Installer les services de domaine Active Directory (niveau 100)
Cette rubrique explique comment installer les services AD DS dans Windows Server 2012 à l’aide de l’une des méthodes suivantes :
Installation des services AD DS à l’aide de Windows PowerShell
Installation des services AD DS à l’aide du Gestionnaire de serveur
Installation intermédiaire d’un contrôleur de domaine à l’aide de l’interface utilisateur graphique
Informations d’identification requises pour exécuter Adprep.exe et installer les services de domaine Active Directory
Les informations d’identification suivantes sont requises pour exécuter Adprep.exe et installer les services AD DS.
Pour installer une nouvelle forêt, vous devez avoir ouvert une session en tant qu’administrateur local de l’ordinateur.
Pour installer un nouveau domaine enfant ou une nouvelle arborescence de domaine, vous devez avoir ouvert une session en tant que membre du groupe Administrateurs de l’entreprise.
Pour installer un autre contrôleur de domaine dans un domaine existant, vous devez être membre du groupe Admins du domaine.
Notes
Si vous n’exécutez pas la commande adprep.exe séparément et que vous installez le premier contrôleur de domaine Windows Server 2012 dans un domaine ou une forêt existant, vous serez invité à fournir des informations d’identification pour exécuter les commandes Adprep. Les informations d’identification requises sont les suivantes :
Pour introduire le premier contrôleur de domaine Windows Server 2012 dans la forêt, vous devez fournir les informations d’identification d’un membre du groupe Administrateurs de l’entreprise, du groupe Administrateurs du schéma et du groupe Admins du domaine dans le domaine qui héberge le contrôleur de schéma.
Pour introduire le premier contrôleur de domaine Windows Server 2012 dans un domaine, vous devez fournir les informations d’identification d’un membre du groupe Admins du domaine.
Pour introduire le premier contrôleur de domaine en lecture seule (RODC) dans la forêt, vous devez fournir les informations d’identification d’un membre du groupe Administrateurs de l’entreprise.
Notes
Si vous avez déjà exécuté adprep /rodcprep dans Windows Server 2008 ou Windows Server 2008 R2, il est inutile de l’exécuter à nouveau pour Windows Server 2012.
Installation des services AD DS à l’aide de Windows PowerShell
À compter de Windows Server 2012, vous pouvez installer les services AD DS à l’aide de Windows PowerShell. L’utilisation de dcpromo.exe est déconseillée à compter de Windows Server 2012, mais vous pouvez toujours exécuter dcpromo.exe à l’aide d’un fichier de réponses (dcpromo /unattend:<fichier_de_réponses> ou dcpromo /answer:<fichier_de_réponses>). La possibilité d’exécuter dcpromo.exe avec un fichier de réponses donne aux organisations ayant investi des ressources dans la création d’une automatisation avec dcpromo.exe le temps de convertir l’automatisation existante vers Windows PowerShell. Pour plus d’informations sur l’exécution de dcpromo.exe avec un fichier de réponses, voir https://support.microsoft.com/kb/947034.
Pour plus d’informations sur la suppression des services AD DS à l’aide de Windows PowerShell, voir Supprimer les services AD DS à l’aide de Windows PowerShell.
Commencez par ajouter le rôle à l’aide de Windows PowerShell. Cette commande installe le rôle serveur AD DS ainsi que les outils d’administration de serveur AD DS et AD LDS, y compris des outils basés sur une interface utilisateur graphique tels qu’Utilisateurs et ordinateurs Active Directory et des outils de ligne de commande tels que dcdia.exe. Les outils d’administration de serveur ne sont pas installés par défaut lorsque vous utilisez Windows PowerShell. Vous devez spécifier IncludeManagementTools pour gérer le serveur local ou installer les Outils d’administration de serveur distant pour gérer un serveur distant.
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
<<Windows PowerShell cmdlet and arguments>>
Aucun redémarrage n’est requis avant la fin de l’installation des services AD DS.
Vous pouvez alors exécuter cette commande pour voir les applets de commande disponibles dans le module ADDSDeployment.
Get-Command -Module ADDSDeployment
Pour afficher la liste des arguments que vous pouvez spécifier pour les applets de commande et la syntaxe à utiliser :
Get-Help <cmdlet name>
Par exemple, pour afficher les arguments à utiliser pour créer un compte de contrôleur de domaine en lecture seule (RODC) inoccupé, tapez :
Get-Help Add-ADDSReadOnlyDomainControllerAccount
Les arguments facultatifs apparaissent entre crochets.
Vous pouvez également télécharger les derniers exemples et concepts d’aide pour les applets de commande Windows PowerShell. Pour plus d’informations, voir about_Updatable_Help.
Vous pouvez exécuter les applets de commande Windows PowerShell sur des serveurs distants :
Dans Windows PowerShell, utilisez Invoke-Command avec l’applet de commande ADDSDeployment. Par exemple, pour installer les services AD DS sur un serveur distant nommé ConDC3 dans le domaine contoso.com, tapez :
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
-ou-
- Dans le Gestionnaire de serveur, créez un groupe de serveurs qui inclut le serveur distant. Cliquez avec le bouton droit sur le nom du serveur distant, puis cliquez sur Windows PowerShell.
Les sections suivantes expliquent comment exécuter les applets de commande du module ADDSDeployment pour installer les services AD DS.
Spécification des informations d’identification Windows PowerShell
Installation d’un nouveau domaine racine de forêt à l’aide de Windows PowerShell
Installation d’un nouveau domaine enfant ou domaine d’arborescence à l’aide de Windows PowerShell
Installation d’un contrôleur de domaine supplémentaire (réplica) à l’aide de Windows PowerShell
Arguments de l’applet de commande ADDSDeployment
Le tableau suivant répertorie les arguments de l’applet de commande ADDSDeployment dans Windows PowerShell. Les arguments en gras sont requis. Les arguments équivalents pour dcpromo.exe sont répertoriés entre parenthèses s’ils sont nommés différemment dans Windows PowerShell.
Les commutateurs Windows PowerShell acceptent les arguments $TRUE ou $FALSE. Les arguments qui sont $TRUE par défaut n’ont pas besoin d’être spécifiés.
Pour remplacer des valeurs par défaut, vous pouvez spécifier l’argument avec une valeur $False. Par exemple, l’argument -InstallDNS étant exécuté automatiquement lors de l’installation d’une nouvelle forêt même s’il n’est pas spécifié, la seule façon d’empêcher l’installation DNS lorsque vous installez une nouvelle forêt est d’utiliser ce qui suit :
-InstallDNS:$False
De même, étant donné que l’argument -InstallDNS a par défaut la valeur $False si vous installez un contrôleur de domaine dans un environnement qui n’héberge pas le serveur DNS Windows Server, vous devez spécifier l’argument suivant pour installer le serveur DNS :
-InstallDNS:$True
Argument | Description |
---|---|
Remarque d’informations d’identification> PS ADPrepCredential <: Obligatoire si vous installez le premier contrôleur de domaine Windows Server 2012 dans un domaine ou une forêt et que les informations d’identification de l’utilisateur actuel ne sont pas suffisantes pour effectuer l’opération. | Spécifie le compte appartenant au groupe Administrateurs de l’entreprise et Administrateurs du schéma qui peut préparer la forêt selon les règles de Get-Credential et un objet PSCredential. Si aucune valeur n’est spécifiée, la valeur de l’argument credential est utilisée. |
AllowDomainControllerReinstall | Indique si l’installation de ce contrôleur de domaine accessible en écriture doit se poursuivre même si autre compte de contrôleur de domaine accessible en écriture du même nom a été détecté. Utilisez $True uniquement si vous êtes sûr que le compte n’est pas actuellement utilisé par un autre contrôleur de domaine accessible en écriture. La valeur par défaut est $False. Cet argument n’est pas valide pour un contrôleur de domaine en lecture seule. |
AllowDomainReinstall | Indique si un domaine existant est recréé. La valeur par défaut est $False. |
AllowPasswordReplicationAccountName <string []> | Spécifie les noms des comptes d’utilisateur, des comptes de groupe et des comptes d’ordinateur dont les mots de passe peuvent être répliqués sur ce contrôleur de domaine en lecture seule. Utilisez une chaîne vide "" si vous voulez que la valeur reste vide. Par défaut, seul le « Groupe de réplication dont le mot de passe RODC est autorisé » est autorisé et il est vide à l’origine. Spécifiez les valeurs sous forme d’un tableau de chaînes. Par exemple : Code -AllowPasswordReplicationAccountName "JSmith","JSmithPC","Branch Users" |
ApplicationPartitionsToReplicate <string []>Remarque : Il n’existe aucune option équivalente dans l’interface utilisateur. Si vous procédez à l’installation à l’aide de l’interface utilisateur ou de l’option Installation à partir du support, toutes les partitions d’application sont alors répliquées. | Spécifie les partitions de l’annuaire d’applications à répliquer. Cet argument est uniquement appliqué lorsque vous spécifiez l’argument -InstallationMediaPath pour effectuer l’installation à partir du support. Par défaut, toutes les partitions d’application sont répliquées selon leur propre étendue. Spécifiez les valeurs sous forme d’un tableau de chaînes. Par exemple : Code - -ApplicationPartitionsToReplicate "partition1","partition2","partition3" |
Confirmer | Vous demande une confirmation avant d’exécuter l’applet de commande. |
CreateDnsDelegation Remarque : Vous ne pouvez pas spécifier cet argument lorsque vous exécutez l’applet de commande Add-ADDSReadOnlyDomainController. | Indique si une délégation DNS qui référence le nouveau serveur DNS que vous installez avec le contrôleur de domaine doit être créée. Valide uniquement pour un serveur DNS intégré à Active Directory. Les enregistrements de délégation ne peuvent être créés que sur des serveurs DNS Microsoft qui sont en ligne et accessibles. Il est impossible de créer des enregistrements de délégation pour des domaines qui sont immédiatement subordonnés à des domaines de premier niveau tels que .com, .gov, .biz, .edu ou à des domaines dont l’indicatif de pays comporte deux lettres, tels que .nz et .au. La valeur par défaut est calculée automatiquement en fonction de l’environnement. |
Note d’informations <d’identification PS d’informations d’identification > : obligatoire uniquement si les informations d’identification de l’utilisateur actuel ne sont pas suffisantes pour effectuer l’opération. | Spécifie le compte de domaine qui peut se connecter au domaine selon les règles de Get-Credential et un objet PSCredential. Si aucune valeur n’est spécifiée, les informations d’identification de l’utilisateur actuel sont utilisées. |
CriticalReplicationOnly | Spécifie si l’opération d’installation des services AD DS effectue uniquement la réplication critique avant le redémarrage, puis continue. La réplication non critique a lieu au terme de l’installation et après le redémarrage de l’ordinateur. L’utilisation de cet argument n’est pas recommandée. Aucune option équivalente n’est disponible dans l’interface utilisateur. |
DatabasePath <string> | Spécifie le chemin d’accès complet non UNC (Universal Naming Convention) à un répertoire sur un disque fixe de l’ordinateur local contenant la base de données du domaine. Par exemple, C:\Windows\NTDS. La valeur par défaut est %SYSTEMROOT%\NTDS. Important : Alors que vous pouvez stocker la base de données et les fichiers journaux AD DS sur un volume formaté avec le système ReFS (Resilient File System), l’hébergement des services AD DS sur ReFS ne présente pas d’avantage particulier autre que les avantages classiques de la résilience dont vous bénéficiez en hébergeant n’importe quelle donnée sur ReFS. |
DelegatedAdministratorAccountName <string> | Spécifie le nom de l’utilisateur ou du groupe pouvant installer et gérer le contrôleur de domaine en lecture seule. Par défaut, seuls les membres du groupe Admins du domaine peuvent gérer un contrôleur de domaine en lecture seule. |
DenyPasswordReplicationAccountName <string []> | Spécifie les noms des comptes d’utilisateur, des comptes de groupe et des comptes d’ordinateur dont les mots de passe ne doivent pas être répliqués sur ce contrôleur de domaine en lecture seule. Utilisez une chaîne vide "" si vous ne voulez refuser la réplication des informations d’identification d’aucun utilisateur ou ordinateur. Par défaut, Administrateurs, Opérateurs de serveur, Opérateurs de sauvegarde, Opérateurs de compte et Groupe de réplication dont le mot de passe RODC est refusé sont refusés. Par défaut, le Groupe de réplication dont le mot de passe RODC est refusé inclut Éditeurs de certificats, Admins du domaine, Administrateurs de l’entreprise, Contrôleurs de domaine d’entreprise, Contrôleurs de domaine d’entreprise en lecture seule, Propriétaires créateurs de la stratégie de groupe, le compte krbtgt et Administrateurs du schéma. Spécifiez les valeurs sous forme d’un tableau de chaînes. Par exemple : Code - -DenyPasswordReplicationAccountName "RegionalAdmins","AdminPCs" |
DnsDelegationCredential <Justificatifs PS>Remarque : Vous ne pouvez pas spécifier cet argument lorsque vous exécutez l’applet de commande Add-ADDSReadOnlyDomainController. | Spécifie le nom d’utilisateur et le mot de passe pour créer la délégation DNS selon les règles de Get-Credential et un objet PSCredential. |
DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} ou DomainMode <DomainMode> {2 | 3 | 4 | 5 | 6} |
Spécifie le niveau fonctionnel du domaine au cours de la création d’un domaine. Le niveau fonctionnel du domaine ne peut pas être inférieur à celui de la forêt, mais il peut être supérieur. La valeur par défaut est automatiquement calculée et correspond au niveau fonctionnel existant de la forêt ou à la valeur définir pour -ForestMode. |
DomainName Requis pour les applets de commande Install-ADDSForest et Install-ADDSDomainController. |
Spécifie le nom de domaine complet du domaine dans lequel vous voulez installer un contrôleur de domaine supplémentaire. |
DomainNetbiosName <string> Requis pour Install-ADDSForest si le nom du préfixe du nom de domaine complet comporte plus de 15 caractères. |
À utiliser avec Install-ADDSForest. Attribue un nom NetBIOS au nouveau domaine racine de forêt. |
DomainType <DomainType> {ChildDomain | TreeDomain} or {child | tree} | Indique le type de domaine que vous voulez créer : une nouvelle arborescence de domaine dans une forêt existante, un enfant d’un domaine existant ou une nouvelle forêt. La valeur par défaut est ChildDomain. |
Force | Lorsque ce paramètre est spécifié, tous les avertissements susceptibles d’apparaître normalement lors de l’installation et de l’ajout du contrôleur de domaine sont supprimés pour permettre à l’applet de commande de terminer son exécution. Il peut être utile d’inclure ce paramètre dans le cadre d’une installation avec un script. |
ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} ou ForestMode <ForestMode> {2 | 3 | 4 | 5 | 6} |
Spécifie le niveau fonctionnel de la forêt lorsque vous créez une forêt. La valeur par défaut est Win2012. |
InstallationMediaPath | Indique l’emplacement du support d’installation qui sera utilisé pour installer un nouveau contrôleur de domaine. |
InstallDNS | Spécifie si le service Serveur DNS doit être installé et configuré sur le contrôleur de domaine. Pour une nouvelle forêt, la valeur par défaut est $True et le service Serveur DNS est installé. Pour un nouveau domaine enfant ou une nouvelle arborescence de domaine, si le domaine parent (ou le domaine racine de forêt pour une arborescence de domaine) héberge et stocke déjà les noms DNS pour le domaine, la valeur par défaut pour ce paramètre est $True. Dans le cadre de l’installation d’un contrôleur de domaine dans un domaine existant, si ce paramètre n’est pas spécifié et que le domaine actuel héberge et stocke déjà les noms DNS pour le domaine, la valeur par défaut pour ce paramètre est alors $True. Dans le cas contraire, si les noms de domaine DNS sont hébergés en dehors d’Active Directory, la valeur par défaut est $False et aucun serveur DNS n’est installé. |
LogPath <string> | Spécifie le chemin d’accès complet non UNC à un répertoire sur un disque fixe de l’ordinateur local contenant les fichiers journaux du domaine. Par exemple, C:\Windows\Logs. La valeur par défaut est %SYSTEMROOT%\NTDS. Important : Ne stockez pas les fichiers journaux Active Directory sur un volume de données au format ReFS (Resilient File System). |
MoveInfrastructureOperationMasterRoleIfNecessary | Spécifie si le rôle de maître d’opérations du maître d’infrastructure (également connu sous le nom de rôle d’opérations à maître unique flottant ou FSMO) doit être transféré sur le contrôleur de domaine que vous créez, s’il est actuellement hébergé sur un serveur de catalogue global et que vous n’envisagez pas d’utiliser le contrôleur de domaine que vous créez comme serveur de catalogue global. Spécifiez ce paramètre pour transférer le rôle de maître d’infrastructure sur le contrôleur de domaine que vous créez si le transfert est nécessaire ; dans ce cas, spécifiez l’option NoGlobalCatalog si vous voulez que le rôle de maître d’infrastructure demeure à son emplacement actuel. |
Note de chaîne > NewDomainName <: Obligatoire uniquement pour Install-ADDSDomain. | Spécifie le nom de domaine unique pour le nouveau domaine. Par exemple, si vous voulez créer un nouveau domaine enfant nommé emea.corp.fabrikam.com, spécifiez emea comme valeur de cet argument. |
NewDomainNetbiosName <string> Requis pour Install-ADDSDomain si le nom du préfixe du nom de domaine complet comporte plus de 15 caractères. |
À utiliser avec Install-ADDSDomain. Attribue un nom NetBIOS au nouveau domaine. La valeur par défaut est dérivée de la valeur de NewDomainName. |
NoDnsOnNetwork | Spécifie que le service DNS n’est pas disponible sur le réseau. Ce paramètre est uniquement utilisé lorsque le paramètre IP de la carte réseau de cet ordinateur n’est pas configuré avec le nom d’un serveur DNS à des fins de résolution de noms. Il indique que le serveur DNS sera installé sur cet ordinateur à des fins de résolution de noms. Sinon, les paramètres IP de la carte réseau doivent être au préalable configurés avec l’adresse d’un serveur DNS. Si ce paramètre est omis (par défaut), cela signifie que les paramètres du client TCP/IP de la carte réseau sur cet ordinateur serveur seront utilisés pour contacter un serveur DNS. Par conséquent, si vous ne spécifiez pas ce paramètre, vérifiez que les paramètres du client TCP/IP sont au préalable configurés avec l’adresse d’un serveur DNS préféré. |
NoGlobalCatalog | Indique que vous ne voulez pas que le contrôleur de domaine soit un serveur de catalogue global. Les contrôleurs de domaine Windows Server 2012 sont installés avec le catalogue global par défaut. En d’autres termes, l’exécution a lieu automatiquement sans calcul, sauf si vous spécifiez : Code - -NoGlobalCatalog |
NoRebootOnCompletion | Spécifie si l’ordinateur doit être redémarré à la fin d’une commande, qu’elle ait abouti ou non. Par défaut, l’ordinateur redémarre. Pour empêcher le serveur de redémarrer, spécifiez : Code - -NoRebootOnCompletion:$True Aucune option équivalente n’est disponible dans l’interface utilisateur. |
Note de chaîne > ParentDomainName <: Obligatoire pour l’applet de commande Install-ADDSDomain | Spécifie le nom de domaine complet d’un domaine parent existant. Vous utilisez cet argument lorsque vous installez un domaine d’enfant ou une nouvelle arborescence de domaine. Par exemple, si vous voulez créer un nouveau domaine enfant nommé emea.corp.fabrikam.com, spécifiez corp.fabrikam.com comme valeur de cet argument. |
ReadOnlyReplica | Spécifie si un contrôleur de domaine en lecture seule doit être installé. |
ReplicationSourceDC <string> | Indique le nom de domaine complet du contrôleur de domaine partenaire à partir duquel vous répliquez les informations du domaine. La valeur par défaut est automatiquement calculée. |
SafeModeAdministratorPassword <securestring> | Fournit le mot de passe du compte d’administrateur lorsque l’ordinateur est démarré en mode sans échec ou dans une variante du mode sans échec, par exemple le mode Restauration des services d’annuaire. La valeur par défaut est un mot de passe vide. Vous devez fournir un mot de passe. Le mot de passe doit être spécifié au format System.Security.SecureString, comme celui fourni par read-host -assecurestring ou ConvertTo-SecureString. Le fonctionnement de l’argument SafeModeAdministratorPassword est spécial : s’il n’est pas spécifié en tant qu’argument, l’applet de commande vous invite à entrer et à confirmer un mot de passe masqué. Il s’agit du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande. S’il est spécifié sans valeur et qu’aucun autre argument n’est spécifié pour l’applet de commande, cette dernière vous invite à entrer un mot de passe masqué sans confirmation. Il ne s’agit pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande. S’ils sont spécifiés avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande. Par exemple, vous pouvez manuellement inviter l'utilisateur à entrer un mot de passe sous forme d'une chaîne sécurisée à l'aide de l'applet de commande Read-Host : safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring). Vous pouvez également fournir une chaîne sécurisée sous forme d'une variable en texte clair convertie, bien que ceci soit fortement déconseillé. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force) |
SiteName <string> Requis pour l’applet de commande Add-addsreadonlydomaincontrolleraccount |
Spécifie le site dans lequel le contrôleur de domaine sera installé. Il n’y a pas d’argument sitename lorsque vous exécutez Install-ADDSForest, car le premier site créé est Default-First-Site-Name. Le nom du site doit déjà exister s’il est fourni en tant qu’argument à -sitename. L’applet de commande ne crée pas le site. |
SkipAutoConfigureDNS | Ignore la configuration automatique des paramètres des clients DNS, des redirecteurs et des indications de racine. Cet argument est uniquement en vigueur si le service Serveur DNS est déjà installé ou automatiquement installé avec -InstallDNS. |
SystemKey <string> | Spécifie la clé système du support à partir duquel vous répliquez les données. La valeur par défaut est none. Les données doivent être au format fourni par read-host -assecurestring ou ConvertTo-SecureString. |
SysvolPath <string> | Spécifie le chemin d’accès complet non UNC à un répertoire sur un disque fixe de l’ordinateur local. Par exemple, C:\Windows\SYSVOL. La valeur par défaut est %SYSTEMROOT%\SYSVOL. Important : SYSVOL ne peut pas être stocké sur un volume de données au format ReFS (Resilient File System). |
SkipPreChecks | N’exécute pas les vérifications de la configuration requise avant le début de l’installation. Il n’est pas conseillé d’utiliser ce paramètre. |
WhatIf | Montre ce qui se passe en cas d’exécution de l’applet de commande. L’applet de commande n’est pas exécutée. |
Spécification des informations d’identification Windows PowerShell
Vous pouvez spécifier des informations d’identification sans les divulguer en texte brut à l’écran à l’aide de Get-credential.
Le fonctionnement des arguments -SafeModeAdministratorPassword et LocalAdministratorPassword est spécial :
S’ils ne sont pas spécifiés en tant qu’arguments, l’applet de commande vous invite à entrer et à confirmer un mot de passe masqué. Il s’agit du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.
S’ils sont spécifiés avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.
Par exemple, vous pouvez manuellement inviter l’utilisateur à entrer un mot de passe sous forme d’une chaîne sécurisée à l’aide de l’applet de commande Read-Host.
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
Avertissement
Étant donné que l’option précédente ne confirme pas le mot de passe, faites preuve de prudence, car le mot de passe n’est pas visible.
Vous pouvez également fournir une chaîne sécurisée sous forme d’une variable en texte clair convertie, bien que ceci soit fortement déconseillé.
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Avertissement
Il n’est pas recommandé de fournir ou de stocker un mot de passe en texte clair. Toute personne qui exécute cette commande dans un script ou qui regarde par-dessus votre épaule connaît le mot de passe DSRM de ce contrôleur de domaine. Munie de cette information, elle peut alors emprunter l’identité du contrôleur de domaine elle-même et élever son privilège au niveau le plus élevé d’une forêt Active Directory.
Utilisation d’applets de commande de test
Chaque applet de commande ADDSDeployment est associée à une applet de commande de test. Les applets de commande de test exécutent uniquement les vérifications de la configuration requise pour l’opération d’installation ; aucun paramètre d’installation n’est configuré. Les arguments pour chaque applet de commande de test sont les mêmes que pour l’applet de commande d’installation correspondante, mais SkipPreChecks n’est pas disponible pour les applets de commande de test.
Applet de commande de test | Description |
---|---|
Test-ADDSForestInstallation | Exécute les vérifications de la configuration requise pour installer une nouvelle forêt Active Directory. |
Test-ADDSDomainInstallation | Exécute les vérifications de la configuration requise pour installer un nouveau domaine dans Active Directory. |
Test-ADDSDomainControllerInstallation | Exécute les vérifications de la configuration requise pour installer un contrôleur de domaine dans Active Directory. |
Test-ADDSReadOnlyDomainControllerAccountCreation | Exécute les vérifications de la configuration requise pour ajouter un compte de contrôleur de domaine en lecture seule. |
Installation d’un nouveau domaine racine de forêt à l’aide de Windows PowerShell
La syntaxe de commande pour installer une nouvelle forêt est la suivante. Les arguments facultatifs apparaissent entre crochets.
Install-ADDSForest [-SkipPreChecks] -DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Notes
L’argument -DomainNetBIOSName est requis si vous voulez modifier le nom de 15 caractères qui est automatiquement généré en fonction du préfixe du nom de domaine DNS ou si le nom fait plus de 15 caractères.
Par exemple, pour installer une nouvelle forêt nommée corp.contoso.com et inviter l’utilisateur à entrer de manière sécurisée le mot de passe DSRM, tapez :
Install-ADDSForest -DomainName "corp.contoso.com"
Remarque
Le serveur DNS est installé par défaut lorsque vous exécutez Install-ADDSForest.
Pour installer une nouvelle forêt nommée corp.contoso.com, créer une délégation DNS dans le domaine contoso.com, définir Windows Server 2008 R2 comme niveau fonctionnel du domaine et définir Windows Server 2008 comme niveau fonctionnel de la forêt, installer la base de données Active Directory et SYSVOL sur le lecteur D:\, installer les fichiers journaux sur le lecteur E:\ et inviter l’utilisateur à fournir le mot de passe du mode de restauration des services d’annuaire (DSRM), tapez :
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2008R2 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Installation d’un nouveau domaine enfant ou domaine d’arborescence à l’aide de Windows PowerShell
La syntaxe de commande pour installer un nouveau domaine est la suivante. Les arguments facultatifs apparaissent entre crochets.
Install-ADDSDomain [-SkipPreChecks] -NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Remarque
L’argument -credential est uniquement requis lorsque vous n’êtes pas actuellement connecté en tant que membre du groupe Administrateurs de l’entreprise.
L’argument -NewDomainNetBIOSName est requis si vous voulez modifier le nom de 15 caractères automatiquement généré en fonction du préfixe du nom de domaine DNS ou si le nom fait plus de 15 caractères.
Par exemple, pour utiliser les informations d’identification de corp\EnterpriseAdmin1 pour créer un domaine enfant nommé child.corp.contoso.com, installer Serveur DNS, créer une délégation DNS dans le domaine corp.contoso.com, définir Windows Server 2003 comme niveau fonctionnel du domaine, configurer le contrôleur de domaine en tant que serveur de catalogue global dans un site nommé Houston, utiliser DC1.corp.contoso.com comme contrôleur de domaine source de réplication, installer la base de données Active Directory et SYSVOL sur le lecteur D:\, installer les fichiers journaux sur le lecteur E:\ et inviter l’utilisateur à fournir le mot de passe du mode de restauration des services d’annuaire (DSRM) sans lui demander de confirmer la commande, tapez :
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2003 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" "SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
Installation d’un contrôleur de domaine supplémentaire (réplica) à l’aide de Windows PowerShell
La syntaxe de commande pour installer un contrôleur de domaine supplémentaire est la suivante. Les arguments facultatifs apparaissent entre crochets.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Pour installer un contrôleur de domaine et un serveur DNS dans le domaine corp.contoso.com et inviter l’utilisateur à entrer les informations d’identification de l’administrateur du domaine et le mot de passe DSRM, tapez :
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
Si l’ordinateur est déjà joint à un domaine et que vous êtes membre du groupe Admins du domaine, vous pouvez utiliser :
Install-ADDSDomainController -DomainName "corp.contoso.com"
Pour inviter l’utilisateur à entrer le nom du domaine, tapez :
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
La commande suivante utilise les informations d’identification de Contoso\EnterpriseAdmin1 pour installer un contrôleur de domaine accessible en écriture et un serveur de catalogue global dans un site nommé Boston, installer le serveur DNS, créer une délégation DNS dans le domaine contoso.com, effectuer l’installation à partir du support stocké dans le dossier c:\ADDS IFM, installer la base de données Active Directory et SYSVOL sur le lecteur D:\, installer les fichiers journaux sur le lecteur E:\, redémarrer automatiquement le serveur une fois l’installation des services AD DS terminée et inviter l’utilisateur à fournir le mot de passe du mode de restauration des services d’annuaire (DSRM).
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Installation intermédiaire d’un contrôleur de domaine à l’aide de Windows PowerShell
La syntaxe de commande pour créer un compte RODC est la suivante. Les arguments facultatifs apparaissent entre crochets.
Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] -DomainControllerAccuntName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]
La syntaxe de commande pour attacher un serveur à compte RODC est la suivante. Les arguments facultatifs apparaissent entre crochets.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Par exemple, pour créer un compte RODC nommé RODC1 :
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston DelegatedAdministratoraccountName AdminUser
Exécutez ensuite les commandes suivantes sur le serveur que vous voulez attacher au compte RODC1. Le serveur ne peut pas être joint au domaine. Pour commencer, installez le rôle serveur AD DS et les outils de gestion :
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Ensuite, exécutez la commande suivante pour créer le contrôleur de domaine en lecture seule :
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
Appuyez sur O pour confirmer ou incluez l’argument confirm pour ne pas afficher l’invite de confirmation.
Installation des services AD DS à l’aide du Gestionnaire de serveur
Les services AD DS peuvent être installés sur Windows Server 2012 à l’aide de l’Assistant Ajout de rôles dans le Gestionnaire de serveur, puis de l’Assistant Configuration des services de domaine Active Directory, ce qui est une nouvelle possibilité à compter de Windows Server 2012. L’utilisation de l’Assistant Installation Active Directory Domain Services (dcpromo.exe) est déconseillée à compter de Windows Server 2012.
Les sections suivantes expliquent comment créer des pools de serveurs pour installer et gérer les services AD DS sur plusieurs serveurs et comment utiliser les Assistants pour installer les services AD DS.
Création de pools de serveurs
Le Gestionnaire de serveur peut mettre en pool d’autres serveurs sur le réseau tant qu’ils sont accessibles à partir de l’ordinateur exécutant le Gestionnaire de serveur. Une fois la mise en pool terminée, vous pouvez sélectionner ces serveurs en vue d’une installation à distance des services AD DS ou toute autre option de configuration possible dans le Gestionnaire de serveur. L’ordinateur exécutant le Gestionnaire de serveur se met en pool automatiquement. Pour plus d’informations sur les pools de serveurs, consultez Ajouter des serveurs au Gestionnaire de serveur.
Remarque
Pour gérer un ordinateur appartenant à un domaine à l’aide du Gestionnaire de serveur sur un serveur de groupe de travail, ou inversement, des étapes de configuration supplémentaires sont nécessaires. Pour plus d’informations, consultez « Ajouter et gérer des serveurs dans des groupes de travail » dans Ajouter des serveurs au Gestionnaire de serveur.
Installation des services AD DS
Informations d’identification d’administration
Les informations d’identification requises pour installer les services AD DS varient en fonction de la configuration de déploiement que vous choisissez. Pour plus d’informations, voir Informations d’identification requises pour exécuter Adprep.exe et installer les services de domaine Active Directory.
Utilisez les procédures suivantes pour installer les services AD DS à l’aide de l’interface graphique utilisateur. Les étapes peuvent être effectuées localement ou à distance. Pour obtenir une explication plus détaillée de ces étapes, voir les rubriques suivantes :
Pour installer les services AD DS à l’aide du Gestionnaire de serveur
Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajout de rôles et de fonctionnalités pour démarrer l’Assistant Ajout de rôles.
Dans la page Avant de commencer , cliquez sur Suivant.
Dans la page Sélectionner le type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité, puis sur Suivant.
Dans la page Sélectionner le serveur de destination, cliquez sur Sélectionner un serveur du pool de serveurs, cliquez sur le nom du serveur sur lequel vous voulez installer les services AD DS, puis cliquez sur Suivant.
Pour sélectionner des serveurs distants, commencez par créer un pool de serveurs et ajoutez-y les serveurs distants. Pour plus d’informations sur la création de pools de serveurs, consultez Ajouter des serveurs au Gestionnaire de serveur.
Dans la page Sélectionner des rôles de serveurs, cliquez sur Services de domaine Active Directory. Ensuite, dans la boîte de dialogue Assistant Ajout de rôles et de fonctionnalités, cliquez Ajouter des fonctionnalités, puis sur Suivant.
Dans la page Sélectionner des fonctionnalités, sélectionnez les fonctionnalités supplémentaires à installer, puis cliquez sur Suivant.
Dans Services de domaine Active Directory, examinez les informations, puis cliquez sur Suivant.
Dans la page Confirmer les sélections d’installation, cliquez sur Installer.
Dans la page Résultats, vérifiez que l’installation s’est correctement déroulée, puis cliquez sur Promouvoir ce serveur en contrôleur de domaine pour démarrer l’Assistant Configuration des services de domaine Active Directory.
Important
Si vous fermez l’Assistant Ajout de rôles à ce stade sans démarrer l’Assistant Configuration des services de domaine Active Directory, vous pouvez le redémarrer en cliquant sur Tâches dans le Gestionnaire de serveur.
Dans la page Configuration de déploiement, choisissez l’une des options suivantes :
Si vous installez un contrôleur de domaine supplémentaire dans un domaine existant, cliquez sur Ajouter un contrôleur de domaine à un domaine existant et tapez le nom du domaine (par exemple, emea.corp.contoso.com) ou cliquez sur Sélectionner… pour choisir un domaine et les informations d’identification (par exemple, spécifiez un compte qui est un membre du groupe Admins du domaine), puis cliquez sur Suivant.
Remarque
Le nom du domaine et les informations d’identification de l’utilisateur actuel sont fournis par défaut uniquement si l’ordinateur est joint à un domaine et que vous effectuez une installation locale. Si vous installez les services AD DS sur un serveur distant, vous devez, par conception, spécifier les informations d’identification. Si les informations d’identification de l’utilisateur actuel ne sont pas suffisantes pour effectuer l’installation, cliquez sur Modifier… pour spécifier des informations d’identification différentes.
Pour plus d’informations, voir Installer un contrôleur de domaine Windows Server 2012 répliqué dans un domaine existant (niveau 200).
Si vous installez un nouveau domaine enfant, cliquez sur Ajouter un nouveau domaine à une forêt existante, pour Sélectionnez le type du domaine, sélectionnez Domaine enfant, tapez le nom DNS du domaine parent (par exemple, corp.contoso.com) ou accédez à celui-ci, tapez le nom relatif du nouveau domaine enfant (par exemple, emea), tapez les informations d’identification à utiliser pour créer le domaine, puis cliquez sur Suivant.
Pour plus d’informations, voir Installer un nouveau domaine enfant ou domaine d’arborescence Active Directory Windows Server 2012 (niveau 200).
Si vous installez une nouvelle arborescence de domaine, cliquez sur Ajouter un nouveau domaine à une forêt existante, pour Sélectionnez le type du domaine, sélectionnez Domaine de l’arborescence, tapez le nom du domaine racine (par exemple, corp.contoso.com), tapez le nom DNS du nouveau domaine (par exemple, fabrikam.com), tapez les informations d’identification à utiliser pour créer le domaine, puis cliquez sur Suivant.
Pour plus d’informations, voir Installer un nouveau domaine enfant ou domaine d’arborescence Active Directory Windows Server 2012 (niveau 200).
Si vous installez une nouvelle forêt, cliquez sur Ajouter une nouvelle forêt, puis tapez le nom du domaine racine (par exemple, corp.contoso.com).
Pour plus d’informations, voir Installer une nouvelle forêt Active Directory Windows Server 2012 (niveau 200).
Dans la page Options du contrôleur de domaine, choisissez l’une des options suivantes :
Si vous créez une forêt ou un domaine, sélectionnez les niveaux fonctionnels du domaine et de la forêt, cliquez sur Serveur du Système de Noms de Domaine (DNS), spécifiez le mot de passe DSRM, puis cliquez sur Suivant.
Si vous ajoutez un contrôleur de domaine à un domaine existant, cliquez sur Serveur du Système de Noms de Domaine (DNS), Catalogue global (GC) ou Contrôleur de domaine en lecture seule (RODC) selon les besoins, puis choisissez le nom du site. Ensuite, tapez le mot de passe DSRM, puis cliquez sur Suivant.
Pour plus d’informations sur les options disponibles ou non dans cette page dans des conditions différentes, voir Options du contrôleur de domaine.
Dans la page Options DNS (qui apparaît uniquement si vous installez un serveur DNS), cliquez sur Mettre à jour la délégation DNS selon les besoins. Dans ce cas, entrez les informations d’identification qui autorisent la création d’enregistrements de délégation DNS dans la zone DNS parente.
Si un serveur DNS qui héberge la zone parente ne peut pas être contacté, l’option Mettre à jour la délégation DNS n’est pas disponible.
Pour plus d’informations sur la nécessité ou non de mettre à jour la délégation DNS, consultez Présentation de la délégation de zone. Si vous tentez de mettre à jour la délégation DNS et qu’une erreur se produit, voir Options DNS.
Dans la page Options RODC (qui apparaît uniquement si vous installez un contrôleur de domaine en lecture seule), spécifiez le nom d’un groupe ou d’un utilisateur qui gèrera le contrôleur de domaine en lecture seule, ajoutez des comptes aux groupes de réplication de mot de passe Autorisé ou Refusé ou supprimez des comptes de ceux-ci, puis cliquez sur Suivant.
Pour plus d’informations, consultez Stratégie de réplication de mot de passe.
Dans la page Options supplémentaires, choisissez l’une des options suivantes :
Si vous créez un nouveau domaine, tapez un nouveau nom NetBIOS ou vérifiez le nom NetBIOS par défaut du domaine, puis cliquez sur Suivant.
Si vous ajoutez un contrôleur de domaine à un domaine existant, sélectionnez le contrôleur de domaine à partir duquel vous voulez répliquer les données d’installation AD DS (ou autorisez l’Assistant à sélectionner n’importe quel contrôleur de domaine). Si vous effectuez l’installation à partir d’un support, cliquez sur Installation à partir du chemin d’accès au support et vérifiez le chemin d’accès aux fichiers de la source d’installation, puis cliquez sur Suivant.
Vous ne pouvez pas recourir à l’installation à partir du support (IFM) pour installer le premier contrôleur de domaine dans un domaine. IFM ne fonctionne pas entre différentes versions de système d’exploitation. En d’autres termes, pour installer un contrôleur de domaine supplémentaire exécutant Windows Server 2012 à l’aide d’IFM, vous devez créer le support de sauvegarde sur un contrôleur de domaine Windows Server 2012. Pour plus d’informations sur IFM, consultez Installation d’un contrôleur de domaine supplémentaire à l’aide d’IFM.
Dans la page Chemins d’accès, tapez les emplacements de la base de données Active Directory, des fichiers journaux et du dossier SYSVOL (ou acceptez les emplacements par défaut), puis cliquez sur Suivant.
Important
Ne stockez pas la base de données Active Directory, les fichiers journaux ou le dossier SYSVOL sur un volume de données au format ReFS.
Dans page Options de préparation, tapez des informations d’identification suffisantes pour exécuter adprep. Pour plus d’informations, voir Informations d’identification requises pour exécuter Adprep.exe et installer les services de domaine Active Directory.
Dans la page Examiner les options, confirmez vos sélections, cliquez sur Afficher le script si vous voulez exporter les paramètres vers un script Windows PowerShell, puis cliquez sur Suivant.
Dans la page Vérification de la configuration requise, confirmez que la validation de la configuration requise est terminée, puis cliquez sur Installer.
Dans la page Résultats, vérifiez que le serveur a été correctement configuré en tant que contrôleur de domaine. Le serveur est redémarré automatiquement pour terminer l’installation des services AD DS.
Installation intermédiaire d’un contrôleur de domaine à l’aide de l’interface utilisateur graphique
Une installation RODC intermédiaire vous permet de créer un contrôleur de domaine en lecture seule en deux étapes. Lors de la première phase, un membre du groupe Admins du domaine crée un compte RODC. Lors de la deuxième phase, un serveur est attaché au compte RODC. La deuxième phase peut être effectuée par un membre du groupe Admins du domaine ou un utilisateur ou un groupe d’un domaine délégué.
Pour créer un compte RODC à l’aide des outils de gestion Active Directory
Vous pouvez créer le compte RODC dans le Centre d’administration Active Directory ou dans Utilisateurs et ordinateurs Active Directory.
Cliquez sur Démarrer, Outils d’administration, puis sur Centre d’administration Active Directory.
Dans le volet de navigation (volet gauche), cliquez sur le nom du domaine.
Dans la liste Gestion (volet central), cliquez sur l’unité d’organisation Domain Controllers.
Dans le volet Tâches (volet droit), cliquez sur Pré-créer un compte de contrôleur de domaine en lecture seule.
-Ou-
Cliquez sur Démarrer, Outils d'administration, puis sur Utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur l’unité d’organisation Domain Controllers ou cliquez sur l’unité d’organisation Domain Controllers, puis cliquez sur Action.
Cliquez sur Créer au préalable un compte de contrôleur de domaine en lecture seule.
Dans la page Assistant Installation des services de domaine Active Directory, si vous souhaitez modifier la stratégie de réplication de mot de passe par défaut, sélectionnez Utiliser l’installation en mode avancé, puis cliquez sur Suivant.
Dans la page Informations d’identification réseau, sous Spécifiez les informations d’identification de compte à utiliser pour effectuer l’installation, cliquez sur Mes informations d’identification de connexion actuelles ou sur Autres informations d’identification, puis cliquez sur Définir. Dans la boîte de dialogue Sécurité de Windows, indiquez le nom d’utilisateur et le mot de passe d’un compte pouvant installer le contrôleur de domaine supplémentaire. Pour installer un contrôleur de domaine supplémentaire, vous devez être membre du groupe Administrateurs de l’entreprise ou du groupe Admins du domaine. Une fois les informations d’identification fournies, cliquez sur Suivant.
Dans la page Spécifiez le nom de l’ordinateur, tapez le nom d’ordinateur du serveur devant jouer le rôle de contrôleur de domaine en lecture seule.
Dans la page Sélectionnez un site, choisissez un site dans la liste ou sélectionnez l’option permettant d’installer le contrôleur de domaine dans le site qui correspond à l’adresse IP de l’ordinateur sur lequel vous exécutez l’Assistant, puis cliquez sur Suivant.
Dans la page Options supplémentaires pour le contrôleur de domaine, effectuez les sélections suivantes, puis cliquez sur Suivant :
Serveur DNS : cette case à cocher est activée par défaut pour que votre contrôleur de domaine puisse fonctionner en tant que serveur DNS (Domain Name System). Si vous ne souhaitez pas que le contrôleur de domaine soit un serveur DNS, désactivez cette case à cocher. Toutefois, si vous n’installez pas le rôle Serveur DNS sur le contrôleur de domaine en lecture seule et que ce dernier est le seul contrôleur de domaine dans la filiale, les utilisateurs dans la filiale ne peuvent pas effectuer la résolution de noms lorsque le réseau étendu (WAN) relié au site hub est hors connexion.
Catalogue global : cette option est activée par défaut. Elle ajoute les partitions d’annuaire en lecture seule de catalogue global au contrôleur de domaine, et elle active la fonctionnalité de recherche dans le catalogue global. Si vous ne souhaitez pas que le contrôleur de domaine soit un serveur de catalogue global, désactivez cette case à cocher. Cependant, si vous n’installez aucun serveur de catalogue global dans la succursale ou activez la mise en cache de l’appartenance au groupe universel pour le site comprenant le contrôleur de domaine en lecture seule, les utilisateurs de la succursale ne pourront pas se connecter au domaine lorsque le réseau étendu (WAN) relié au site hub est hors connexion.
Contrôleur de domaine en lecture seule : cette option est sélectionnée par défaut et ne peut être désactivée lorsque vous créez un compte de contrôleur de domaine en lecture seule.
Si vous avez activé la case à cocher Utiliser l’installation en mode avancé dans la page Bienvenue, la page Spécifier la stratégie de réplication de mot de passe apparaît. Par défaut, aucun mot de passe de compte n’est répliqué dans le contrôleur de domaine en lecture seule et les mots de passe des comptes dont la sécurité est primordiale (tels que les membres du groupe Admins du domaine) ne peuvent en aucun cas être répliqués sur le contrôleur de domaine en lecture seule.
Pour ajouter d’autres comptes à la stratégie, cliquez sur Ajouter, puis sur Autoriser la réplication des mots de passe du compte sur ce contrôleur de domaine en lecture seule (RODC) ou cliquez sur Refuser la réplication des mots de passe du compte sur le contrôleur de domaine en lecture seule (RODC), puis sélectionnez les comptes.
Une fois terminé (ou pour accepter le paramètre par défaut), cliquez sur Suivant.
Sur la page Délégation de l’installation et de l’administration du contrôleur de domaine en lecture seule (RODC), tapez le nom de l’utilisateur ou du groupe qui joindra le serveur au compte de contrôleur de domaine en lecture que vous créez. Vous pouvez taper le nom d’un seul principal de sécurité.
Pour rechercher un utilisateur ou un groupe spécifique dans l’annuaire, cliquez sur Définir. Dans Sélectionner Utilisateur ou groupe, tapez le nom de l’utilisateur ou du groupe. Nous vous recommandons de déléguer l’installation et l’administration d’un contrôleur de domaine en lecture seule à un groupe.
Cet utilisateur ou ce groupe disposera de droits d’administrateur local sur le contrôleur de domaine en lecture seule après l’installation. Si vous ne spécifiez aucun utilisateur ou groupe, seuls les membres du groupe Admins du domaine ou du groupe Administrateurs de l’entreprise seront en mesure de joindre le serveur au compte.
Quand vous avez terminé, cliquez sur Suivant.
Dans la page Résumé, vérifiez vos sélections. Cliquez sur Précédent pour modifier les sélections, si nécessaire.
Pour enregistrer les paramètres sélectionnés dans un fichier de réponses qui peut vous permettre d’automatiser les prochaines opérations des services AD DS, cliquez sur Exporter les paramètres. Tapez le nom de votre fichier de réponses, puis cliquez sur Enregistrer.
Lorsque vous êtes certain que vos sélections sont correctes, cliquez sur Suivant pour créer le compte RODC.
Dans la page Fin de l’Assistant Installation des services de domaine Active Directory, cliquez sur Terminer.
Une fois qu’un compte RODC est créé, vous pouvez attacher un serveur au compte pour terminer l’installation du contrôleur de domaine en lecture seule. Cette deuxième phase peut être effectuée dans la filiale où le contrôleur de domaine en lecture seule sera situé. Le serveur sur lequel vous effectuez cette procédure ne doit pas être joint au domaine. À compter de Windows Server 2012, l’Assistant Ajout de rôles du Gestionnaire de serveur est utilisé pour attacher un serveur à un compte de RODC.
Pour attacher un serveur à un compte RODC à l’aide du Gestionnaire de serveur
Ouvrez une session en tant qu’administrateur local.
Dans le Gestionnaire de serveur, cliquez sur Ajouter des rôles et fonctionnalités.
Dans la page Avant de commencer , cliquez sur Suivant.
Dans la page Sélectionner le type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité, puis sur Suivant.
Dans la page Sélectionner le serveur de destination, cliquez sur Sélectionner un serveur du pool de serveurs, cliquez sur le nom du serveur sur lequel vous voulez installer les services AD DS, puis cliquez sur Suivant.
Dans la page Sélectionner des rôles de serveurs, cliquez sur Services de domaine Active Directory, sur Ajouter des fonctionnalités, puis sur Suivant.
Dans la page Sélectionner des fonctionnalités, sélectionnez les fonctionnalités supplémentaires à installer, puis cliquez sur Suivant.
Dans Services de domaine Active Directory, examinez les informations, puis cliquez sur Suivant.
Dans la page Confirmer les sélections d’installation, cliquez sur Installer.
Dans la page Résultats, vérifiez la présence du message Réussite de l’installation, puis cliquez sur Promouvoir ce serveur en contrôleur de domaine pour démarrer l’Assistant Configuration des services de domaine Active Directory.
Important
Si vous fermez l’Assistant Ajout de rôles à ce stade sans démarrer l’Assistant Configuration des services de domaine Active Directory, vous pouvez le redémarrer en cliquant sur Tâches dans le Gestionnaire de serveur.
(media/Install-Active-Directory-Domain-Services--Level-100-/ADDS_SMI_Tasks.gif)
Dans la page Configuration de déploiement, cliquez sur Ajouter un contrôleur de domaine à un domaine existant, tapez le nom du domaine (par exemple, emea.contoso.com) et les informations d’identification (par exemple, spécifiez un compte qui est délégué pour gérer et installer le contrôleur de domaine en lecture seule), puis cliquez sur Suivant.
Dans la page Options du contrôleur de domaine, cliquez sur Utiliser le compte RODC existant, tapez et confirmez le mot de passe du mode de restauration des services d’annuaire, puis cliquez sur Suivant.
Dans la page Options supplémentaires, si vous effectuez l’installation à partir d’un support, cliquez sur Installation à partir du chemin d’accès au support et vérifiez le chemin d’accès aux fichiers de la source d’installation, sélectionnez le contrôleur de domaine à partir duquel vous voulez répliquer les données d’installation AD DS (ou autorisez l’Assistant à sélectionner n’importe quel contrôleur de domaine), puis cliquez sur Suivant.
Dans la page Chemins d’accès, tapez les emplacements de la base de données Active Directory, des fichiers journaux et du dossier SYSVOL (ou acceptez les emplacements par défaut), puis cliquez sur Suivant.
Dans la page Examiner les options, confirmez vos sélections, cliquez sur Afficher le script pour exporter les paramètres vers un script Windows PowerShell, puis cliquez sur Suivant.
Dans la page Vérification de la configuration requise, confirmez que la validation de la configuration requise est terminée, puis cliquez sur Installer.
Pour terminer l’installation des services AD DS, le serveur redémarre automatiquement.
Voir aussi
Résolution des problèmes de déploiement du contrôleur de domaineInstaller une nouvelle forêt Active Directory Windows Server 2012 (niveau 200)Installer un nouveau domaine enfant ou domaine d’arborescence Active Directory Windows Server 2012 (niveau 200)Installer un contrôleur de domaine Windows Server 2012 répliqué dans un domaine existant (niveau 200)