Partager via

ÉTAPE 6 : Installer et configurer 2-DC1

2-DC1 fournit les services suivants :

  • Contrôleur de domaine pour le domaine Active Directory Domain Services (AD DS) corp2.corp.contoso.com.

  • Un serveur DNS pour le domaine DNS corp2.corp.contoso.com.

La configuration de 2-DC1 se compose des éléments suivants :

  • Installer le système d’exploitation sur 2-DC1

  • Configurer les propriétés TCP/IP

  • Configurer 2-DC1 en tant que contrôleur de domaine et serveur DNS

  • Fournir des autorisations de stratégie de groupe à CORP\User1

  • Autoriser les ordinateurs CORP2 à obtenir des certificats d’ordinateur

  • Forcer la réplication entre DC1 et 2-DC1

Installer le système d’exploitation sur 2-DC1

Windows Server 2016, Windows Server 2012 ou Windows Server 2012 R2.

Pour installer le système d’exploitation sur 2-DC1

  1. Démarrez l’installation de Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012.

  2. Suivez les instructions pour effectuer l’installation, en spécifiant Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 (installation complète), et un mot de passe fort pour le compte Administrateur local. Ouvrez une session à l’aide du compte Administrateur local.

  3. Connectez 2-DC1 à un réseau disposant d’un accès à Internet et exécutez Windows Update pour installer les dernières mises à jour pour Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012, puis déconnectez-vous d’Internet.

  4. Connectez 2-DC1 au sous-réseau 2-Corpnet.

Configurer les propriétés TCP/IP

Configurez le protocole TCP/IP avec des adresses IP statiques.

Pour configurer TCP/IP sur 2-DC1

  1. Dans la console du Gestionnaire de serveur, cliquez sur Serveur local, puis, dans la zone Propriétés , en regard de connexion Ethernet câblée, cliquez sur le lien.

  2. Dans Connexions réseau, cliquez avec le bouton droit sur Connexion Ethernet câblée, puis cliquez sur Propriétés.

  3. Cliquez sur Internet Protocol Version 4 (TCP/IPv4), puis sur Propriétés.

  4. Cliquez sur Utiliser l’adresse IP suivante. Dans l’adresse IP, tapez 10.2.0.1. Dans masque de sous-réseau, tapez 255.255.255.0. Dans la passerelle par défaut, tapez 10.2.0.254. Cliquez sur Utiliser les adresses de serveur DNS suivantes, dans le serveur DNS préféré, tapez 10.2.0.1 et, dans un autre serveur DNS, tapez 10.0.0.1.

  5. Cliquez sur Avancé, puis sur l’onglet DNS .

  6. Dans le suffixe DNS de cette connexion, tapez corp2.corp.contoso.com, puis cliquez deux fois sur OK .

  7. Cliquez sur Internet Protocol Version 6 (TCP/IPv6), puis sur Propriétés.

  8. Cliquez sur Utiliser l’adresse IPv6 suivante. Dans l’adresse IPv6, tapez 2001 :db8:2 ::1. Dans la longueur du préfixe du sous-réseau, tapez 64. Dans la passerelle par défaut, tapez 2001 :db8:2 ::fe. Cliquez sur Utiliser les adresses de serveur DNS suivantes, dans le serveur DNS préféré, tapez 2001 :db8:2 ::1 et, dans un autre serveur DNS, tapez 2001 :db8:1 ::1.

  9. Cliquez sur Avancé, puis sur l’onglet DNS .

  10. Dans le suffixe DNS de cette connexion, tapez corp2.corp.contoso.com, puis cliquez deux fois sur OK .

  11. Dans la boîte de dialogue Propriétés de connexion Ethernet câblée , cliquez sur Fermer.

  12. Fermez la fenêtre Connexions réseau .

  13. Dans la console gestionnaire de serveur, dans le serveur local, dans la zone Propriétés , en regard du nom de l’ordinateur, cliquez sur le lien.

  14. Dans la boîte de dialogue Propriétés système, sous l’onglet Nom de l’ordinateur, cliquez sur Modifier.

  15. Dans la boîte de dialogue Nom de l’ordinateur/Modification du domaine , dans Nom de l’ordinateur, tapez 2-DC1, puis cliquez sur OK.

  16. Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur OK.

  17. Dans la boîte de dialogue Propriétés système , cliquez sur Fermer.

  18. Lorsque vous êtes invité à redémarrer l’ordinateur, cliquez sur Redémarrer maintenant.

  19. Après avoir redémarré l’ordinateur, connectez-vous à l’aide du compte Administrateur local.

Configurer 2-DC1 en tant que contrôleur de domaine et serveur DNS

Configurez 2-DC1 en tant que contrôleur de domaine pour le domaine corp2.corp.contoso.com et en tant que serveur DNS pour le domaine DNS corp2.corp.contoso.com.

Pour configurer 2-DC1 en tant que contrôleur de domaine et serveur DNS

  1. Dans la console gestionnaire de serveur, dans le tableau de bord, cliquez sur Ajouter des rôles et des fonctionnalités.

  2. Cliquez trois fois sur Suivant pour accéder à l’écran de sélection du rôle serveur

  3. Dans la page Sélectionner des rôles de serveur , sélectionnez Services de domaine Active Directory. Cliquez sur Ajouter des fonctionnalités lorsque vous y êtes invité, puis cliquez sur Suivant trois fois.

  4. Dans la page Confirmer les sélections d’installation , cliquez sur Installer.

  5. Une fois l’installation terminée, cliquez sur Promouvoir ce serveur vers un contrôleur de domaine.

  6. Dans l’Assistant Configuration d’Active Directory Domain Services, dans la page Configuration du déploiement, cliquez sur Ajouter un nouveau domaine à une forêt existante.

  7. Dans le nom de domaine parent, tapez corp.contoso.com, dans Nouveau nom de domaine, tapez corp2.

  8. Sous Fournir les informations d’identification pour effectuer cette opération, cliquez sur Modifier. Dans la boîte de dialogue Sécurité Windows , dans nom d’utilisateur, tapez corp.contoso.com\Administrateur, puis dans Mot de passe, entrez le mot de passe corp\Administrateur, cliquez sur OK, puis sur Suivant.

  9. Dans la page Options du contrôleur de domaine , vérifiez que le nom du site est second site. Sous Tapez le mot de passe du mode de restauration des services d’annuaire (DSRM), dans Mot de passe et Confirmez le mot de passe, tapez un mot de passe fort deux fois, puis cliquez sur Suivant cinq fois.

  10. Dans la page Vérification des prérequis , une fois les prérequis validés, cliquez sur Installer.

  11. Attendez que l’Assistant termine la configuration des services Active Directory et DNS, puis cliquez sur Fermer.

  12. Une fois l’ordinateur redémarré, connectez-vous au domaine CORP2 à l’aide du compte Administrateur.

Fournir des autorisations de stratégie de groupe à CORP\User1

Utilisez cette procédure pour fournir à l’utilisateur CORP\User1 des autorisations complètes pour créer et modifier des objets de stratégie de groupe corp2.

Pour fournir des autorisations de stratégie de groupe

  1. Dans l’écran de démarrage , tapezgpmc.msc, puis appuyez sur Entrée.

  2. Dans la console Gestion des stratégies de groupe, ouvrez Forêt : corp.contoso.com/Domains/corp2.corp.contoso.com.

  3. Dans le volet d’informations, cliquez sur l’onglet Délégation. Dans la liste déroulante Autorisations, cliquez sur Lier des GPO.

  4. Cliquez sur Ajouter, puis, dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur ou un groupe , cliquez sur Emplacements.

  5. Dans la boîte de dialogue Emplacements , dans l’arborescence Emplacement , cliquez sur corp.contoso.com, puis sur OK.

  6. Dans Entrez le nom de l’objet pour sélectionner type User1, cliquez sur OK, puis, dans la boîte de dialogue Ajouter un groupe ou un utilisateur , cliquez sur OK.

  7. Dans la console Gestion des stratégies de groupe, dans l’arborescence, cliquez sur Objets de stratégie de groupe, puis, dans le volet d’informations, cliquez sur l’onglet Délégation .

  8. Cliquez sur Ajouter, puis, dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur ou un groupe , cliquez sur Emplacements.

  9. Dans la boîte de dialogue Emplacements , dans l’arborescence Emplacement , cliquez sur corp.contoso.com, puis sur OK.

  10. Dans Entrer le nom de l’objet pour sélectionner le type User1, cliquez sur OK.

  11. Dans la console Gestion des stratégies de groupe, dans l’arborescence, cliquez sur Filtres WMI, puis dans le volet d’informations, cliquez sur l’onglet Délégation .

  12. Cliquez sur Ajouter, puis, dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur ou un groupe , cliquez sur Emplacements.

  13. Dans la boîte de dialogue Emplacements , dans l’arborescence Emplacement , cliquez sur corp.contoso.com, puis sur OK.

  14. Dans Entrer le nom de l’objet pour sélectionner le type User1, cliquez sur OK. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur , vérifiez que les autorisations sont définies sur Contrôle total, puis cliquez sur OK.

  15. Fermez la console de gestion des stratégies de groupe.

Autoriser les ordinateurs CORP2 à obtenir des certificats d’ordinateur

Les ordinateurs du domaine CORP2 doivent obtenir des certificats d’ordinateur auprès de l’autorité de certification sur APP1. Effectuez cette procédure sur APP1.

Pour autoriser les ordinateurs CORP2 à obtenir automatiquement des certificats d’ordinateur

  1. Sur APP1, cliquez sur Démarrer, tapez certtmpl.msc, puis appuyez sur Entrée.

  2. Dans la console du modèle de certificats, dans le volet central, double-cliquez surClient-Server Authentification.

  3. Dans la boîte de dialogue Client-Server Propriétés de l’authentification , cliquez sur l’onglet Sécurité .

  4. Cliquez sur Ajouter, puis, dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes , cliquez sur Emplacements.

  5. Dans la boîte de dialogue Emplacements, dans Emplacement, développez corp.contoso.com, cliquez sur corp2.corp.contoso.com, puis sur OK.

  6. Dans Entrer les noms d’objets à sélectionner, tapez Administrateurs de domaine ; Ordinateurs de domaine , puis cliquez sur OK.

  7. Dans la boîte de dialogue Client-Server Propriétés d’authentification , dans le groupe ou les noms d’utilisateurs, cliquez sur Administrateurs de domaine (CORP2\Administrateurs de domaine) et, dans Autorisations pour les administrateurs de domaine, dans la colonne Autoriser , sélectionnez Écrire et Inscrire.

  8. Dans les noms de groupe ou d’utilisateur, cliquez sur Ordinateurs de domaine (CORP2\Ordinateurs de domaine) et, dans Autorisations pour les ordinateurs de domaine, dans la colonne Autoriser , sélectionnez Inscrire et inscrire automatiquement, puis cliquez sur OK.

  9. Fermez la Console Modèles de certificat.

Forcer la réplication entre DC1 et 2-DC1

Avant de pouvoir vous inscrire pour les certificats sur 2-EDGE1, vous devez forcer la réplication des paramètres de DC1 vers 2-DC1. Cette opération doit être effectuée sur DC1.

Pour forcer la réplication

  1. Sur DC1, cliquez sur Démarrer, puis sur Sites et services Active Directory.

  2. Dans la console Sites et services Active Directory, dans l’arborescence, développez Transports intersites, puis cliquez sur IP.

  3. Dans le volet d’informations, double-cliquez sur DEFAULTIPSITELINK.

  4. Dans la boîte de dialogue Propriétés DEFAULTIPSITELINK, dans Coût, tapez 1, dans Répliquer toutes les, tapez 15, puis cliquez sur OK. Attendez la fin de la réplication pendant 15 minutes.

  5. Pour forcer la réplication maintenant dans l’arborescence de la console, développez Sites\Default-First-Site-name\Servers\DC1\NTDS Settings, dans le volet d’informations, cliquez avec le bouton droit sur Générer< automatiquement, cliquez> sur Répliquer maintenant, puis, dans la boîte de dialogue Répliquer maintenant, cliquez sur OK.

  6. Pour vous assurer que la réplication s’est terminée avec succès, procédez comme suit :

    1. Dans l’écran de démarrage , tapezcmd.exe, puis appuyez sur Entrée.

    2. Tapez la commande suivante, puis appuyez sur ENTRÉE.

      repadmin /syncall /e /A /P /d /q

    3. Assurez-vous que toutes les partitions sont synchronisées sans erreur. Si ce n’est pas le cas, réexécutez la commande jusqu’à ce qu’aucune erreur ne soit signalée avant de continuer.

  7. Fermez la fenêtre d’invite de commandes.