Accueil
πŸ›

Installation Active Directory et DNS

Guide d'installation des roles Active Directory Domain Services (AD DS) et DNS sous Windows Server 2022, en mode graphique (Gestionnaire de serveur) et en PowerShell. Promo tion du serveur en Controleur de Domaine (DC) d'une nouvelle foret.

Sommaire
  1. Prerequis obligatoires
  2. Installation en mode graphique (12 etapes)
  1. Installation en PowerShell
  2. Verification apres promotion
  3. Reference β€” parametres AD / DNS
0

Prerequis obligatoires

Ces actions doivent etre effectuees avant d'installer les roles AD et DNS. Ne pas les ignorer β€” elles impactent directement la stabilite et la coherence du domaine.
PrerequisPourquoiComment verifier
Nom du serveur definitif Renommer un DC apres promotion AD est une procedure complexe et risquee. Le nom ne doit plus changer. hostname
Adresse IP fixe Un DC avec IP dynamique provoquerait des echecs de resolution DNS et de replication. L'IP doit etre statique. ipconfig /all
DNS pointe sur lui-meme Le serveur doit se pointer lui-meme en DNS primaire (127.0.0.1 ou son IP fixe) pour resoudre les enregistrements du domaine. ipconfig /all β†’ Serveurs DNS
Fuseaux horaires synchronises Kerberos (protocole d'auth AD) tolere un ecart de 5 minutes maximum entre les machines. Au-dela, les authentifications echouent. w32tm /query /status
Mises a jour appliquees Installer les mises a jour Windows avant la promotion pour eviter les conflits de packages. Windows Update dans le Gestionnaire de serveur
Pour cet exemple, le serveur s'appelle SRV-DC01, l'adresse IP fixe est 192.168.1.10, et le domaine cree sera corp.local. Adapter ces valeurs a votre environnement.
1

Installation en mode graphique β€” Gestionnaire de serveur

1
Ouvrir le Gestionnaire de serveur
Dans le Gestionnaire de serveur (ouvert automatiquement apres connexion), cliquer sur Ajouter des roles et des fonctionnalites dans le tableau de bord, ou dans le menu Gerer en haut a droite.
Gestionnaire de serveur
Gestionnaire de serveur
Gerer   Affichage   Aide
Tableau de bord
Serveur local
Tous les serveurs
BIENVENUE DANS LE GESTIONNAIRE DE SERVEUR
2 β€” Ajouter des roles et des fonctionnalites
Configurer ce serveur
3 β€” Ajouter d'autres serveurs a gerer
2
Assistant β€” Avant de commencer
Page d'introduction de l'assistant. Verifier que les prerequis (IP fixe, mises a jour, nom definitif) ont ete appliques. Cliquer sur Suivant.
Assistant Ajout de roles et de fonctionnalites
β†’
Avant de commencer
2
Type d'installation
3
Selection du serveur
4
Roles du serveur
5
Fonctionnalites
6
Confirmation
7
Resultats
Avant de commencer
Cet assistant vous aide a installer des roles, des services de role ou des fonctionnalites. Avant de commencer, verifiez que : le compte Administrateur possede un mot de passe fort, les parametres reseau sont configures, les dernieres mises a jour de securite sont installees.
Precedent
Suivant >
Annuler
3
Type d'installation
Selectionner Installation basee sur un role ou une fonctionnalite. L'option Services Bureau a distance est destinee aux environnements VDI β€” ne pas la choisir pour un DC.
Assistant β€” Type d'installation
Avant de commencer
β†’ Type d'installation
Selection du serveur
Roles du serveur
Selectionnez le type d'installation
Installation basee sur un role ou une fonctionnalite
Configurer un seul serveur en ajoutant des roles, des services de role et des fonctionnalites.
Installation des services Bureau a distance
Precedent
Suivant >
4
Selection du serveur de destination
Laisser Selectionner un serveur du pool de serveurs et verifier que votre serveur (SRV-DC01) est bien selectionne dans la liste. Cliquer sur Suivant.
Assistant β€” Selection du serveur
Avant de commencer
Type d'installation
β†’ Selection du serveur
Roles du serveur
Selectionnez un serveur ou un disque dur virtuel
Selectionner un serveur du pool de serveurs
NomAdresse IPSysteme
SRV-DC01 192.168.1.10 Windows Server 2022
Precedent
Suivant >
5
Roles du serveur β€” cocher AD DS et DNS
Dans la liste des roles, cocher Services AD DS (Active Directory Domain Services). Une popup s'affiche pour ajouter les fonctionnalites requises β€” cliquer sur Ajouter des fonctionnalites. Cocher egalement Serveur DNS. Cliquer sur Suivant.
Assistant β€” Roles du serveur
Selection du serveur
β†’ Roles du serveur
Fonctionnalites
AD DS
Serveur DNS
Confirmation
Selectionnez des roles de serveurs
βœ“
Services AD DS
βœ“
Outils de gestion AD
βœ“
Serveur DNS
Serveur DHCP
Serveur de fichiers
Serveur Web (IIS)
Hyper-V
Precedent
Suivant >
6
Confirmation et installation des roles
La page de confirmation liste les roles a installer. Cocher Redemarrer automatiquement le serveur de destination si necessaire si vous souhaitez un redemarrage automatique. Cliquer sur Installer. L'installation prend quelques minutes.
Assistant β€” Confirmation
Confirmer les selections pour l'installation
Avertissement : Ce serveur peut devoir etre redΓ©marre apres l'installation de ce(s) role(s).
βœ“
Redemarrer automatiquement le serveur de destination si necessaire
Roles a installer :
Services AD DS
β€” Outils de gestion AD DS
Serveur DNS
β€” Outils de gestion DNS
Precedent
Installer
7
Lien de promotion β€” Promouvoir ce serveur en controleur de domaine
Une fois les roles installes, une notification apparait dans le Gestionnaire de serveur (icone drapeau orange). Cliquer dessus puis sur Promouvoir ce serveur en controleur de domaine pour lancer l'assistant de configuration AD DS.
Gestionnaire de serveur β€” Notification
βš‘ Configuration post-deploiement requise pour Services AD DS sur SRV-DC01
Services AD DS
La configuration post-deploiement est requise.
Promouvoir ce serveur en controleur de domaine
8
Configuration du deploiement β€” Nouvelle foret
Selectionner Ajouter une nouvelle foret pour creer un nouveau domaine AD from scratch. Dans Nom du domaine racine, saisir le nom du domaine (ici corp.local). Pour rejoindre un domaine existant, utiliser Ajouter un controleur de domaine a un domaine existant.
Assistant Configuration AD DS β€” Configuration du deploiement
β†’ Configuration du deploiement
Options du DC
Options DNS
Options supplementaires
Chemins d'acces
Examiner les options
Verification des prerequis
Selectionnez l'operation de deploiement
● Ajouter une nouvelle foret
β—‹ Ajouter un controleur de domaine a un domaine existant
β—‹ Ajouter un nouveau domaine a une foret existante
Nom du domaine racine :
corp.local
Precedent
Suivant >
9
Options du controleur de domaine
Laisser le niveau fonctionnel sur Windows Server 2016 (ou 2019/2022 si tous les DC seront en 2022). Laisser cochees les options Serveur DNS et Catalogue global (GC). Definir le mot de passe DSRM (Directory Services Restore Mode) β€” a conserver precieusement, utilise uniquement en mode de recuperation AD.
Assistant AD DS β€” Options du DC
Configuration du deploiement
β†’ Options du DC
Options DNS
Options supplementaires
Specifier les options du controleur de domaine
Niveau fonctionnel de foret :
Windows Server 2016 β–Ό
Niveau fonctionnel de domaine :
Windows Server 2016 β–Ό
βœ“
Serveur DNS
βœ“
Catalogue global (GC)
βœ—
Controleur de domaine en lecture seule (RODC)
Mot de passe DSRM :
β€’β€’β€’β€’β€’β€’β€’β€’β€’β€’
Precedent
Suivant >
10
Options supplementaires β€” Nom NetBIOS
Le nom NetBIOS du domaine est calcule automatiquement depuis le nom DNS (ici CORP pour corp.local). Il peut etre modifie, mais sans raison valable il vaut mieux laisser la valeur proposee. Ce nom sera utilise dans les authentifications NTLM et pour les ressources partagees au format CORP\utilisateur.
Assistant AD DS β€” Options supplementaires
Specifiez les options supplementaires
Nom de domaine NetBIOS :
CORP
Ce nom est utilise par les clients anciens et les partages reseau au format CORP\nom_utilisateur.
Precedent
Suivant >
11
Chemins d'acces β€” NTDS, SYSVOL, Journaux
Emplacements par defaut des bases de donnees AD. En production, il est recommande de placer NTDS et les journaux sur un volume separe du systeme (D:\ par exemple) pour de meilleures performances et une meilleure resilience. SYSVOL contient les scripts de connexion et les GPO.
Assistant AD DS β€” Chemins d'acces
Specifiez l'emplacement de la base de donnees, des fichiers journaux et de SYSVOL
Dossier de base de donnees :
C:\Windows\NTDS
Dossier des fichiers journaux :
C:\Windows\NTDS
Dossier SYSVOL :
C:\Windows\SYSVOL
En production : placer NTDS sur un volume dedie (D:\NTDS) pour les performances et la resilience.
Precedent
Suivant >
12
Verification des prerequis et installation
L'assistant execute une serie de verifications. Des avertissements (icone jaune) sont normaux et n'empechent pas l'installation. Des erreurs (icone rouge) doivent etre corrigees avant de continuer. Si tout est en ordre, cliquer sur Installer. Le serveur redemarrera automatiquement apres la promotion.
Assistant AD DS β€” Verification des prerequis
βœ“ Toutes les verifications de prerequis ont reussi. Cliquer sur Installer pour continuer.
Avertissements :
⚠ La delegation pour le serveur DNS ne peut pas etre creee car la zone parente n'est pas trouvee. (Normal pour une nouvelle foret.)
⚠ La strategie de mot de passe ne repond pas aux recommandations. Verifier les parametres apres l'installation.
Precedent
Installer
Apres le redemarrage, le serveur est Controleur de Domaine. La session s'ouvre desormais avec le compte CORP\Administrator. Le Gestionnaire de serveur affiche les roles AD DS et DNS actifs.
2

Installation en PowerShell

La methode PowerShell produit exactement le meme resultat que le mode graphique β€” elle est reproducible, scriptable et adaptee aux installations en masse ou en Core. Executer PowerShell en tant qu'Administrateur.

Etape 1 β€” Installer les roles AD DS et DNS
PowerShell
Executer en tant qu'Administrateur
# Installer les roles AD DS et DNS avec les outils de gestion
Install-WindowsFeature -Name AD-Domain-Services, DNS -IncludeManagementTools

# Verifier l'installation
Get-WindowsFeature AD-Domain-Services, DNS
Si les roles sont deja installes, Install-WindowsFeature retourne Success : True, RestartNeeded : No sans rien modifier. La commande est idempotente.
Etape 2 β€” Promouvoir en Controleur de Domaine (nouvelle foret)
PowerShell
Adapter DomainName et DomainNetbiosName
# Importer le module ADDS
Import-Module ADDSDeployment

# Promouvoir le serveur en DC β€” nouvelle foret
Install-ADDSForest `
    -DomainName              "corp.local" `
    -DomainNetbiosName       "CORP" `
    -ForestMode              "WinThreshold" `
    -DomainMode              "WinThreshold" `
    -InstallDns              :$true `
    -DatabasePath            "C:\Windows\NTDS" `
    -LogPath                 "C:\Windows\NTDS" `
    -SysvolPath              "C:\Windows\SYSVOL" `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "Dsrm@P4ssw0rd!" -AsPlainText -Force) `
    -Force

# Le serveur redemarrera automatiquement apres la promotion
Le parametre -SafeModeAdministratorPassword definit le mot de passe DSRM. Ne pas le confondre avec le mot de passe Administrateur du domaine. Dans un script de production, utiliser Read-Host -AsSecureString plutot qu'un mot de passe en clair.
Variante β€” Ajouter un DC supplementaire a un domaine existant
PowerShell
Rejoindre une foret existante
# Credential d'un admin du domaine existant
$cred = Get-Credential "CORP\Administrator"

Install-ADDSDomainController `
    -DomainName              "corp.local" `
    -InstallDns              :$true `
    -Credential              $cred `
    -SafeModeAdministratorPassword (Read-Host "Mot de passe DSRM" -AsSecureString) `
    -Force
Parametre ForestMode / DomainMode β€” valeurs acceptees
ValeurCorrespond aRecommandation
Win2012Windows Server 2012Compatibilite avec anciens DC 2012
Win2012R2Windows Server 2012 R2Compatibilite avec anciens DC 2012 R2
WinThresholdWindows Server 2016Recommande pour nouveaux domaines (valeur par defaut)
3

Verification apres promotion

Commandes de verification essentielles
PowerShell
# Verifier le domaine AD
Get-ADDomain

# Verifier la foret
Get-ADForest

# Verifier le statut du DC
Get-ADDomainController

# Tester la replication AD (doit retourner 0 erreur)
repadmin /replsummary

# Verifier les services AD et Kerberos
dcdiag /test:replications /test:netlogon /test:dns

# Verifier le service DNS
Get-Service DNS
Resolve-DnsName corp.local

# Verifier les zones DNS creees
Get-DnsServerZone

# Lister les comptes du domaine
Get-ADUser -Filter * -Properties * | Select-Object Name, SamAccountName, Enabled
Si dcdiag retourne DOMAIN CONTROLLER: SRV-DC01 ... passed test pour tous les tests, la promotion est reussie et le DC est operationnel.
4

Reference β€” Parametres AD / DNS

Ports requis pour AD DS et DNS
PortProtocoleServiceObligatoire
53TCP / UDPDNSOui β€” resolution de noms
88TCP / UDPKerberos (authentification)Oui β€” authentification AD
135TCPRPC Endpoint MapperOui β€” replication AD
139TCPNetBIOS SessionCompatibilite anciens systemes
389TCP / UDPLDAPOui β€” requetes annuaire
445TCPSMB (SYSVOL, NETLOGON)Oui β€” strategie de groupe
464TCP / UDPKerberos (changement mdp)Oui
636TCPLDAPS (LDAP sur SSL)Recommande
3268 / 3269TCPCatalogue global LDAP / LDAPSOui si plusieurs domaines
49152–65535TCPRPC dynamique (replication)Oui entre DC
Commandes AD courantes post-installation
PowerShell
# Creer une OU (Unite Organisationnelle)
New-ADOrganizationalUnit -Name "Utilisateurs_Paris" -Path "DC=corp,DC=local"

# Creer un utilisateur
New-ADUser `
    -Name              "Jean Dupont" `
    -SamAccountName   "j.dupont" `
    -UserPrincipalName "j.dupont@corp.local" `
    -Path              "OU=Utilisateurs_Paris,DC=corp,DC=local" `
    -AccountPassword   (ConvertTo-SecureString "P@ssw0rd123" -AsPlainText -Force) `
    -Enabled           $true

# Creer un groupe de securite
New-ADGroup -Name "GRP_Finance" -GroupScope Global -GroupCategory Security `
    -Path "OU=Utilisateurs_Paris,DC=corp,DC=local"

# Ajouter un utilisateur a un groupe
Add-ADGroupMember -Identity "GRP_Finance" -Members "j.dupont"

# Forcer la replication entre DC
repadmin /syncall /AdeP

# Creer une zone DNS secondaire
Add-DnsServerSecondaryZone -Name "corp.local" `
    -ZoneFile "corp.local.dns" `
    -MasterServers "192.168.1.10"