dimanche 8 janvier 2017

Installer un contrôleur de domaine en lecture seul sous Windows 2016 dans un nouveau site Active Directory

L'installation d'un contrôleur de domaine en lecture seul RODC est recommandée dans les cas suivants:

  • Un petit site avec un nombre d’utilisateur limité
  • Un site non protégé contre le vol du serveur
  •  Déléguer à administrateur le droit d'administration local sur  le serveur RODC sans donner des privilèges supplémentaires dans le domaine.

Pré-requis:

  •  Un RODC peut être installé sur  Windows 2008/2008R2/2012/2012R2/2016 
  • Le niveau fonctionnel du domaine est 2003
  • Au moins un contrôleur de domaine R/W installé sur Windows 2008 ou plus.
  • Les contrôleurs de domaine sous Windows 2003 ne sont pas capable de reconnaitre les RODC, pour cela il est recommandé si vous l’avez de désactiver l’option Automatic site coverage, ou bien installer le KB944043 


A partir de la version Windows 2012  adprep se lance automatiquement pendant l'installation du premier contrôleur du domaine RODC.

Installer un RODC dans un nouveau site active directory:


Dans cette partie, on va montrer comment installer un serveur RODC sur un nouveau site pour gérer les demandes d'authentification des clients.
Pour cela on a monté deux machines virtuelles : DC2016-2 va jouer le rôle du contrôleur de domaine R/W et RODC2016 sera notre prochain RODC



Depuis la console Site et services du DC2016-2 ,on a créé un nouveau subnet 192.168.1.1/32 et l'attaché au nouveau site nommé RODC-SITE :


le Subnet 192.168.1.1/32 contient une seule adresse IP, c'est l'adresse IP du RODC.

Maintenant, on va vérifier les paramètres IP du serveur RODC et la résolution DNS du nom du domaine lab.lan:



Après la vérification DNS, on lance l'installation du contrôleur de domaine RODC en mode graphique. 
On commence par l'installation des outils d'administration active directory, voici les étapes à suivre:

Depuis le gestionnaire de serveur on clique sur Add roles and features:



On clique sur Next:


On clique sur next:



On clique sur next :


On coche le rôle Active Directy Domain Services , une fenêtre va s'afficher avec la liste des fonctionnalités à ajouter , on clique sur Add Features:



On clique sur Next:





On clique sur Next:




On clique sur Next:





On clique sur Install:



On clique sur Promote this server to a domain controller pour commencer la promotion du contrôleur de domaine sur le serveur RODC:



On clique sur Next:



On coche l'option Read only domain controller (RODC) , on sélectionne le site RODC et on tape le mot de passe DSRM, puis on clique sur Next:


Dans cette fenêtre  ,on définit les comptes ordinateurs et utilisateurs autorisés de répliquer leurs mots de passe sur le serveur RODC:


On clique sur Next:



On clique sur Next:


On clique sur Next:


Après la vérification des pré-requis , on clique sur Install:


Une fois l’installation terminé, voici ce qu'on obtient  :




 Configurer la liste des objets active directory (utilisateurs et ordinateurs) autorisée de s'authentifier via RODC:

Pas tous les objets active directory autorisés pour s'authentifier à travers  RODC. il faut déclarer la liste des objets autorisée de réplication leurs mots de passe vers RODC dans l'onglet Password Replication Policy. Dans cette liste on peut définir que des utilisateurs , des ordinateurs et des groupes locaux:


J'ai créé deux utilisateurs Thameur BOURBITA (lab\tb) et lab\test, j'ai autorisé que l'utilisateur lab\tb pour répliquer son mot de passe sur RODC2016. Maintenant si on se connecte sur RODC2016 via le compte LAB\tb, comme indiqué dans la figure ci-dessus, l'utilisateur a bien contacté le serveur RODC2016 pour l'authentification:




Par contre si on se connecte via le compte lab\test sur le même serveur RODC2016, l'utilisateur va contacter le DC2016-2 pour effectuer l'authentification comme le montre la figure ci-dessous:




Aucun commentaire:

Enregistrer un commentaire