Laboratoire 03 Étape 1 : Installation d Active Directory et du service DNS Noter que vous ne pourrez pas réaliser ce laboratoire sans avoir fait le précédent laboratoire. Avant de commencer, le professeur passera vérifier ça avec chaque équipe. Rappel : Un domaine Un domaine est un groupe de comptes et de ressources réseau qui partagent une base de données de répertoire commune et un jeu de stratégies de sécurité, et qui peut avoir des relations de sécurité avec d'autres domaines. Un groupe de travail est une structure plus simple, conçue uniquement pour aider les utilisateurs à trouver des objets, tels que des imprimantes et des dossiers partagés à l'intérieur de ce groupe. Il est conseillé d'utiliser des domaines pour tous les réseaux, sauf pour les réseaux de petite taille avec très peu d'utilisateurs. Rappel : Active Directory Active Directory, est défini comme un annuaire unique des ressources d une entreprise. Active Directory, en plus d être une banque de données (comptes utilisateurs), est également équipé d un certain nombre de fichiers de support et notamment les journaux de transaction, et du volume système (SYSVOL) qui contient les scripts d ouverture de session et les informations relatives à la stratégie de groupe. Pour exécuter et installer le service d annuaire Active Directory, votre serveur devra être promu d abord Contrôleur de domaine. C est le fait de créer un contrôleur de domaine qui installera Active Directory sur le serveur. Cette opération, par le fait même, créera le domaine. On pourra ensuite y créer des comptes usagers et y joindre des ordinateurs. Préparation à l installation d Active Directory Avant de commencer : Vous devez tout d abord configurer correctement vos machines virtuelles afin de permettre la communication réseau. 1
Choisissez les cartes de type "Réseau Interne" pour vos deux machines Client et Serveur. Ensuite, il est très important de fixer manuellement l adresse IP de votre serveur. En effet, le serveur doit avoir une adresse fixe qui ne changera jamais pour permettre aux clients de le repérer aisément! Pour ce faire : Menu démarre/ Clic droit sur Réseau/Propriétés/Modifier les paramètres de la carte Bouton droit sur la connexion réseau, puis propriétés. Propriétés du protocole TCP/IP C est à cet endroit que vous pouvez modifier votre configuration réseau (adresse IP, passerelle, serveur DNS). Vous pouvez également vérifier votre configuration réseau en tapant ipconfig /all dans une fenêtre CMD. Exemple (boite de dialogue des propriétés de TCP/IP) Pour simplifier la gestion des adresses, vous devez utiliser le schéma suivant : 192.168.X.5 pour votre serveur 192.168.X.10 pour votre client (Par contre l adresse DNS sur le client sera l adresse de votre SERVEUR) X correspond au numéro de votre équipe (demandez au professeur de vous fournir ce numéro s il ne l a pas déjà fait!). Dans mon exemple, le numéro de l équipe est 10, mais vous devez évidemment utiliser le vôtre. Votre serveur et votre serveur DNS préféré ont la même adresse IP En effet, votre serveur hébergera dans quelques instants le serveur DNS, c est donc normal que l adresse du serveur DNS préféré de votre serveur soit sa propre adresse! Une fois votre serveur DNS installé, vous remarquerez peut-être que l adresse du serveur 2
DNS préféré changera pour 127.0.0.1. Pas de panique, cette adresse est l adresse de «loopback», on l a vu dans le cours d adressage, c est une adresse qui pointe vers vousmême, ce qui est tout aussi valide! Nommage des machines Nommer votre client Windows7 : CLIENT-W7-x-1. X correspond au numéro de votre équipe. Dans les futurs laboratoires, vous allez nommer tous vos clients de la même manière, le dernier chiffre correspond au numéro du client. Si vous avez deux clients Windows 7, les noms seront : CLIENT-W7-x-1 et CLIENT-W7-x-2. Si vous avez trois clients Linux, les noms seront : CLIENT-LX-x-1, CLIENT-LX-x-2 et CLIENT-LX-x-3. Nommer votre serveur de cette manière : SERVEUR-x. X correspond au numéro de votre équipe. Cloner les machines Penser à cloner les deux VM client et serveur avant de commencer la manipulation. Si vous faites des erreurs en cours de vos installations, vous aurez des sauvegardes pour éviter de réinstaller les deux machines de zéro, chose qui vous fera prendre beaucoup de temps. Pour ce faire allez dans VirtualBox Cliquer droit sur la VM serveur puis sélectionner "Cloner.." Faite la même chose pour la VM client il Une fois terminé, changez l adresse MAC de vos clones pour qu ils soient différents des machines originales. 3
Installation d Active Directory Normalement, une fenêtre «Gestionnaire de serveur» s ouvre automatiquement au démarrage du serveur. Si ce n est pas le cas, vous pouvez la retrouver dans Démarrer / Outils d administration / Gestionnaire de serveur. Allez dans le gestionnaire de serveur puis faites un clic droit sur "Rôles/ Ajouter des rôles". L'installation des binaires doits être faite avant d installer Active Directory Sélectionnez le rôle Services de domaine Active Directory (AD) et cliquez sur "Suivant". 4
Windows commence d abord à installer certaines fonctionnalités requises pour Active Directory (AD), cliquer sur "Ajouter les fonctionnalités requises". Vous aurez ensuite quelques informations sur Active Directory (AD) et son fonctionnement. Cliquez sur "Suivant". 5
Vous aurez ensuite le résumé de l'installation qui va être faite, cliquez sur "Installer". Puis vous aurez ca 6
Une fois l'installation des fonctionnalités requises finie, vous avez le résumé. Vous allez maintenant pouvoir commencer l'installation d'active Directory (AD). Cliquer sur le lien "Fermez cet assistant et lancez l'assistant Installation des services de domaine Active Directory (dcpromo.exe)". L'assistant commence par vous proposer l'installation en mode avancé. Passer cette étape en cliquant directement sur "Suivant". 7
Passer également l étape qui explique la compatibilité du système d exploitation en cliquant sur "Suivant Avant de créer votre AD, vous aurez le choix entre rejoindre une forêt existante ou créer un nouveau domaine dans une nouvelle forêt. Choisissez " Domaine dans une nouvelle forêt ". Une forêt est un regroupement de domaines qui ont des relations de sécurité les uns avec les autres. Comme on ne se joint pas à une forêt existante, on créera une nouvelle forêt contenant un seul domaine. 8
Vous allez ensuite pouvoir indiquer le nom mûrement réfléchi de votre domaine racine de forêt. Dans votre cas, entrez KEGLGx.local, où KEGLG correspond au numéro de ce cours et x à votre numéro d équipe tel que défini précédemment. Par exemple, mon nom de domaine est KEGLG10.local. L'assistant va alors détecter si le domaine DNS est déjà utilisé ou non sur votre réseau. Le system vérifie si votre nom de domaine et votre NetBios sont disponible. Pour votre cas c est disponible, donc vous allez passer cette étape sans interruption. 9
Dans cette étape choisir "Windows Server 2008 R2" Dans cette étape, vous devrez sélectionner l'installation du serveur DNS de Windows. En effet, Active Directory a absolument besoin d avoir accès à un serveur DNS local au réseau pour fonctionner. 10
Un message d'avertissement normal apparaît ensuite. Cliquez sur "Oui" pour continuer l'installation du contrôleur de domaine. On vous proposera des chemins où stocker la base de données du journal; et votre volume système (l endroit où Active Directory installera ses fichiers), qui est toujours C:\Windows\SYSVOL; acceptez les répertoires tels qu ils sont. 11
Si votre Active Directory, pour une raison quelconque, venait à tomber en panne, vous pourrez le restaurer. Pour protéger votre serveur et ainsi éviter des restaurations non souhaitées, vous devrez donner un mot de passe fort différent du mot de passe administrateur. Vous arrivez ensuite sur le résumé de l'installation qui va être faite. Passer cette étape en cliquant directement sur "Suivant". 12
L'installation peut prendre quelques minutes et doit se passer sans problèmes. Cocher la case "Redémarrer à la fin de l opération" pour qu il le fasse automatiquement. 13
Après le redémarrage de votre machine, le système d authentification a changé, vous aurez une fenêtre différent de celle que vous aviez avant, vous aurez une fenêtre qui ressemble à ça : Introduire votre mot de passe habituelle, une fois redémarré, revenez à la fenêtre «Gérer votre serveur». Vous devriez constater que les services Contrôleur de domaine (Active Directory) et DNS sont maintenant configurés. Bravo! Votre domaine est maintenant né! 14
Structure de base d'un domaine Étant maintenant les maîtres de votre domaine, vous pouvez aller le gérer avec la console «Utilisateurs et ordinateurs Active Directory». Cette console est accessible via Démarrer/Outils d administration. Vous pouvez aussi atteindre la console par la fenêtre Gérer votre serveur que vous utilisez depuis tout à l heure. Une fois dans la console d Active Directory, vous pouvez constater une structure hiérarchique du domaine. Dans la fenêtre, on voit la racine qui est le nom du domaine, keglg10.local. Tout domaine doit avoir la structure minimale suivante: Votre nom de domaine Unité d'organisation (UO) Conteneur (remarquez l icône différent) On verra plus tard à quoi servent ces conteneurs et UO. Pour l instant, il suffit de savoir que ce n est pas exactement la même chose. Il est aussi une bonne idée de regrouper les comptes des ordinateurs dans «Computers» et les comptes des usagers dans «Users». 15
Étape 2 : Jonction de l'ordinateur au domaine: Rappel : vos cartes réseaux virtuelles doivent être bien configurées, autant pour la machine serveur que pour la machine client! Revoyez la section sur la préparation au début de cet atelier! Avant de commencer Vous devrez vous connecter au client pour configurer correctement son adresse IP. Procédez de la même manière que lorsque vous avez configuré les paramètres TCP/IP du serveur, en tenant compte des points importants suivants : Pour votre station Windows 7, son adresse IP doit indiquer qu'elle est sur le même réseau que le serveur et son serveur DNS préféré doit être le serveur. En effet, votre réseau, étant une classe C, est 192.168.X.0 (où X correspond à votre numéro d équipe). Le serveur doit donc avoir une adresse dans ce réseau (mais une adresse qui doit tout de même être différente de celle du réseau!). En plus, lorsque vous tenterez de le joindre au domaine, vous ne fournirez que le nom du domaine. Le client aura besoin de trouver l adresse IP du contrôleur de ce domaine pour pouvoir s y joindre. Pour ce faire, il devra demander à un serveur DNS de lui fournir cette adresse IP. C est pour cette raison qu il est essentiel que votre client connaisse l adresse de votre serveur DNS. 16
a) Jonction du compte ordinateur à un domaine. Très important : Avant de joindre votre VM Windows 7 au domaine veuillez noter dans une feuille à part : 1. le nom de la machine (nom de l ordinateur), 2. le nom d utilisateur et le mot de passe que vous utilisez pour vous connectez à la VM Windows 7. Si vous n avez pas de mot de passe notez juste le nom d utilisateur. Vous aurez besoin de connaître votre nom de domaine. Normalement, ça devrait être KEGLGx.local où x est votre numéro d équipe. Assurez-vous que c est bien le cas et sinon, prenez note du nom. Il ne suffit pas d'un compte ordinateur pour créer un lien entre un domaine et un ordinateur, il faut le joindre au domaine. Pour cela, un administrateur du domaine doit avoir un accès physique au poste client et doit le joindre manuellement. Voici les étapes à suivre. Allez dans les propriétés du Poste de travail du client, puis dans l onglet «Nom de l ordinateur». Cliquez ensuite sur Modifier. La boite de dialogue «Modification du nom de l'ordinateur» apparaît : 17
Sélectionnez l'option Domaine et tapez le nom du domaine Cliquer sur OK L'ordinateur vous demande alors de saisir un nom d'usager et un mot de passe. (Si ce n est pas le cas, vérifiez la configuration TCP/IP du serveur et du client, la configuration des cartes réseaux virtuelles du serveur et du client). Ce qu Active Directory veut comme login (car c est bien lui qui vous fait cette demande), c est que vous lui prouviez que vous êtes un administrateur du domaine ayant le droit d ajouter des clients au domaine. Utilisez donc le login «Administrateur» et le mot de passe Administrateur de votre serveur (rappelez-vous, vous l avez défini en installant Windows 2008 R2 au laboratoire 2). Pour l'instant c'est le seul usager qui est autorisé à joindre un ordinateur au domaine. Si votre mot de passe est valide, on vous souhaitera la bienvenue dans le domaine. Sinon, recommencez. Vous êtes ensuite invités à redémarrer votre ordinateur. Vous remarquerez après le démarrage que votre écran de login n est plus le même : vous devez utiliser CTRL-ALT-Del (ou CTRL de droite-del sur votre machine virtuelle!) pour vous loguer. Vous aurez également le choix (dans les options supplémentaires) de vous authentifier sur l ordinateur lui-même (avec un compte local, comme avant) ou sur le domaine (avec un compte d utilisateur du domaine). Connecter vous avec le compte administrateur de votre serveur sur votre client Windows 7. 18
Aller maintenant voir dans votre Active Directory si l ordinateur est bien ajouter, pour cela aller dans Utilisateurs et ordinateurs d'active Directory/Computers comme indiqué ici : 19
Suppression, désactivation et réinitialisation des comptes Pour supprimer un compte (ordinateur comme utilisateur) avec la console «Utilisateurs et ordinateurs Active Directory», localisez et sélectionnez l'objet ordinateur puis dans le menu Action, choisissez simplement supprimer. Si un compte est supprimé, même si vous créez un compte avec le même nom et le même mot de passe, ce sera un nouveau compte. Si un compte ordinateur ou utilisateur reste inexploité pendant une longue période, vous pouvez alors le désactiver. Dans le menu contextuel ou par le menu Action, choisissez Désactiver (une croix rouge apparaît sur le compte). Vous pouvez le réactiver en tout temps. Un compte désactivé est équivalent à un compte supprimé, sauf qu il est plus facile d en réactiver un que d en créer un nouveau. En plus, un compte désactivé puis réactivé reste le même compte. Vous pouvez également réinitialiser le mot de passe d un compte utilisateur par le biais du menu /"Réinitialisé le mot de passe". Cette commande permet de conserver les propriétés du compte, seul le mot de passe est réinitialisé. Dans le cas d un compte utilisateur, l utilisateur peut de nouveau l utiliser s il avait oublié son mot de passe. Dans le cas d un compte ordinateur, le compte est disponible et un ordinateur au même nom pourra être rattaché au compte (en suivant la procédure de jonction au domaine). Mise en situation : À l'ouverture d'une session, un message indiquant que le contrôleur de domaine ne peut pas être contacté, ou que le compte d'ordinateur est absent ou que la relation entre le domaine et l'ordinateur est perdue, que faire? Si le compte existe dans Active Directory, il doit être réinitialisé. Question: Comment vérifier qu'un ordinateur existe dans Active directory? Réponse: La console «Utilisateurs et ordinateurs d'active Directory» donne accès à un outil graphique puissant qui permet de localiser une grande variété d'objets (ordinateurs dans notre cas). Dans Rechercher, choisir Ordinateur Si le compte n'existe pas dans Active Directory, vous devez le créer. Si l'ordinateur appartient au domaine, vous devez le supprimer du domaine en le remettant dans un groupe de travail (tel qu il était avant que vous l ajoutiez à votre domaine). Le nom du groupe de travail choisi n'a pas d'importance. Choisissez un nom de groupe inutilisé, Puis joignez à nouveau l'ordinateur au domaine. 20