Formations et ressources pour les TICE - ESPE Aix-Marseille          
[Windows Serveur] Installation de l’Active Directory

1. Installation de l’Active directory

Si vous n’avez pas la fenêtre ’Gérer votre serveur’, vous pouvez la faire apparaître en faisant ’Démarrer’, ’Outils d’administration’ et ’Gérer votre serveur’.Utilisez ’Ajouter ou supprimer un rôle’

Vous avez le choix à partir d’ici d’installer une configuration par défaut ou une configuration personnalisée. Si vous choisissez le premier cas, l’active directory sera installé ainsi que le DNS et le DHCP. C’est cette option que j’ai choisie pour le suite de cet exposé.

Remarque : L’installation du serveur DNS comme on le verra plus tard, se fera automatiquement en même temps que l’installation d’Active Directory.

Vous serez informé que les stations 95 ne fonctionneront pas avec votre serveur. Les stations NT4 ayant un service pack inférieur au 4 devront être mises à jour pour être utilisées. Si vous possédez des stations 95 il sera tout de même possible de les utiliser mais pour cela il faudra réduire la sécurité du serveur 2003 (décrit plus loin).

Cliquez sur suivant.Vous devez maintenant choisir le nom que vous allez donner à votre domaine. Le nom iufm.fr est un exemple de nom de domaine, mais il ne serait pas souhaitable de reprendre ce nom puisqu’il existe déjà. Il n’est pas non plus souhaitable de choisir un nom se terminant par .com ou .fr ou .org ou .net... car ces noms existent où peuvent exister sur Internet.Le nom de domaine doit être composé de deux parties séparées entre elles par un point. A droite du point il s’agit du ’grand domaine’ ou domaine de premier niveau. Vous choisirez l’un des deux mots priv ou local pour ce nom de grand domaine car ce sont les mots réservés pour un réseau local. Je suppose dans la suite que vous avez choisi local. A gauche du point, vous pouvez choisir ce que vous voulez en respectant certaines règles :

• Évitez de commencer par un chiffre.
• N’utilisez pas de caractères spéciaux comme l’espace, le point ou les accents...
• Évitez de choisir un nom de plus de 15 caractères.
• Le tiret - (signe moins) est à préférer au signe de soulignement _.
• Ne prenez pas le même nom que le nom du serveur.

Exemple de mauvais choix :

• domaine.lycee.priv (deux points)
• serveur.local (conviendrait mais prête à confusion car le mot serveur ne fait pas penser à un nom de domaine).
• lycée.local (accent)
• domaine-du-lycee-professionnel-et-technologique-regional.local (nom trop long)

Dans la copie d’écran précédente, le domaine que j’ai choisi est lestaque.local. Vous pouvez remarquer que le nom a été tapé en minuscules (c’est ce qui est habituellement fait pour les noms de domaines sur Internet). Dans notre académie, les noms de domaines sont de la forme : in.lyc-papillon.ac-aix-marseille.fr

Le nom de domaine NetBIOS est fabriqué automatiquement à partir du nom du domaine complet. En général, il s’agit de la première partie convertie en majuscules. Dans certains cas, ce nom ne convient pas et un autre nom vous est proposé, mais vous pouvez le changer et mettre ce que vous voulez.

Dans l’étape suivante, l’assistant vous demande rentrer un redirecteur. Les redirecteurs. Si le DNS connaît l’adresse demandée par une station, il donne la réponse immédiatement. C’est le cas pour toutes les adresses locales. C’est également le cas, lorsque le serveur a conservé l’information dans son cache. Si la demande porte sur un domaine extérieur non connu, alors le service DNS s’adresse aux serveurs DNS indiqués dans ses redirecteurs. Dès qu’il reçoit la réponse, il la retient dans son cache et la donne à la station.Quelle ou quelles adresses mettre comme redirecteurs ? Si vous accédez directement à Internet en passant par un routeur, mettez les adresses IP des serveurs DNS de votre fournisseur d’accès. Si vous avez un serveur qui fait office de passerelle (Amon, SAI, ou autre ...) mettez l’adresse IP de la carte réseau côté réseau local de ce serveur. Ce serveur possède les redirecteurs vers les DNS du fournisseur d’accès. Il peut arriver qu’un organisme autre que votre fournisseur d’accès vous propose d’utiliser ses serveur DNS, vous mettrez ces DNS à la place de ceux de votre fournisseur d’accès. L’assistant vous propose un résumé rapide avant de passer à l’installation à proprement parler.

Après le redémarrage de votre ordinateur, l’assistant vous fait un résumé de ce qui a été fait, voir figure ci-contre.

2. Modification de certains paramètres du serveur

• Réduire les exigences de mots de passe : Par défaut, les mots de passe des utilisateurs doivent respecter des exigences qui ne sont peut-être pas nécessaires dans le cas d’un réseau d’établissement scolaire. En particulier, IACA fabrique des mots de passe trop simples qui ne respectent pas ces exigences. Règles par défaut pour les mots de passe :

• • Les mots de passe doivent comporter au moins 7 caractères ;
  • Chaque mot de passe doit utiliser au moins trois catégories de caractères parmi les 4 catégories suivantes :

• • • Les lettres majuscules,
    • Les lettres minuscules,
    • Les chiffres,
    • Les caractères spéciaux (@ !$*-&...)

Pour réduire les exigences, allez dans ’Outils d’administration’ et ’Stratégie de sécurité du domaine’ Ne confondez pas avec ’Stratégie de sécurité du contrôleur de domaine’. Dans stratégie de mots de passe, désactivez ’Le mot de passe doit respecter des exigences de complexité’ et réduisez la longueur minimale du mot de passe. Les mots de passe de IACA font par défaut 5 ou 6 caractères. Si vous avez laissé ce choix, vous pouvez mettre la longueur minimale du mot de passe à 5. La modification de la stratégie n’est pas effective immédiatement. Il faut attendre quelques minutes. Si vous ne voulez pas attendre, vous pouvez exécuter GPUPDATE.

• Réduire les exigences des communications réseau : Depuis Windows 2003, la nouvelle exigence des communications réseau fait que les stations ne peuvent communiquer avec le serveur que de façon signée numériquement. Avec un serveur 2000, par défaut, cette communication signée ne se faisait que si la station en était capable. Si vous avez des stations 95, les exigences par défaut de Windows 2003 ne conviennent pas. Si vous avez des stations NT4, vous devez au moins avoir le service pack 4 installé. Si vous voulez démarrer une station en DOS et accéder au serveur, les exigences par défaut de Windows 2003 ne conviennent pas. Il est possible également que des Windows 98 ne trouvent pas le voisinage réseau ou perde le voisinage réseau à cause de cette exigence.
  Solution : Dans les ’Outils d’administration’, ouvrez ’Paramètres de sécurité du contrôleur de domaine’. Dans les ’Paramètres de sécurité’, ’Stratégies locales’ et ’Options de sécurité’, vous trouvez ’Serveur réseau Microsoft : communications signées numériquement (toujours)’ qu’il faut désactiver. Laissez ’activé’ pour les communications signées numériquement (lorsque le serveur l’accepte) Exécutez GPUPDATE si vous voulez que cette modification soit prise en compte immédiatement.3. Désinstaller Active DirectoryCette opération supprime tous les comptes existants. Si votre serveur possède des comptes utilisateurs ou des groupes ou des comptes d’ordinateurs (des stations Windows NT Workstation ou Windows 2000 Pro ou XP Pro inscrites dans Active Directory), tout disparaîtra si vous désinstallez Active Directory. Si, avec ces mises en garde, vous décidez tout de même de désinstaller Active Directory, voici comment procéder :

• Comme le service DNS fait partie de Active Directory, il est souhaitable de commencer par sortir le service DNS d’Active Directory. ’Outils d’administration’, ’DNS’. Allez dans ’Zone de recherche directe’, faites un clic droit sur votre domaine et choisissez ’propriétés’. Dans le volet ’Général’, utilisez le bouton ’Modifier’ correspondant au type ’Intégré à Active Directory’. Enlevez la coche devant ’Enregistrer la zone dans...’. Si vous avez créé une zone inversée, faites de même avec pour cette zone de recherche inversée.

• Dans ’Gérer votre serveur’, choisissez ’Ajouter ou supprimer un rôle’, placez-vous sur ’Contrôleur de domaine (Active Directory)’ et utilisez le bouton ’Suivant’. L’assistant d’installation d’active directory est alors appelé. Vous pouvez arriver plus rapidement à cet assistant en exécutant DCPROMO. Cochez ’Ce serveur est le denier contrôleur du domaine’. Il est possible que vous soyez informé que des données de DNS vont rester dans Active Directory. Le mot de passe qui vous est demandé est celui qui sera attribué au compte Administrateur local. C’est donc celui que vous devrez utiliser pour ouvrir une session lorsque Active Directory aura été supprimé. Ne le perdez pas !

• Vous obtenez le résumé.

• Choisissez ’Suivant’. La désinstallation prend un certain temps... A la fin, vous devez redémarrer l’ordinateur.