit devenir le matre RID.
Clic droit, Matre dopration. Longlet RID de la bote de dialogue affiche le
contrleur qui deviendra matre RID ainsi que le matre dopration actuel.
Cliquez sur modifier, puis ok
Si le matre RID est HS et quil ny a aucun espoir de le rparer, vous avez la possibilit de
faire une capture du rle de matre RID :
Dmarrer / Excuter, tapez la commande NTDSUTIL
A chaque invite, tapez les donnes suivantes (en police courrier) :
o ntdsutil roles
o fsmo maintenance connections
o server connections connect to server suivi_du_nom_domaine_complet du
serveur devant matre RID

o server connections quit


o fsmo maintenance seize RID master
o ntdsutil quit

1.d

Matre de linfrastructure

Le matre dinfrastructure est charg de suivre les modifications des appartenances aux
groupes et de les ventiler vers les autres domaines. Il existe un seul matre dinfrastructure
par domaine.
Si le matre dinfrastructure est indisponible, cela ne touche pas les utilisateurs. Les
administrateurs ne remarqueront pas son absence tant que les autres contrleurs de
domaine ne reflteront pas un certain nombre de modifications concernant les comptes
utilisateurs.

William Saint-Cricq

Page 14 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Ne transfrer ce rle uniquement si ce contrleur doit tre retir dfinitivement du rseau.


1.e
Lemplacement du matre dinfrastructure ne doit pas tre le contrleur qui hberge le
catalogue global (*) sauf lorsque le domaine na quun seul contrleur. En effet, le matre
dinfrastructure consulte le catalogue global pour savoir sil faut distribuer les modifications
aux autres domaines, et sactualise lui-mme en utilisant le catalogue global. Si le
contrleur supportant le catalogue global est aussi matre dinfrastructure, il ne trouvera
jamais de donnes non actualises et donc ne rpliquera rien vers les autres domaines.
(*) Catalogue global
Contrleur de domaine qui contient un rplica partiel de chaque domaine dans Active Directory. Cela signifie qu'un catalogue global
contient un rplica de chaque objet dans Active Directory, mais avec un nombre limit d'attributs pour chaque objet. Le catalogue global
stocke les attributs les plus frquemment utiliss dans les oprations de recherche (par exemple le nom et le prnom d'un utilisateur) et
les attributs ncessaires la recherche d'un rplica complet de l'objet.Le systme de rplication Active Directory cre automatiquement
le catalogue global. Les attributs rpliqus dans le catalogue global comprennent un ensemble de base dfini par Microsoft. Les
administrateurs peuvent indiquer des proprits supplmentaires pour rpondre aux besoins de leur installation. Voir aussi rplication.

Emulateur de PDC

Lmulateur PDC joue le rle de contrleur principal de domaine Windows NT. Ceci est
indispensable lorsquil y a des contrleurs secondaires Windows NT ou des clients
dpourvus de logiciel client Windows 2000.
Lmulateur PDC gre les protocoles Kerberos (1) et NTLM (NT Lan Manager) permettant
ainsi aux contrleurs Windows NT de se synchroniser avec un rseau Windows 2000
fonctionnant en mode mixte.
(1) Kerberos
Kerberos est un service distribu d'authentification qui permet un procd (un client) prouver son identit un vrificateur (un
serveur d'application, ou serveur simplement) sans envoyer des donnes travers le rseau qui pourrait permettre un agresseur les
imiter postrieurement.
Kerberos fournit intgrit et confidentialit pour des donnes envoyes entre le client et serveur.

Pour transfrer le rle de matre dinfrastructure dun serveur un autre :


Outil dadministration, Utilisateurs et ordinateurs Active Directory.
Clic droit, Se connecter au contrleur de domaine.
Slectionnez le contrleur qui doit devenir le matre dinfrastructure.
Clic droit, Matre dopration. Longlet Infrastructure de la bote de dialogue affiche
le contrleur qui deviendra matre dinfrastructure ainsi que le matre dopration
actuel.
Cliquez sur modifier, puis ok

Authentification NTLM

Si le matre dinfrastructure est HS et quil ny a aucun espoir de le rparer, vous avez la


possibilit de faire une capture du rle de matre dinfrastructure :
Dmarrer / Excuter, tapez la commande NTDSUTIL
A chaque invite, tapez les donnes suivantes (en police courrier) :
o ntdsutil roles
o fsmo maintenance connections
o server connections connect to server suivi_du_nom_domaine_complet du

Les exemples de configurations suivants utiliseraient NTLM comme mcanisme d'authentification :


* Un client Windows 2000 Professionnel s'authentifiant auprs d'un contrleur de domaine Windows NT 4.0.
* Un client Windows NT 4.0 s'authentifiant auprs d'un contrleur de domaine Windows 2000.
* Un client Windows NT 4.0 s'authentifiant auprs d'un contrleur de domaine Windows NT 4.0.
* Les utilisateurs d'un domaine Windows NT 4.0 s'authentifiant auprs d'un domaine Windows 2000.

Dans Windows 2000, NTLM sert de protocole d'authentification pour les transactions entre deux ordinateurs
d'un mme domaine, o l'un des deux ordinateurs, ou les deux, excutent Windows NT 4.0 ou une version
prcdente.
Par dfaut, Windows 2000 est install dans une configuration rseau en mode mixte. Ce type de
configuration accepte toutes les associations entre Windows NT 4.0 et Windows 2000. Si vous n'avez pas
un rseau en mode mixte, vous pouvez passer un mode natif sur un contrleur de domaine pour
dsactiver l'authentification NTLM.

Par ailleurs, NTLM est le protocole d'authentification utilis par les ordinateurs qui ne font pas partie d'un
domaine, tels que les serveurs autonomes et les groupes de travail.

serveur devant matre dinfrastructure

o server connections quit


o fsmo maintenance seize infrastructure master
o ntdsutil quit

William Saint-Cricq

Page 15 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 16 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

2.

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

! Installation dun serveur DNS sous Windows 2000

Serveur de catalogue global

Un serveur de catalogue global est un contrleur de domaine possdant un catalogue


dans lequel sont rfrencs les attributs les plus utiliss de tous les objets dActive
Directory.
La base de donnes dAD est divise en trois parties :
Partition de schma : ensemble des dfinitions des classes et attributs des objets
de l'Active Directory.
Partition de configuration : ensemble des objets de configuration de la fort (les
sites, les services, etc...).
Partition de domaine : ensemble des utilisateurs, groupes, machines, etc., d'un
domaine particulier.
Les partitions de configuration et de schma sont cres l'installation du premier
contrleur de domaine de la fort. Elles sont copies sur tous les autres contrleurs de
domaine installs par la suite. Les partitions de domaine sont spcifiques chacun des
domaines.
Le catalogue global, situ sur le premier contrleur de domaine du domaine racine de la
fort, contient, en plus des partitions de configuration et de schma, une copie en lecture
de toutes les partitions de domaine de la fort.
Comme les informations des objets dun domaine ne sont pas dupliques vers les autres
domaines de la fort, le serveur de catalogue global va tre utilis pour effectuer des
recherches lchelle de la fort.
Il est possible dajouter de nouveaux serveurs de catalogue global :
Ouvrez la console Sites et services Active Directory
Dveloppez Sites, puis le nom du site dans lequel se situe le serveur que vous
souhaitez faire devenir catalogue global. Par dfaut un seul site existe et se nomme
Premier-site-par-dfaut.
Dveloppez ensuite le dossier Serveurs, puis le serveur en question. Effectuez
ensuite un clic droit sur le connecteur NTDS Setting et cliquez sur Proprits.
Activez loption Catalogue global.

Nota : AD sappuie sur un serveur DNS. Si vous ne possdez pas dun serveur DNS, soit
vous linstallez avant AD, soit lors de linstallation dAD lassistant vous propose dinstaller
un serveur DNS.

Ouvrez le panneau de configuration et


cliquez sur Ajout/suppression de
programmes

Dans Ajout/suppression de
programmes , cliquez sur
Ajouter/supprimer des composants
Windows

A louverture de session dun utilisateur, le contrleur, ayant reu cette demande, fera
appel au serveur de catalogue global pour obtenir des informations comme lappartenance
des groupes universels afin de crer un jeton daccs. Si le serveur de catalogue global
nest pas disponible, lutilisateur ne pourra quouvrir une session localement. Seuls les
membres du groupe administrateur ouvriront une session sur le domaine.

William Saint-Cricq

Page 17 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 18 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

Slectionnez le composant Services de


mise en rseau et cliquez sur le bouton
Dtails .

Le service DNS sinstalle sur Windows


2000 Server.

Choisissez le service Systme de nom de


domaine (DNS) et validez par OK

Le service DNS est install. Cliquez sur


Terminer .

dition Avril 2002

Windows 2000 Server Config AD DNS

Une fois linstallation termine, la premire tape consiste crer une zone DNS sur
laquelle le serveur aura autorit.

Continuez linstallation en cliquant sur


Suivant .
Lancez lutilitaire DNS depuis le groupe
Outils dadministration.

William Saint-Cricq

Page 19 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 20 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

La console de configuration du serveur


DNS apparat.

1.

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Comme cest le premier serveur DNS du


rseau, cliquez sur Suivant .

Configuration du serveur DNS par lassistant

Choisissez la cration dune zone de


recherche directe, cliquez sur Suivant .

Lancez la configuration du serveur en


faisant un clic droit sur licne reprsentant
le serveur (ici SERVEUR).
Choisissez Configurer le serveur .

AD ntant pas encore install, seule la


zone principale standard (stockage dans un
fichier) est disponible. Nous verrons plus
loin comment intgrer la zone DNS dans
AD.

Lassistant de configuration vous aide pas


pas configurer le serveur.

Cliquez sur Suivant .

William Saint-Cricq

Page 21 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 22 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Choisissez la zone DNS qui devra tre la


mme que le domaine 2000.
Pour un site local (non accessible sur
internet), utilisez de prfrence lextension
local .
Ex : domaine.local

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Tout comme la zone de recherche DNS


directe, la zone de recherche DNS inverse
ne peut pas tre intgre AD.
Cliquez sur Suivant .

Cliquez sur Suivant .

Le fichier contenant la zone DNS sera


stock dans le dossier
%systemRoot%\system32\dns.
Cliquez sur Suivant .

Le fichier de zone de recherche DNS


inverse est tabli partir de ladresse IP
du rseau (ici 192.168.1.0 donc saisie
des 3 premiers octets).
Cliquez sur Suivant .

Cration de la zone de recherche DNS


inverse.
Validez la cration de la zone et cliquez sur
Suivant .

Le fichier de zone de recherche DNS


inverse sera cr dans le mme dossier
que celui de la zone de recherche directe.
Il sera nomm 1.168.192.in-addr.arpa.dns.
Cliquez sur Suivant .

William Saint-Cricq

Page 23 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 24 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Ecran de rcapitulation de configuration du


serveur DNS.
Cliquez sur Terminer et le serveur DNS
sera cr.

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Choisissez Oui pour loption Autoriser


les mises jour dynamiques et cliquez
sur OK .

Le serveur DNS est configur.

Faites de mme pour la zone de recherche


inverse.

Modification de lenregistrement dynamique


des clients dans le serveur DNS :
Faites un clic droit sur le domaine de la
zone de recherche directe, et choisissez
Proprits .

Le serveur fait appel son propre serveur


DNS. Cest pour cela que dans la
configuration IP du serveur vous trouvez
comme Serveur DNS ladresse IP 127.0.0.1
(loopback).

William Saint-Cricq

Page 25 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 26 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Enregistrez le serveur dans les zones de


recherche DNS :
Tapez la commande
ipconfig /registerdns
Regardez les zones de recherche pour voir si le serveur apparat bien.
Vous pouvez utiliser la commande nslookup suivi soit du nom DNS de la machine
(recherche directe), soit de ladresse IP de la machine (recherche inverse).
Il est aussi possible de valider le fonctionnement du serveur DNS en utilisant lutilitaire
danalyse inclus dans la gestion DNS :

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Saisissez le nom de la machine, puis son


adresse IP.
Noubliez pas de cocher la cration dun
point denregistrement PTR associ afin de
crer la mme relation dans la zone de
recherche inverse.
Cliquez sur Ajouter un hte .
Pointeur (PTR) : Utilis pour mapper un nom de
domaine DNS indirect bas sur l'adresse IP d'un
ordinateur qui pointe vers le nom de domaine DNS
direct de cet ordinateur.

Faites un clic droit Proprits sur le


serveur.
Puis onglet Analyse .
Cocher les 2 tests de requte et cliquez sur
Tester .

Testez avec la commande nslookup

Si la machine napparat pas encore dans le serveur DNS, vous pouvez lajouter
manuellement :

Le serveur DNS doit rpondre correctement


(voir exemple ci-contre).
Les valeurs Serveur et Address
correspondent au serveur DNS.
Les valeurs Nom et Address correspondent
la machine teste.

Le serveur DNS de Windows 2000 est en place.


Faites un clic droit dans la zone de
recherche directe et Nouvel hte .

William Saint-Cricq

Page 27 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 28 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

2.

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

! Installation dActive Directory : mise en place du premier contrleur


de domaine 2000

Configuration manuelle du serveur DNS

Cette configuration manuelle nest pas plus complique que la prcdente car elle
sappuie aussi sur des assistants.

Lancez la console de gestion DNS, puis


faites un clic droit sur la zone de recherche
directe et choisissez Nouvelle Zone .

Si sous Windows NT 4 Server le choix du statut du serveur se fait linstallation, sous


Windows 2000 Server vous pouvez tout moment choisir le type de serveur laide de la
commande DCPROMO.

Windows 2000 est livr avec un utilitaire, DCPROMO.EXE, qui sert promouvoir un serveur
membre/stand-alone au rang de Contrleur de Domaine, et vice-versa.
Pour pouvoir passer de serveur membre Domain contrleur, il faut absolument que la partition systme
soit en NTFS, sinon, on obtient le message suivant au lancement de la commande dcpromo.exe :

Lassistant de cration de zone DNS se


lance.

La conversion dune partition FAT en NTFS se fait laide de la commande CONVERT (voir support sur NT4 :
CONVERT C: /FS:NTFS si la partition convertir est C)

Reportez-vous la configuration du
serveur DNS par assistant .

Si aucun serveur DNS nest install, lassistant vous proposera de linstaller.

1.

Promotion du premier serveur

Lancez lutilitaire DCPROMO partir de Dmarrer / Excuter .


Faites de mme pour la zone de recherche
inverse.

Dmarrage de lassistant dinstallation


dActive Directory.
Cliquez sur Suivant .

William Saint-Cricq

Page 29 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 30 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Cest le premier contrleur du domaine !


Cliquez sur Suivant .

Saisissez votre nom de domaine (le mme


que pour le serveur DNS bien
videmment !).
Ex : e-wsc.local (local pour les mmes
raisons que pour le DNS).
Cliquez sur Suivant .

Aucune arborescence nexiste.


Le domaine cr ne sera pas un domaine
enfant (ex : enfant.e-wsc.local) mais la
racine dune nouvelle arborescence.
Cliquez sur Suivant .

Le nom Netbios du domaine sera utile pour


les clients antrieurs Windows 2000.
Normalement il correspond au dbut du
nom DNS (ex : e-wsc pour e-wsc.local ou
enfant pour enfant.e-wsc.local)
Cliquez sur Suivant .

De mme, ce domaine nest pas rattach


un autre (notion de fort).
Ce domaine sera donc lorigine dune
nouvelle fort (cette fort sera donc compose

Windows 2000 Server Config AD DNS

Spcifiez lemplacement de la base de


donnes et du journal AD.
Cliquez sur Suivant .

dun seul arbre qui comportera une seule branche /


une feuille ! avec un nid et des oiseaux dedans).

Cliquez sur Suivant .

Ce dossier comporte la dfinition des


stratgies de groupes, les scripts et des
informations de rplication.
Cliquez sur Suivant .

William Saint-Cricq

Page 31 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 32 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Le mode Compatible de Windows 2000


Server permet dintgrer ce serveur dans
un domaine NT4. Il prendra le rle de CPD
(mulateur CPD).
Le mode Compatible supprime
certaines fonctionnalits de Windows 2000
Server dans ladministration notamment.
Nous verrons comment passer dun serveur
2000 en mode Compatible un serveur
2000 Natif .
Cliquez sur Suivant .

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Cest fini !
Noubliez pas larrosage : redmarrez
Windows !

Active Directory est install.


Votre serveur prend donc les rles suivants :
Un mot de passe est demand afin de
protger laccs au service de restauration
dADC.
Ce mot de passe nest pas li celui de
ladministrateur.
Cliquez sur Suivant .

Matre dopration :
Matre de schma (rle unique dans la fort)
Matre de dnomination de domaine (rle unique dans la fort)

Matre RID (rle unique dans le domaine)


Matre dinfrastructure (rle unique dans le domaine)
Emulateur PDC (rle unique dans le domaine)

Serveur de catalogue global (au moins un dans le domaine)

Rcapitulatif des lments avant la mise en


place dAD.
Cliquez sur Suivant .

Active Directory se met en place


Patientez le temps que larbre pousse.

William Saint-Cricq

Page 33 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 34 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

2.

2.a

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Pratique : Identification des rles des serveurs

w2k_DNS_AD (priv).doc

2.b

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Matre RID Emulateur PDC Matre dinfrastructure

Matre de dnomination de domaine


Lancez loutil Utilisateurs et ordinateurs
Active Directory et faites un clic droit sur
Utilisateurs et ordinateurs Active
Directory .
Cliquez ensuite sur Matre doprations.

Ouvrez la console Domaines et


approbations Active Directory .

Les trois onglets permettent de voir ou de


modifier les trois rles de matre
dopration.
Faites un clic droit sur Domaines et
approbations Active Directory , puis
slectionnez Matre doprations .
2.c

Matre de schma

Par dfaut vous navez aucun outil pour visualiser ce rle.


2.c.1
Pour modifier le serveur jouant ce rle,
effectuez cette opration sur le contrleur
de domaine qui deviendra le nouveau
matre de dnomination de domaine et
cliquez sur le bouton Modifier .

William Saint-Cricq

Page 35 sur 44

Installation des outils dadministration supplmentaires de Windows 2000

Identifiez le fichier adminpack.msi sur le


CDRom dinstallation de Windows 2000 (ou
dans le dossier i386 du disque dur si vous
avez copi les fichiers dinstallation sur le
disque).

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 36 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Faites un clic droit et installer.

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Installation en cours

Si vous lancez linstallation partir du


CDRom, vous aurez sans doute un
message derreur. Pour contrer ce bug,
copiez adminpak.msi sur le disque dur, et
relancez linstallation.

Fin de linstallation.
Vous pouvez rinstaller le SP2 de Windows
2000.
Lassistant dinstallation doutils
dadministration de Windows 2000
dmarre
2.c.2

Lancez lutilitaire Microsoft Management


Console (MMC).
Dmarrer / Excuter / MMC "

Cliquez sur Suivant .

Ajoutez le composant enfichable Schma


Active Directory :
Menu Console, Ajouter/supprimer un
composant logiciel enfichable

Choisissez installer touts les outils


dadministration et cliquez sur
Suivant .

William Saint-Cricq

Cration dune nouvelle console de management (MMC)

Page 37 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 38 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

Validez par OK .

Cliquez sur le bouton Ajouter pour


afficher la boite de dialogue Ajout dun
composant logiciel enfichable autonome .

La nouvelle console est cr, enregistrez la


dans le menu Dmarrer / outils
dadministration.

Choisissez Schma Active Directory et


cliquez sur Ajouter , puis Fermer .
2.c.3

Connatre quel serveur joue le rle de matre de schma

Ouvrez la nouvelle console Schma


Active Directory .
Faites un clic droit sur Schma Active
Directory , cliquez sur Matre
doprations .

William Saint-Cricq

Page 39 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 40 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

2.d

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

! Dsinstallation dActive Directory

Serveur de catalogue global

Lancez lutilitaire DCPROMO et suivez lassistant pas pas.


Lancez la console Sites et services Active
Directory .
Dveloppez Sites , puis le nom du site
dans lequel se situe le serveur, enfin le
serveur (ici SERVEUR ).

Faites un clic droit sur le connecteur NTDS


Settings puis Proprits .

Par dfaut, seul le premier serveur de la fort, sur lequel Active Directory a t install,
prend ce rle. Mais vous pouvez ajouter dautres serveurs de catalogue global.
Entre domaines, les seules informations sur les objets qui sont distribues sont celles
contenues dans le catalogue global. Il est donc intressant de disposer dau moins un
serveur de catalogue global par domaine.

William Saint-Cricq

Page 41 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 42 sur 44

Dernire impression le mercredi 1er mai 2002

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

w2k_DNS_AD (priv).doc

re

dition Avril 2002

Windows 2000 Server Config AD DNS

! Quelques liens internet

http://www.tutorials-online.com/tutorials/ls/w2k/ad.htm

Fin du support

http://herve-pc.cnrsorleans.fr/Security/Win2k/ActiveDirectory/ActiveDirectory1.htm

http://microsoft.supinfo.com/articles/ad/

http://www.gmg.ch/zoomout/windows2000/1560/module15.htm

William Saint-Cricq

Page 43 sur 44

Dernire impression le mercredi 1er mai 2002

William Saint-Cricq

Page 44 sur 44

Dernire impression le mercredi 1er mai 2002