Active Directory

Configuration

Installation

# Installation des rôles AD
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

# Promotion du serveur en contrôleur de domaine
Install-ADDSForest -DomainName @NOM_DOMAINE -DomainNetbiosName @NOM_NETBIOS -ForestMode @MODE_FORET -DomainMode @MODE_DOMAINE -InstallDns:$true

# Redémarrage automatique après la promotion

Configuration des unités d'organisation

# Création des OUs
New-ADOrganizationalUnit -Name "@NOM_OU" -Path "DC=@NOM_DOMAINE,DC=com"  # Ex: Utilisateurs, DC=mondomaine,DC=com

# Création des sous-OUs
New-ADOrganizationalUnit -Name "@NOM_SOUS_OU" -Path "OU=@NOM_OU,DC=@NOM_DOMAINE,DC=com"  # Ex: IT, Utilisateurs, DC=mondomaine,DC=com

Configuration des utilisateurs

# Création d'un utilisateur
New-ADUser -Name "@NOM_UTILISATEUR" -GivenName "@PRENOM" -Surname "@NOM" -SamAccountName "@LOGIN" -UserPrincipalName "@LOGIN@@NOM_DOMAINE.com" -Path "OU=@NOM_OU,DC=@NOM_DOMAINE,DC=com" -AccountPassword (ConvertTo-SecureString "@MOT_DE_PASSE" -AsPlainText -Force) -Enabled $true

Configuration des groupes

# Création d'un groupe
New-ADGroup -Name "@NOM_GROUPE" -GroupCategory Security -GroupScope Global -Path "OU=@NOM_OU,DC=@NOM_DOMAINE,DC=com"

# Ajout d'un utilisateur au groupe
Add-ADGroupMember -Identity "@NOM_GROUPE" -Members "@LOGIN"

Configuration des stratégies de groupe

# Création d'une GPO
New-GPO -Name "@NOM_GPO" -Comment "@DESCRIPTION"

# Liaison de la GPO à une OU
New-GPLink -Name "@NOM_GPO" -Target "OU=@NOM_OU,DC=@NOM_DOMAINE,DC=com"

Points importants

  • Le nom de domaine (@NOM_DOMAINE) doit être unique
  • Les OUs doivent être bien structurées
  • Les stratégies de groupe doivent être testées
  • Les sauvegardes doivent être configurées

Débogage

Vérification des services

# Vérification des services AD
Get-Service -Name NTDS, DNS, Netlogon

# Vérification de la réplication
repadmin /showrepl

# Vérification des logs
Get-EventLog -LogName System -Source "NTDS*" -Newest 10

Problèmes courants

  • Problèmes de réplication
  • Erreurs DNS
  • Problèmes d'authentification
  • Problèmes de stratégies de groupe

Bonnes Pratiques

  • Maintenir les contrôleurs de domaine à jour
  • Configurer les sauvegardes
  • Surveiller la réplication
  • Documenter la structure
  • Former les utilisateurs

FAQ

  1. Dans la Console de gestion des stratégies de groupe :
    • Ouvrir "Gestionnaire de stratégie de groupe"
    • Créer une nouvelle GPO
    • Nommer la GPO (ex: "Restriction Panneau de configuration")
  2. Configuration de la GPO :
    • Édition de la GPO
    • Configuration utilisateur > Modèles d'administration > Panneau de configuration
    • Activer "Interdire l'accès au Panneau de configuration"
  3. Liaison de la GPO :
    • Sélectionner l'OU cible
    • Lier la GPO à l'OU
    • Vérifier l'héritage
  4. Vérification :
    • gpupdate /force sur un poste client
    • Tester l'accès au Panneau de configuration
    • Vérifier les logs d'événements
  1. Dans la console DHCP :
    • Ouvrir "DHCP"
    • Sélectionner le serveur DHCP
    • Étendre "Réservations"
  2. Création de la réservation :
    • Nouvelle réservation
    • Nom : Nom de l'imprimante
    • Adresse IP : IP souhaitée
    • Adresse MAC : MAC de l'imprimante
    • Description : Description de l'imprimante
  3. Vérification :
    • Redémarrer l'imprimante
    • Vérifier l'attribution de l'IP
    • Vérifier la connectivité
  1. Vérifications côté client :
    • ipconfig /all
    • Vérifier les serveurs DNS configurés
    • Vérifier la connectivité réseau
  2. Tests de résolution :
    • nslookup nom.domaine.com
    • ping nom.domaine.com
    • tracert nom.domaine.com
  3. Vérifications côté serveur :
    • Vérifier l'état du service DNS
    • Vérifier les zones DNS
    • Vérifier les enregistrements
  4. Actions correctives :
    • Vider le cache DNS : ipconfig /flushdns
    • Renouveler l'adresse IP : ipconfig /renew
    • Redémarrer le service DNS
    • Vérifier les règles de pare-feu

Gestion DNS

État du serveur DNS

# Vérifier l'état du service DNS
Get-Service DNS

# Vérifier les statistiques du serveur DNS
Get-DnsServerStatistics

# Vérifier la configuration du serveur DNS
Get-DnsServerSetting -All

# Vérifier les paramètres de récurrence
Get-DnsServerRecursion

Gestion des zones DNS

# Lister toutes les zones DNS
Get-DnsServerZone

# Créer une nouvelle zone principale
Add-DnsServerPrimaryZone -Name "exemple.com" -ZoneFile "exemple.com.dns"

# Créer une nouvelle zone secondaire
Add-DnsServerSecondaryZone -Name "exemple.com" -ZoneFile "exemple.com.dns" -MasterServers "192.168.1.10"

# Supprimer une zone
Remove-DnsServerZone -Name "exemple.com" -Force

# Vérifier les paramètres d'une zone
Get-DnsServerZone -Name "exemple.com" | Format-List *

Gestion des enregistrements DNS

# Lister tous les enregistrements d'une zone
Get-DnsServerResourceRecord -ZoneName "exemple.com"

# Ajouter un enregistrement A
Add-DnsServerResourceRecordA -Name "www" -ZoneName "exemple.com" -IPv4Address "192.168.1.100"

# Ajouter un enregistrement CNAME
Add-DnsServerResourceRecordCName -Name "mail" -ZoneName "exemple.com" -HostNameAlias "www.exemple.com"

# Ajouter un enregistrement MX
Add-DnsServerResourceRecordMX -Name "@" -ZoneName "exemple.com" -MailExchange "mail.exemple.com" -Preference 10

# Ajouter un enregistrement TXT
Add-DnsServerResourceRecord -ZoneName "exemple.com" -Name "@" -TXT -DescriptiveText "v=spf1 ip4:192.168.1.100 -all"

# Supprimer un enregistrement
Remove-DnsServerResourceRecord -ZoneName "exemple.com" -Name "www" -RecordType A -Force

Transfert de zone et réplication

# Configurer le transfert de zone
Set-DnsServerPrimaryZone -Name "exemple.com" -NotifyServers "192.168.1.20" -Notify "Notify"

# Vérifier les paramètres de transfert
Get-DnsServerPrimaryZone -Name "exemple.com" | Select-Object -ExpandProperty NotifyServers

# Forcer le transfert de zone
Invoke-DnsServerZoneTransfer -ZoneName "exemple.com" -ComputerName "192.168.1.20"

# Vérifier l'état de la réplication
Get-DnsServerZoneTransferPolicy

Maintenance et diagnostic

# Vider le cache DNS
Clear-DnsServerCache

# Vérifier la résolution DNS
Resolve-DnsName -Name "www.exemple.com"

# Tester la récursion DNS
Test-DnsServer -IPAddress "192.168.1.10" -Context Recursion

# Vérifier les journaux DNS
Get-EventLog -LogName "DNS Server" -Newest 20

# Exporter la configuration DNS
Export-DnsServerZone -Name "exemple.com" -FileName "exemple.com.dns"

Redondance DNS avec RODC

# Installation du rôle RODC
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

# Promotion en RODC
Install-ADDSDomainController -ReadOnlyReplica -DomainName "exemple.com" -SiteName "Default-First-Site-Name" -InstallDns:$true -Credential (Get-Credential)

# Vérification de l'état du RODC
Get-ADDomainController -Filter {IsReadOnly -eq $true}

# Configuration du filtrage DNS sur le RODC
Set-DnsServerPrimaryZone -Name "exemple.com" -NotifyServers "192.168.1.10" -Notify "Notify"

# Vérification de la réplication DNS
repadmin /showrepl

# Gestion des enregistrements DNS en lecture seule
Get-DnsServerResourceRecord -ZoneName "exemple.com" -ComputerName "RODC-SERVER"

# Configuration de la délégation DNS
Set-DnsServerPrimaryZone -Name "exemple.com" -NotifyServers "192.168.1.20" -Notify "Notify"

# Vérification de la redondance
Test-DnsServer -IPAddress "192.168.1.20" -Context Recursion

# Monitoring de la réplication DNS
Get-DnsServerZone -Name "exemple.com" | Select-Object -ExpandProperty MasterServers

Points importants pour la redondance DNS avec RODC :

  • Le RODC maintient une copie en lecture seule de la base de données DNS
  • Les mises à jour DNS doivent être effectuées sur le contrôleur de domaine principal
  • La réplication est unidirectionnelle (du DC principal vers le RODC)
  • Le RODC peut résoudre les requêtes DNS localement
  • La configuration DNS est automatiquement répliquée depuis le DC principal