Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette rubrique explique comment installer Active Directory Domain Services (AD DS) dans Windows Server à l’aide de l’une des méthodes suivantes :
Windows PowerShell
Gestionnaire de serveur
Installation de RODC à l’aide de l’interface graphique utilisateur
Prerequisites
Les informations d’identification suivantes sont requises pour exécuter Adprep.exe et installer les services AD DS.
Pour installer une nouvelle forêt, vous devez avoir ouvert une session en tant qu’administrateur local de l’ordinateur.
Pour installer un nouveau domaine enfant ou une nouvelle arborescence de domaine, vous devez avoir ouvert une session en tant que membre du groupe Administrateurs de l’entreprise.
Pour installer un autre contrôleur de domaine dans un domaine existant, vous devez être membre du groupe Admins du domaine.
Remarque
Si vous n’exécutez pas adprep.exe commande séparément et que vous installez le premier contrôleur de domaine qui exécute Windows Server dans un domaine ou une forêt existant, vous êtes invité à fournir des informations d’identification pour exécuter des commandes Adprep. Les informations d’identification requises sont les suivantes :
Pour introduire le premier contrôleur de domaine Windows Server dans la forêt, vous devez fournir des informations d’identification pour un membre du groupe Administrateurs d’entreprise, le groupe Administrateurs de schéma et le groupe Administrateurs de domaine dans le domaine qui héberge le maître de schéma. Pour introduire le premier contrôleur de domaine Windows Server dans un domaine, vous devez fournir des informations d’identification pour un membre du groupe Administrateurs du domaine. Pour introduire le premier contrôleur de domaine en lecture seule (RODC) dans la forêt, vous devez fournir les informations d’identification d’un membre du groupe Administrateurs de l’entreprise.
Installer AD DS à l’aide de Windows PowerShell
Commencez par ajouter le rôle à l’aide de Windows PowerShell. Cette commande installe le rôle de serveur AD DS et installe les outils d’administration de serveur AD DS et Active Directory Lightweight Directory Services (AD LDS), y compris les outils basés sur l’interface graphique utilisateur, tels que les utilisateurs et les ordinateurs Active Directory et les outils en ligne de commande tels que dcdia.exe. Les outils d’administration de serveur ne sont pas installés par défaut lorsque vous utilisez Windows PowerShell. Vous devez spécifier IncludeManagementTools pour gérer le serveur local ou installer les Outils d’administration de serveur distant pour gérer un serveur distant.
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Aucun redémarrage n’est nécessaire tant que l’installation AD DS n’est pas terminée.
Vous pouvez alors exécuter cette commande pour voir les applets de commande disponibles dans le module ADDSDeployment.
Get-Command -Module ADDSDeployment
Pour afficher la liste des arguments que vous pouvez spécifier pour les applets de commande et la syntaxe à utiliser :
Get-Help <cmdlet name>
Par exemple, pour afficher les arguments à utiliser pour créer un compte de contrôleur de domaine en lecture seule (RODC) inoccupé, tapez :
Get-Help Add-ADDSReadOnlyDomainControllerAccount
Vous pouvez également télécharger les derniers exemples et concepts d’aide pour les applets de commande Windows PowerShell. Pour plus d’informations, voir about_Updatable_Help.
Vous pouvez exécuter les applets de commande Windows PowerShell sur des serveurs distants :
Dans Windows PowerShell, utilisez Invoke-Command avec l’applet de commande ADDSDeployment. Par exemple, pour installer les services AD DS sur un serveur distant nommé ConDC3 dans le domaine contoso.com, tapez :
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
- ou -
- Dans le Gestionnaire de serveur, créez un groupe de serveurs qui inclut le serveur distant. Sélectionnez avec le bouton droit le nom du serveur distant, puis sélectionnez Windows PowerShell.
Pour afficher la liste complète des applets de commande ADDSDeployment dans Windows PowerShell, consultez la référence ADDSDeployment.
Spécifier les informations d’identification Windows PowerShell
Vous pouvez spécifier des informations d’identification sans les divulguer en texte brut à l’écran à l’aide de Get-credential.
Le fonctionnement des arguments -SafeModeAdministratorPassword et LocalAdministratorPassword est spécial :
S’ils ne sont pas spécifiés en tant qu’arguments, l’applet de commande vous invite à entrer et à confirmer un mot de passe masqué. Il s’agit du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.
S’ils sont spécifiés avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit pas de l’utilisation préférée lors de l’exécution interactive de l’applet de commande.
Par exemple, vous pouvez manuellement inviter l’utilisateur à entrer un mot de passe sous forme d’une chaîne sécurisée à l’aide de l’applet de commande Read-Host.
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
Avertissement
L’option précédente ne confirme pas le mot de passe, utilisez une prudence extrême. Le mot de passe n’est pas visible.
Vous pouvez également fournir une chaîne sécurisée sous forme d’une variable en texte clair convertie, bien que ceci soit fortement déconseillé.
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Avertissement
La fourniture ou le stockage d’un mot de passe de texte clair n’est pas recommandé. Toute personne exécutant cette commande dans un script ou en regardant sur votre épaule connaît le mot de passe du mode de restauration des services d’annuaire (DSRM) de ce contrôleur de domaine. Munie de cette information, elle peut alors emprunter l’identité du contrôleur de domaine elle-même et élever son privilège au niveau le plus élevé d’une forêt Active Directory.
Utiliser des applets de commande de test
Chaque applet de commande ADDSDeployment est associée à une applet de commande de test. Les applets de commande de test exécutent uniquement les vérifications de la configuration requise pour l’opération d’installation ; aucun paramètre d’installation n’est configuré. Les arguments de chaque applet de commande de test sont identiques à ceux de l’applet de commande d’installation correspondante, mais « SkipPreChecks n’est pas disponible pour les applets de commande de test.
| Applet de commande de test | Descriptif |
|---|---|
| Test-ADDSForestInstallation | Exécute les prérequis pour installer une nouvelle forêt Active Directory. |
| Test-ADDSDomainInstallation | Exécute les vérifications de la configuration requise pour installer un nouveau domaine dans Active Directory. |
| Test-ADDSDomainControllerInstallation | Exécute les vérifications de la configuration requise pour installer un contrôleur de domaine dans Active Directory. |
| Test-ADDSReadOnlyDomainControllerAccountCreation | Exécute les prérequis pour ajouter un compte de contrôleur de domaine en lecture seule (RODC). |
Installer un nouveau domaine racine de forêt à l’aide de Windows PowerShell
L’applet de commande Install-ADDSForest installe une nouvelle forêt.
Par exemple, pour installer une nouvelle forêt nommée corp.contoso.com et inviter l’utilisateur à entrer de manière sécurisée le mot de passe DSRM, tapez :
Install-ADDSForest -DomainName "corp.contoso.com"
Remarque
Le serveur DNS est installé par défaut lorsque vous exécutez Install-ADDSForest.
Pour installer une nouvelle forêt nommée corp.contoso.com, créez une délégation DNS dans le domaine contoso.com, définissez le niveau fonctionnel du domaine sur Windows Server et définissez le niveau fonctionnel de la forêt sur Windows Server 2025, installez la base de données Active Directory et SYSVOL sur le lecteur D :\, installez les fichiers journaux sur le lecteur E :\ et soyez invité à fournir le mot de passe et le type du mode de restauration des services d’annuaire :
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2025 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Installer un nouveau domaine enfant ou arborescence à l’aide de Windows PowerShell
Utilisez l’applet de commande Install-ADDSDomain pour installer un nouveau domaine.
Remarque
L’argument -credential est obligatoire uniquement lorsque vous n’êtes pas connecté en tant que membre du groupe Administrateurs d’entreprise.
L’argument -NewDomainNetBIOSName est requis si vous voulez modifier le nom de 15 caractères automatiquement généré en fonction du préfixe du nom de domaine DNS ou si le nom fait plus de 15 caractères.
Par exemple, pour utiliser les informations d’identification de corp\EnterpriseAdmin1 pour créer un domaine enfant nommé enfant, avec un domaine parent nommé corp.contoso.com, installer un serveur DNS, créer une délégation DNS dans le domaine corp.contoso.com , définir le niveau fonctionnel du domaine sur Windows Server 2025, faire du contrôleur de domaine un serveur de catalogue global dans un site nommé Houston, utilisez DC1.corp.contoso.com en tant que contrôleur de domaine source de réplication, installez la base de données Active Directory et SYSVOL sur le lecteur D :\, installez les fichiers journaux sur le lecteur E :\ et soyez invité à fournir le mot de passe du mode de restauration des services d’annuaire, mais pas invité à confirmer la commande, tapez :
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2025 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
Installer un contrôleur de domaine supplémentaire (réplica) à l’aide de Windows PowerShell
Utilisez Install-ADDSDomainController pour installer un contrôleur de domaine supplémentaire.
Pour installer un contrôleur de domaine et un serveur DNS dans le domaine corp.contoso.com et inviter l’utilisateur à entrer les informations d’identification de l’administrateur du domaine et le mot de passe DSRM, tapez :
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
Si l’ordinateur est déjà joint à un domaine et que vous êtes membre du groupe Administrateurs de domaine, vous pouvez utiliser :
Install-ADDSDomainController -DomainName "corp.contoso.com"
Pour inviter l’utilisateur à entrer le nom du domaine, tapez :
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
La commande suivante utilise les informations d’identification de Contoso\EnterpriseAdmin1 pour installer un contrôleur de domaine accessible en écriture et un serveur de catalogue global dans un site nommé Boston, installer le serveur DNS, créer une délégation DNS dans le domaine contoso.com, effectuer l’installation à partir du support stocké dans le dossier c:\ADDS IFM, installer la base de données Active Directory et SYSVOL sur le lecteur D:\, installer les fichiers journaux sur le lecteur E:\, redémarrer automatiquement le serveur une fois l’installation des services AD DS terminée et inviter l’utilisateur à fournir le mot de passe du mode de restauration des services d’annuaire (DSRM).
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Effectuer une installation intermédiaire de RODC à l’aide de Windows PowerShell
Utilisez l’applet de commande Add-ADDSReadOnlyDomainControllerAccount pour créer un compte RODC.
Par exemple, pour créer un compte RODC nommé RODC1 :
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston -DelegatedAdministratorAccountName AdminUser
Exécutez ensuite les commandes suivantes sur le serveur que vous voulez attacher au compte RODC1. Le serveur ne peut pas être joint au domaine. Pour commencer, installez le rôle serveur AD DS et les outils de gestion :
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Exécutez ensuite la commande suivante pour créer le rodc :
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
Appuyez sur Y pour confirmer ou inclure l’argument « -Confirm :$false » pour empêcher l’invite de confirmation.
Installer AD DS à l’aide du Gestionnaire de serveur
AD DS peut être installé dans Windows Server à l’aide de l’Assistant Ajout de rôles dans le Gestionnaire de serveur, suivi de l’Assistant Configuration des services de domaine Active Directory, qui est nouveau à partir de Windows Server 2012. L’utilisation de l’Assistant Installation Active Directory Domain Services (dcpromo.exe) est déconseillée à compter de Windows Server 2012.
Les sections suivantes expliquent comment créer des pools de serveurs pour installer et gérer les services AD DS sur plusieurs serveurs et comment utiliser les Assistants pour installer les services AD DS.
Créer des pools de serveurs
Le Gestionnaire de serveur peut regrouper d’autres serveurs sur le réseau tant qu’ils sont accessibles à partir de l’ordinateur exécutant le Gestionnaire de serveur. Une fois la mise en pool terminée, vous pouvez sélectionner ces serveurs en vue d’une installation à distance des services AD DS ou toute autre option de configuration possible dans le Gestionnaire de serveur. L’ordinateur exécutant le Gestionnaire de serveur se met en pool automatiquement. Pour plus d’informations sur les pools de serveurs, consultez Ajouter des serveurs au Gestionnaire de serveur.
Remarque
Pour gérer un ordinateur appartenant à un domaine à l’aide du Gestionnaire de serveur sur un serveur de groupe de travail, ou inversement, des étapes de configuration supplémentaires sont nécessaires. Pour plus d’informations, consultez « Ajouter et gérer des serveurs dans des groupes de travail » dans Ajouter des serveurs au Gestionnaire de serveur.
Installer AD DS
Utilisez les procédures suivantes pour installer les services AD DS à l’aide de l’interface graphique utilisateur. Les étapes peuvent être effectuées localement ou à distance.
Installer AD DS à l’aide du Gestionnaire de serveur
Dans le Gestionnaire de serveur, sélectionnez Gérer et sélectionner Ajouter des rôles et des fonctionnalités pour démarrer l’Assistant Ajout de rôles.
Dans la page Avant de commencer , sélectionnez Suivant.
Dans la page Sélectionner le type d’installation , sélectionnez Installation basée sur un rôle ou une fonctionnalité , puis sélectionnez Suivant.
Dans la page Sélectionner un serveur de destination , sélectionnez Sélectionner un serveur dans le pool de serveurs, sélectionnez le nom du serveur sur lequel vous souhaitez installer AD DS, puis sélectionnez Suivant.
Pour sélectionner des serveurs distants, commencez par créer un pool de serveurs et ajoutez-y les serveurs distants. Pour plus d’informations sur la création de pools de serveurs, consultez Ajouter des serveurs au Gestionnaire de serveur.
Dans la page Sélectionner des rôles de serveur , sélectionnez Services de domaine Active Directory, puis, dans la boîte de dialogue Ajouter des rôles et fonctionnalités , sélectionnez Ajouter des fonctionnalités, puis sélectionnez Suivant.
Dans la page Sélectionner des fonctionnalités , sélectionnez toutes les fonctionnalités supplémentaires que vous souhaitez installer et sélectionnez Suivant.
Dans la page Services de domaine Active Directory , passez en revue les informations, puis sélectionnez Suivant.
Dans la page Confirmer les sélections d’installation , sélectionnez Installer.
Dans la page Résultats , vérifiez que l’installation a réussi, puis sélectionnez Promouvoir ce serveur vers un contrôleur de domaine pour démarrer l’Assistant Configuration des services de domaine Active Directory.
Importante
Si vous fermez l’Assistant Ajouter des rôles à ce stade sans démarrer l’Assistant Configuration des services de domaine Active Directory, vous pouvez le redémarrer en sélectionnant Tâches dans le Gestionnaire de serveur.
Dans la page Configuration de déploiement, choisissez l’une des options suivantes :
Si vous installez un contrôleur de domaine supplémentaire dans un domaine existant, sélectionnez Ajouter un contrôleur de domaine à un domaine existant, puis tapez le nom du domaine (par exemple, emea.corp.contoso.com) ou sélectionnez Sélectionner... pour choisir un domaine et des informations d’identification (par exemple, spécifier un compte membre du groupe Administrateurs du domaine), puis sélectionnez Suivant.
Remarque
Le nom du domaine et des informations d’identification de l’utilisateur actuel sont fournis par défaut uniquement si l’ordinateur est joint à un domaine et que vous effectuez une installation locale. Si vous installez AD DS sur un serveur distant, vous devez spécifier les informations d’identification, par conception. Si les informations d’identification de l’utilisateur actuel ne sont pas suffisantes pour effectuer l’installation, sélectionnez Modifier... pour spécifier différentes informations d’identification.
Si vous installez un nouveau domaine enfant, sélectionnez Ajouter un nouveau domaine à une forêt existante, pour Sélectionner un type de domaine, sélectionnez Domaine enfant, tapez ou accédez au nom du nom DNS du domaine parent (par exemple, corp.contoso.com), tapez le nom relatif du nouveau domaine enfant (par exemple emea), tapez les informations d’identification à utiliser pour créer le nouveau domaine, puis sélectionnez Suivant.
Si vous installez une nouvelle arborescence de domaine, sélectionnez Ajouter un nouveau domaine à une forêt existante, pour Sélectionner un type de domaine, choisissez Domaine d’arborescence, tapez le nom du domaine racine (par exemple, corp.contoso.com), tapez le nom DNS du nouveau domaine (par exemple, fabrikam.com), tapez les informations d’identification à utiliser pour créer le nouveau domaine, puis sélectionnez Suivant.
Si vous installez une nouvelle forêt, sélectionnez Ajouter une nouvelle forêt , puis tapez le nom du domaine racine (par exemple, corp.contoso.com).
Dans la page Options du contrôleur de domaine, choisissez l’une des options suivantes :
Si vous créez une forêt ou un domaine, sélectionnez le domaine et les niveaux fonctionnels de forêt, sélectionnez serveur DNS (Domain Name System), spécifiez le mot de passe DSRM, puis sélectionnez Suivant.
Si vous ajoutez un contrôleur de domaine à un domaine existant, sélectionnez serveur DNS (Domain Name System),Global Catalog (GC) ou Read Only Domain Controller (RODC), choisissez le nom du site, puis tapez le mot de passe DSRM, puis sélectionnez Suivant.
Pour plus d’informations sur les options disponibles ou non dans cette page dans des conditions différentes, voir Options du contrôleur de domaine.
Dans la page Options DNS (qui s’affiche uniquement si vous installez un serveur DNS), sélectionnez Mettre à jour la délégation DNS si nécessaire. Dans ce cas, entrez les informations d’identification qui autorisent la création d’enregistrements de délégation DNS dans la zone DNS parente.
Si un serveur DNS qui héberge la zone parente ne peut pas être contacté, l’option Mettre à jour la délégation DNS n’est pas disponible.
Pour plus d’informations sur la nécessité ou non de mettre à jour la délégation DNS, consultez Présentation de la délégation de zone. Si vous tentez de mettre à jour la délégation DNS et qu’une erreur se produit, voir Options DNS.
Dans la page Options rodc (qui s’affiche uniquement si vous installez un rodc), spécifiez le nom d’un groupe ou d’un utilisateur qui gérera le rodc, ajoutez des comptes aux comptes ou supprimez des comptes des groupes de réplication autorisés ou refusés, puis sélectionnez Suivant.
Pour plus d’informations, consultez Stratégie de réplication de mot de passe.
Dans la page Options supplémentaires, choisissez l’une des options suivantes :
Si vous créez un domaine, tapez un nouveau nom NetBIOS ou vérifiez le nom NetBIOS par défaut du domaine, puis sélectionnez Suivant.
Si vous ajoutez un contrôleur de domaine à un domaine existant, sélectionnez le contrôleur de domaine à partir duquel vous souhaitez répliquer les données d’installation AD DS (ou autoriser l’Assistant à sélectionner n’importe quel contrôleur de domaine). Si vous effectuez l’installation à partir d’un média, sélectionnez Installer à partir du type de chemin d’accès du support et vérifiez le chemin des fichiers sources d’installation, puis sélectionnez Suivant.
Vous ne pouvez pas utiliser l’installation à partir du média (IFM) pour installer le premier contrôleur de domaine dans un domaine. SIM ne fonctionne pas entre différentes versions du système d’exploitation. En d’autres termes, pour installer un contrôleur de domaine supplémentaire qui exécute Windows Server à l’aide d’IFM, vous devez créer le support de sauvegarde sur un contrôleur de domaine Windows Server. Pour plus d’informations sur IFM, consultez Installation d’un contrôleur de domaine supplémentaire à l’aide d’IFM.
Dans la page Chemins d’accès , tapez les emplacements de la base de données Active Directory, des fichiers journaux et du dossier SYSVOL (ou acceptez les emplacements par défaut), puis sélectionnez Suivant.
Importante
Ne stockez pas la base de données Active Directory, les fichiers journaux ou le dossier SYSVOL sur un volume de données mis en forme avec Le système de fichiers résilient (ReFS).
Dans la page Options de préparation , entrez les informations d’identification suffisantes pour exécuter adprep.
Dans la page Options de révision , confirmez vos sélections, sélectionnez Afficher le script si vous souhaitez exporter les paramètres vers un script Windows PowerShell, puis sélectionnez Suivant.
Dans la page Vérification des conditions préalables , vérifiez que la validation requise est terminée, puis sélectionnez Installer.
Dans la page Résultats, vérifiez que le serveur a été correctement configuré en tant que contrôleur de domaine. Le serveur est redémarré automatiquement pour terminer l’installation des services AD DS.
Effectuer une installation intermédiaire de RODC à l’aide de l’interface utilisateur graphique
Une installation RODC en plusieurs étapes vous permet de créer un RODC en deux étapes. Lors de la première phase, un membre du groupe Admins du domaine crée un compte RODC. Lors de la deuxième phase, un serveur est attaché au compte RODC. La deuxième phase peut être effectuée par un membre du groupe Admins du domaine ou un utilisateur ou un groupe d’un domaine délégué.
Créer un compte RODC à l’aide des outils de gestion Active Directory
Vous pouvez créer le compte RODC dans le Centre d’administration Active Directory ou dans Utilisateurs et ordinateurs Active Directory.
Sélectionnez Démarrer, sélectionner Outils d’administration, puis Centre d’administration Active Directory.
Dans le volet de navigation (volet gauche), sélectionnez le nom du domaine.
Dans la liste de gestion (volet central), sélectionnez l’unité d’organisation contrôleurs de domaine .
Dans le volet Tâches (volet droit), sélectionnez Précréer un compte de contrôleur de domaine en lecture seule.
- Ou -
Sélectionnez Démarrer, sélectionner Outils d’administration, puis Sélectionner Utilisateurs et ordinateurs Active Directory.
Sélectionnez avec le bouton droit l’unité d’organisation des contrôleurs de domaine ou sélectionnez l’unité d’organisation contrôleurs de domaine , puis sélectionnez Action.
sélectionnez Précréer le compte contrôleur de domaine en lecture seule.
Dans la page Bienvenue dans l’Assistant Installation des services de domaine Active Directory , si vous souhaitez modifier la stratégie de réplication de mot de passe par défaut, sélectionnez Utiliser l’installation en mode avancé, puis sélectionnez Suivant.
Dans la page Informations d’identification réseau , sous Spécifier les informations d’identification du compte à utiliser pour effectuer l’installation, sélectionnez Mes informations d’identification connectées actuelles ou sélectionnez Autres informations d’identification, puis sélectionnez Définir. Dans la boîte de dialogue Sécurité de Windows, indiquez le nom d’utilisateur et le mot de passe d’un compte pouvant installer le contrôleur de domaine supplémentaire. Pour installer un contrôleur de domaine supplémentaire, vous devez être membre du groupe Administrateurs de l’entreprise ou du groupe Admins du domaine. Lorsque vous avez terminé de fournir des informations d’identification, sélectionnez Suivant.
Dans la page Spécifiez le nom de l’ordinateur, tapez le nom d’ordinateur du serveur devant jouer le rôle de contrôleur de domaine en lecture seule.
Dans la page Sélectionner un site, sélectionnez un site dans la liste ou sélectionnez l’option permettant d’installer le contrôleur de domaine dans le site qui correspond à l’adresse IP de l’ordinateur sur lequel vous exécutez l’Assistant, puis sélectionnez Suivant.
Dans la page Options supplémentaires du contrôleur de domaine , effectuez les sélections suivantes, puis sélectionnez Suivant :
Serveur DNS : cette case à cocher est activée par défaut pour que votre contrôleur de domaine puisse fonctionner en tant que serveur DNS (Domain Name System). Si vous ne souhaitez pas que le contrôleur de domaine soit un serveur DNS, désactivez cette option. Toutefois, si vous n’installez pas le rôle serveur DNS sur le contrôleur de domaine principal et que le contrôleur de domaine est le seul contrôleur de domaine dans la succursale, les utilisateurs de la succursale ne pourront pas effectuer de résolution de noms lorsque le réseau étendu (WAN) sur le site hub est hors connexion.
Catalogue global : cette option est activée par défaut. Elle ajoute le catalogue global et les partitions d'annuaire en lecture seule au contrôleur de domaine, et elle active la fonctionnalité de recherche dans le catalogue global. Si vous ne souhaitez pas que le contrôleur de domaine soit un serveur de catalogue global, désactivez cette option. Toutefois, si vous n’installez pas de serveur de catalogue global dans la succursale ou si vous activez la mise en cache d’appartenance à un groupe universel pour le site qui inclut le contrôleur de domaine principal, les utilisateurs de la succursale ne pourront pas se connecter au domaine lorsque le wan sur le site hub est hors connexion.
Contrôleur de domaine en lecture seule : Lorsque vous créez un compte RODC, cette option est sélectionnée par défaut et vous ne pouvez pas l’effacer.
Si vous avez activé la case à cocher Utiliser l’installation en mode avancé dans la page Bienvenue, la page Spécifier la stratégie de réplication de mot de passe apparaît. Par défaut, aucun mot de passe de compte n’est répliqué dans le contrôleur de domaine en lecture seule et les mots de passe des comptes dont la sécurité est primordiale (tels que les membres du groupe Admins du domaine) ne peuvent en aucun cas être répliqués sur le contrôleur de domaine en lecture seule.
Pour ajouter d’autres comptes à la stratégie, sélectionnez Ajouter, puis autoriser les mots de passe du compte à répliquer sur ce rodc ou sélectionnez Refuser les mots de passe du compte à partir de la réplication vers ce contrôleur de domaine, puis sélectionnez les comptes.
Lorsque vous avez terminé (ou pour accepter le paramètre par défaut), sélectionnez Suivant.
Dans la page Délégation d’installation et d’administration de RODC , tapez le nom de l’utilisateur ou du groupe qui attachera le serveur au compte RODC que vous créez. Vous pouvez taper le nom d’un seul principal de sécurité.
Pour rechercher dans le répertoire un utilisateur ou un groupe spécifique, sélectionnez Définir. Dans Sélectionner Utilisateur ou groupe, tapez le nom de l’utilisateur ou du groupe. Nous vous recommandons de déléguer l’installation et l’administration du RODC à un groupe.
Cet utilisateur ou ce groupe disposera également de droits d’administrateur local sur le contrôleur de domaine en lecture seule (RODC) après l’installation. Si vous ne spécifiez pas d’utilisateur ou de groupe, seuls les membres du groupe Administrateurs du domaine ou du groupe Administrateurs d’entreprise pourront attacher le serveur au compte.
Lorsque vous avez terminé, sélectionnez Suivant.
Dans la page Résumé, vérifiez vos sélections. sélectionnez Retour pour modifier les sélections, si nécessaire.
Pour enregistrer les paramètres que vous avez sélectionnés dans un fichier de réponses que vous pouvez utiliser pour automatiser les opérations AD DS suivantes, sélectionnez Exporter les paramètres. Tapez un nom pour votre fichier de réponses, puis sélectionnez Enregistrer.
Lorsque vous êtes sûr que vos sélections sont précises, sélectionnez Suivant pour créer le compte RODC.
Dans la page Fin de l’Assistant Installation des services de domaine Active Directory , sélectionnez Terminer.
Une fois qu’un compte RODC est créé, vous pouvez attacher un serveur au compte pour terminer l’installation du contrôleur de domaine en lecture seule. Cette deuxième phase peut être effectuée dans la filiale où le contrôleur de domaine en lecture seule sera situé. Le serveur sur lequel vous effectuez cette procédure ne doit pas être joint au domaine. Vous utilisez l’Assistant Ajout de rôles dans le Gestionnaire de serveur pour attacher un serveur à un compte RODC.
Attacher un serveur à un compte RODC à l’aide du Gestionnaire de serveur
Ouvrez une session en tant qu’administrateur local.
Dans le Gestionnaire de serveur, sélectionnez Ajouter des rôles et des fonctionnalités.
Dans la page Avant de commencer , sélectionnez Suivant.
Dans la page Sélectionner le type d’installation , sélectionnez Installation basée sur un rôle ou une fonctionnalité , puis sélectionnez Suivant.
Dans la page Sélectionner un serveur de destination , sélectionnez Sélectionner un serveur dans le pool de serveurs, sélectionnez le nom du serveur sur lequel vous souhaitez installer AD DS, puis sélectionnez Suivant.
Dans la page Sélectionner des rôles de serveur , sélectionnez Services de domaine Active Directory, sélectionnez Ajouter des fonctionnalités , puis Sélectionnez Suivant.
Dans la page Sélectionner des fonctionnalités , sélectionnez toutes les fonctionnalités supplémentaires que vous souhaitez installer et sélectionnez Suivant.
Dans la page Services de domaine Active Directory , passez en revue les informations, puis sélectionnez Suivant.
Dans la page Confirmer les sélections d’installation , sélectionnez Installer.
Dans la page Résultats , vérifiez l’installation réussie, puis sélectionnez Promouvoir ce serveur vers un contrôleur de domaine pour démarrer l’Assistant Configuration des services de domaine Active Directory.
Importante
Si vous fermez l’Assistant Ajouter des rôles à ce stade sans démarrer l’Assistant Configuration des services de domaine Active Directory, vous pouvez le redémarrer en sélectionnant Tâches dans le Gestionnaire de serveur.
Dans la page Configuration du déploiement , sélectionnez Ajouter un contrôleur de domaine à un domaine existant, tapez le nom du domaine (par exemple, emea.contoso.com) et les informations d’identification (par exemple, spécifiez un compte délégué pour gérer et installer le contrôleur de domaine), puis sélectionnez Suivant.
Dans la page Options du contrôleur de domaine , sélectionnez Utiliser un compte RODC existant, tapez et confirmez le mot de passe du mode de restauration des services d’annuaire, puis sélectionnez Suivant.
Dans la page Options supplémentaires , si vous effectuez l’installation à partir d’un média, sélectionnez Installer à partir du type de chemin d’accès multimédia et vérifiez le chemin des fichiers sources d’installation, sélectionnez le contrôleur de domaine à partir duquel vous souhaitez répliquer les données d’installation AD DS (ou autorisez l’Assistant à sélectionner n’importe quel contrôleur de domaine), puis sélectionnez Suivant.
Dans la page Chemins d’accès , tapez les emplacements de la base de données Active Directory, des fichiers journaux et du dossier SYSVOL, ou acceptez les emplacements par défaut, puis sélectionnez Suivant.
Dans la page Options de révision , confirmez vos sélections, sélectionnez Afficher le script pour exporter les paramètres vers un script Windows PowerShell, puis sélectionnez Suivant.
Dans la page Vérification des conditions préalables , vérifiez que la validation requise est terminée, puis sélectionnez Installer.
Pour terminer l’installation des services AD DS, le serveur redémarre automatiquement.