Quand on crée une nouvelle société, on n’a souvent qu’un ou deux ordinateurs pour équiper les fondateurs. Mais très vite, si les embauches suivent l’activité croissante de l’entreprise, on se retrouve avec une dizaine de PC et aucun endroit pour centraliser et sécuriser les fichiers de travail. C’est ainsi qu’il faut faire appel à une société informatique pour acheter et mettre en place un serveur au sein de l’organisation.
Mais on peut aussi souhaiter faire soi-même l’installation du premier serveur de l’entreprise, avec ou sans diplôme informatique. S’il est recommandé d’être assisté par un administrateur système ou réseau, l’opération d’installation d’un serveur Windows et sa configuration peut aussi être découverte par ce mode d’emploi, explicite pour que chacun puisse le suivre et comprendre ses actions.
Aussi, ce guide peut servir de support de cours pour apprendre à installer un domaine Active Directory sur Windows Server 2016. Les étudiants en informatique peuvent ainsi se servir de ces informations pour améliorer leurs connaissances. Dans le cas d’un dossier ou d’un TP, merci de citer WindowsFacile.fr comme source de votre documentation.
Créer un réseau d’ordinateurs Windows avec un serveur (mode client-serveur) passe par l’installation d’un domaine. Chez Microsoft, le serveur Windows devient Contrôleur de domaine (DC pour Domain Controller) et le système de gestion du domaine est l’Active Directory (AD). Active Directory est l’annuaire LDAP version Microsoft, des équivalents existent (par exemple OpenLDAP sur Linux).
Sont présentées ici l’édition Standard et Datacenter, pas la version Windows Server Essentials qui diffère légèrement (dont la limitation à 25 comptes utilisateurs et 50 périphériques).
Pour bien démarrer, il faut disposer d’un serveur (physique ou virtuel), d’une licence Windows Server 2016 (le numéro de série mais aussi le setup d’installation WS2016 au format ISO par exemple), d’un DVD ou d’une clé USB pour installer le système d’exploitation et du tutoriel ci-dessous. On peut aussi consulter ces deux ebooks PDF sur WS2016.
Ce guide peut aussi être utilisé pour créer un nouveau domaine dans un environnement existant ou pour migrer un service d’annuaire Active Directory déjà en place dans l’entreprise. Ainsi, le domaine AD sera géré par la dernière version du système d’exploitation de Microsoft.
Installer Windows Server 2016
L’installation du système d’exploitation est très classique, comme les éditions précédentes de Windows Server et comme Windows 10. On paramètre le disque ou la partition pour installer l’OS, on renseigne la licence et on choisit la version que l’on souhaite installer : Windows Server 2016 Standard ou Datacenter, avec ou sans environnement graphique (choisir Expérience utilisateur pour avoir l’interface graphique). Il n’y a pas de différence pour ce tuto entre l’édition Standard et la Datacentre. Voir ici pour la version Nano Server sans GUI.
Suivre ce guide pour installer le système d’exploitation Windows Server 2016 à partir d’un DVD, d’une clé USB ou d’un fichier ISO sur une machine virtuelle.
Préparation du serveur Windows 2016
1. Au premier démarrage de WS2016, le Gestionnaire de serveur se lance automatiquement.
2. Cliquer sur « Configurer ce serveur local » pour paramétrer les informations de base.
- Nom de l’ordinateur : donner un nom explicite au serveur, comme SERVEUR ou DC01
- Bureau à distance (à activer pour se connecter à distance par TSE / RDP)
- Ethernet : définir une adresse IP fixe pour ce futur contrôleur de domaine
- Windows Update : il est recommandé d’effectuer les mises à jour avant de démarrer
- Windows Defender (protection contre virus, logiciels malveillants et espions) ou autre antivirus à installer
3. Redémarrer la machine pour valider les modifications demandées.
Installer Active Directory sur Windows Server 2016
Cette opération consiste à transformer un simple système en serveur de domaine Active Directory pour qu’il devienne le premier contrôleur de domaine (DC) de l’entreprise ou de l’organisation.
1. Première étape, a priori déjà réglée : ouvrir une session en Administrateur local ou avec un compte qui fait partie des administrateurs locaux du serveur.
2. Dans le Gestionnaire de serveur, cliquer sur l’étape « 2 – Ajouter des rôles et des fonctionnalités » .
3. Choisir « Installation basée sur un rôle ou une fonctionnalité » .
4. Dans notre exemple, le serveur est le seul du réseau, sinon choisir la bonne machine dans le pool de serveurs.
5. Cocher le rôle « Services AD DS » pour Active Directory Domain Services. Remarque : les rôles DNS et DHCP seront ajoutés plus tard.
6. Valider aussi l’ajout de rôles et de fonctionnalités complémentaires, requises pour l’installation de ADDS.
7. L’écran suivant permet d’ajouter des fonctionnalités, ne rien faire et cliquer sur Suivant.
8. Vérifier le résumé de l’installation et cliquer sur « Installer » pour démarrer l’opération.
9. En laissant l’écran ouvert, à la fin du processus, on peut lire « Configuration requise. Installation réussie sur SERVEUR » et surtout la ligne « Promouvoir ce serveur en contrôleur de domaine » : c’est sur cette phrase qu’il faut cliquer pour convertir le serveur en contrôleur de domaine du réseau.
Si on a raté cet écran, on peut y accéder par le Gestionnaire de serveur, en cliquant sur l’icône « drapeau » à gauche de « Gérer » :
10. Dans notre configuration exemple, il s’agit du premier serveur d’un nouveau réseau. Choisir « Ajouter une nouvelle forêt » pour configurer un domaine neuf. Indiquer un Nom de domaine racine, par exemple domaine.local ou entreprise.local.
11. Ce nouveau serveur sera-t-il le seul de l’entreprise ? Les postes seront-ils tous en Windows 10 ? Si oui aux deux questions, on peut laisser le Niveau fonctionnel de la forêt et du domaine en Windows Server 2016. Si des serveurs ou des postes plus anciens viendront se connecter, il faut baisser les deux niveaux fonctionnels à leur équivalent serveur. Par exemple, Windows 7 équivaut à Windows Server 2008 R2. Informations TechNet.
Laisser coché l’ajout de la fonctionnalité Serveur DNS pour ajouter ce rôle et indiquer un mot de passe de récupération des services d’annuaire (DSRM). Ce mot de passe ne doit absolument pas être perdu.
12. Un message d’erreur en jaune vient alerter de la délégation du serveur DNS. Il n’y a rien à faire à ce stade, cliquer simplement sur Suivant pour continuer.
13. Nous avons précédemment choisi un nom de domaine complet (FQDN), il faut maintenant indiquer l’équivalent NetBIOS pour les anciens appareils qui ne gèrent pas les noms de domaines qualifiés. Par exemple, pour « domaine.local » on pourra choisir le NetBIOS « DOMAINE » .
14. Valider l’emplacement de la base de données AD DS, des journaux d’historique et pour SYSVOL. Laisser les dossiers proposés par défaut (NTDS et SYSVOL dans C:\Windows).
15. Un récapitulatif résume la configuration qui va être appliquée. Cliquer sur Suivant pour continuer.
16. Une dernière vérification est effectuée, des notifications sont affichées mais cliquer sur Installer pour démarrer le processus.
17. L’opération dure quelques minutes et le redémarrage de Windows prendra plus de temps que d’habitude, le temps de configurer le contrôleur de domaine.
18. La connexion à Windows doit maintenant se faire sur le domaine pour utiliser le compte Administrateur du domaine. Utiliser le mot de passe du compte Administrateur créé lors de l’installation de Windows Server 2016.
19. Il s’agit d’un nouveau profil Windows mais le Gestionnaire des tâches s’ouvre aussi automatiquement. Des blocs indiquent l’état des rôles du serveur : AD DS, DNS, Services de fichiers et de stockage. En vert, tout va bien. En rouge, pas de panique mais cliquer sur le message pour savoir de quoi il s’agit.
Outils d’administration
Quand on vient d’un système Windows Server 2008 / R2, on cherche d’abord les Outils d’administration pour lancer les consoles de gestion Active Directory, DNS, DHCP, etc. Mais depuis Windows Server 2012 / R2, c’est le Gestionnaire de serveur qui centralise ces fonctions. Dans la console, cliquer en haut à droite sur Outils pour accéder aux outils de gestion du contrôleur de domaine.
Installer le serveur DHCP
Pour connecter plus facilement des postes clients et éviter la configuration manuelle des adresses IP sur ces ordinateurs membres du domaine, il est recommandé d’utiliser le serveur DHCP du contrôleur de domaine. Les ordinateurs recevront ainsi une adresse IP automatique et des options pourront automatiquement être déployées sur les postes du réseau (passerelle, serveur de temps NTP, etc).
1. Depuis le Gestionnaire de serveur, cliquer sur l’étape « 2 – Ajouter des rôles et des fonctionnalités » .
2. Sélectionner « Installation basée sur un rôle ou une fonctionnalité » .
3. Choisir le serveur dans le pool proposé, comme lors de l’installation de l’annuaire Active Directory.
4. Cocher « Serveur DHCP » et valider les composants associés.
5. Faire Suivant à l’écran des fonctionnalités (ne pas en sélectionner) et continuer jusqu’à Installer.
6. Une discrète option « Terminer la configuration DHCP » est à cliquer pour configurer le compte Administrateur autorisé à gérer le serveur DHCP.
7. Choisir l’Administrateur principal, par exemple DOMAINE\Administrateur.
8. Valider et Fermer.
Configurer le serveur DHCP
L’installation du rôle DHCP ne suffit pas à activer le serveur. Voyons maintenant sa configuration.
1. Dans le Gestionnaire de serveur, cliquer sur le menu Outils puis sur DHCP.
2. Dérouler DHCP, nom du serveur, IPv4. Fare un clic droit sur IPv4 et choisir Nouvelle étendue.
3. Donner un Nom à l’étendue DHCP et une Description (optionnel).
4. Choisir une plage d’adresse IP, en fonction de l’adresse IP fixe du serveur. Si le serveur a pour adresse IP 192.168.0.1, la plage DHCP sera aussi sur le sous réseau 192.168.0. Choisir une plage plus ou moins large selon le nombre de postes et de périphériques (smartphones, tablettes) qui seront connectés. Laisser les valeurs « Longueur » et « Masque de sous-réseau » par défaut.
5. S’il y a des adresses IP à exclure de la plage sélectionnée, les indiquer sur l’écran « Ajout d’exclusions et de retard » .
6. Par défaut, la Durée du bail est de 8 jours. Modifier cette durée si nécessaire. La durée du bail est la durée pendant laquelle une adresse IP sera réservée à un appareil. Par exemple, si l’ordinateur de Michel se connecte le lundi matin, son adresse IP lui sera attribuée jusqu’au lundi suivant, même s’il ne se connecte pas. Le renouvellement se fera donc chaque semaine avec la valeur par défaut.
7. Demander la Configuration des paramètres DHCP « maintenant » .
8. Votre réseau informatique est certainement équipé d’un routeur ou d’une box pour l’accès à internet. A l’écran Routeur, indiquer l’adresse IP de ce boitier qui deviendra la passerelle par défaut des postes en DHCP. Ainsi, pas besoin de configurer chaque PC pour qu’il puisse aller sur internet.
9. L’option suivante, Nom de domaine et serveurs DNS, doit être préremplie avec le nom du domaine et l’adresse IP du serveur principal. Laisser ainsi et cliquer sur Suivant.
10. S’il y a nécessité d’indiquer un serveur WINS (du temps de Windows NT 4.0, avant Active Directory), sinon laisser vide et Suivant.
11. Valider « Oui, je veux activer cette étendue maintenant » pour commencer à utiliser le serveur DHCP.
12. Dérouler IPv4, Etendue [192.168.0.0] pour voir l’étendue créée (Pool d’adresses), les Baux (c’est-à-dire la liste des postes clients qui recevront une adresse IP automatique), les Réservations et Options précédemment configurées.
Créer les comptes utilisateurs du domaine
Dernière étape avant de pouvoir ajouter des PC dans le réseau nouvellement créé, il faut ajouter les comptes pour les utilisateurs du domaine.
1. Depuis le Gestionnaire de serveur, cliquer sur le menu Outils et choisir Utilisateurs et ordinateurs Active Directory (tout en bas).
2. Dérouler « domaine.local » et Users pour voir la liste des utilisateurs et des groupes qui existent déjà, par défaut dans Windows Server 2016. On notera que figure déjà le compte « Administrateur » que l’on utilise déjà.
3. Pour mieux s’en sortir et ne pas se mélanger avec les comptes intégrés, nous allons créer un dossier pour les utilisateurs de notre société (Unité d’Organisation, OU en anglais). Ce « super groupe » sera plus facile à gérer, par exemple avec des GPO.
Faire un clic droit sur le nom du domaine, Nouveau, Unité d’organisation.
4. Donner un nom à cette UO / OU, par exemple le nom de l’entreprise.
5. Ce nouveau « dossier » s’ajoute au même niveau que Users. Faire un clic droit sur la nouvelle UO (ici WindowsFacile), Nouveau, Utilisateur.
Renseigner Prénom, Nom, Nom d’ouverture de session (login) :
et préciser ensuite le mot de passe du compte. Celui-ci doit répondre aux critères de sécurité par défaut (majuscules-minuscules-chiffres-caractères spéciaux, longueur minimale). Pour les petites structures, l’option « Le mot de passe n’expire pas » évite aux utilisateurs d’avoir à changer leur mot de passe dix fois par an, donc de l’oublier ou de le noter sur un papier collé sur l’écran.
Voir ce tutoriel pour gérer ou baisser la complexité des mots de passe Active Directory.
Et ensuite ?
Le serveur en Windows 2016 est maintenant installé et opérationnel. D’autres ajustements sont possibles, comme une gestion du DHCP, créer et appliquer des GPO pour gérer les postes, centraliser les mises à jour par WSUS, etc.
Mais la priorité est maintenant de joindre des postes clients au serveur pour constituer un vrai réseau en mode client – serveur. Lire ce guide pour ajouter des ordinateurs Windows 10 à un domaine Active Directory.