Choix d’une configuration de déploiement des services de domaine Active Directory

Avant d’ajouter un contrôleur de domaine exécutant Windows Server 2008 R2 à un domaine Active Directory existant, vous devez préparer la forêt et le domaine en exécutant Adprep.exe. Veillez à utiliser la version d’Adprep fournie sur le support d’installation de Windows Server 2008 R2. Cette version d’Adprep ajoute des objets et des attributs de schéma qui sont requis par les contrôleurs de domaine exécutant Windows Server 2008 R2, et modifie les autorisations relatives aux objets nouveaux et existants.

Exécutez les paramètres adprep suivants selon les besoins de votre environnement :

• Exécutez une fois adprep /forestprep sur le contrôleur de domaine de la forêt qui détient le rôle de maître d’opérations du schéma (le contrôleur de schéma) avant d’ajouter un contrôleur de domaine exécutant Windows Server 2008 R2. Pour exécuter cette commande, vous devez appartenir aux groupes Administrateurs de l’entreprise, Administrateurs du schéma et Admins du domaine dans le domaine qui contient le contrôleur de schéma.
  
  
• En outre, exécutez une fois adprep /domainprep /gpprep sur le contrôleur de domaine qui détient le rôle de maître d’opérations de l’infrastructure (le maître d’infrastructure) dans chaque domaine où vous prévoyez d’ajouter un contrôleur de domaine exécutant Windows Server 2008 R2. Pour exécuter cette commande, vous devez appartenir au groupe Admins du domaine.
  
  
• Si vous prévoyez de déployer un contrôleur de domaine en lecture seule dans l’un des domaines de la forêt, vous devez aussi exécuter une fois adprep /rodcprep dans la forêt. Vous pouvez exécuter cette commande sur n’importe quel ordinateur de la forêt. Pour exécuter cette commande, vous devez appartenir au groupe Administrateurs de l’entreprise. Pour plus d’informations, voir l’article consacré à la préparation d’une forêt pour un contrôleur de domaine en lecture seule (https://go.microsoft.com/fwlink/?LinkId=93244) (éventuellement en anglais).
  
  

Lorsque vous installez un nouveau contrôleur de domaine dans un domaine existant, vous pouvez opter pour une installation à partir d’un support (IFM) dans laquelle la base de données du domaine est copiée à partir du support plutôt que par le biais du réseau. Cette option n’est disponible dans l’Assistant Installation des services de domaine Active Directory que si vous activez la case à cocher Utiliser l’installation en mode avancé dans la première page de l’Assistant. L’outil recommandé pour la création du support d’installation est la sous-commande ntdsutil ifm. Pour plus d’informations sur l’utilisation de l’installation IFM, voir Installation à partir d’un support.

Pour pouvoir créer un nouveau domaine enfant, vous devez appartenir au groupe Admins du domaine dans le domaine parent ou au groupe Administrateurs de l’entreprise. Pour pouvoir créer une nouvelle arborescence de domaine, vous devez appartenir au groupe Administrateurs de l’entreprise.

L’Assistant Installation des services de domaine Active Directory accepte les noms de domaines Active Directory de 64 caractères ou 155 octets maximum. Bien que la limite des 64 caractères soit généralement atteinte avant celle des 155 octets, le contraire peut se produire si le nom contient des caractères Unicode faisant chacun trois octets. Ces limites ne s’appliquent pas aux noms d’ordinateurs.

Lors de l’installation, une délégation de zone DNS (Domain Name System) est créée par Dcpromo.exe. Si la création de la délégation de zone DNS échoue ou si vous décidez de ne pas la créer (ce qui est déconseillé), vous devez créer manuellement une délégation de zone. Pour plus d’informations sur la création d’une délégation de zone, voir Création ou mise à jour d’une délégation DNS.

Avant de pouvoir ajouter un domaine à une forêt, une délégation DNS doit être créée pour la zone DNS qui correspond au nom du domaine Active Directory que vous ajoutez. L’Assistant Installation des services de domaine Active Directory vérifie si la délégation DNS existe. Si elle n’existe pas, l’Assistant offre la possibilité de la créer automatiquement lors de la création du nouveau domaine.

Vous devez créer une nouvelle arborescence de domaine uniquement si vous avez besoin d’un domaine dont l’espace de noms DNS n’est pas associé aux autres domaines de la forêt. Cela signifie qu’il n’est pas nécessaire que le nom du domaine racine de l’arborescence (et de tous les domaines enfants se trouvant au-dessous) contienne le nom complet du domaine parent.

Par exemple, treyresearch.net peut être une arborescence de domaine dans la forêt contoso.com. Les nouvelles arborescences de domaines sont le plus souvent créées à l’occasion de l’acquisition d’une société ou de la fusion de plusieurs organisations. Une forêt peut contenir une ou plusieurs arborescences de domaines.

Avant de créer une nouvelle arborescence de domaine, envisagez de créer une autre forêt si vous voulez un espace de noms DNS différent. La présence de plusieurs forêts offre les avantages suivants : autonomie administrative, isolement des partitions d’annuaire de configuration et de schéma, limites de sécurité distinctes et possibilité d’utiliser une conception d’espace de noms indépendante pour chaque forêt.

Avant de créer une nouvelle forêt, assurez-vous d’avoir entièrement planifié votre infrastructure DNS. Pour créer une nouvelle forêt, vous devez connaître son nom DNS complet. Vous pouvez installer le service Serveur DNS avant d’installer les services AD DS, mais il est préférable de demander à l’Assistant Installation des services de domaine Active Directory de le faire à votre place.

Si vous demandez à l’Assistant d’installer le service Serveur DNS, l’Assistant utilise le nom DNS que vous fournissez pour générer automatiquement un nom NetBIOS pour le premier domaine de la forêt. Avant de continuer, l’Assistant vérifie que le nom DNS et le nom NetBIOS sont uniques sur le réseau. Vous devez activer la case à cocher Utiliser l’installation en mode avancé dans la page Assistant Installation des services de domaine Active Directory pour spécifier un autre nom NetBIOS que celui qui est généré automatiquement par l’Assistant.

	Remarques
	La page Nom de domaine NetBIOS de l’Assistant s’affiche également si le nom NetBIOS généré automatiquement est en conflit avec un nom existant.

Par défaut, le service Serveur DNS est installé sur le premier contrôleur de domaine d’une forêt. Si vous avez déjà configuré une infrastructure DNS pour prendre en charge la résolution de noms dans la nouvelle forêt, vous pouvez désactiver la case à cocher Serveur DNS dans la page Options supplémentaires de l’Assistant. Par contre, si vous n’avez pas déjà mis en place une infrastructure DNS de prise en charge, acceptez le paramètre par défaut pour que l’Assistant installe le service Serveur DNS sur le premier contrôleur de domaine de la forêt.

Lorsque vous cliquez sur Suivant pour continuer, l’Assistant Installation des services de domaine Active Directory examine votre infrastructure DNS existante. Si vous avez désactivé la case à cocher Serveur DNS, l’Assistant effectue des tests de diagnostic pour vérifier que l’infrastructure DNS de prise en charge est en place. Si les tests de diagnostic échouent, vous avez à nouveau la possibilité d’installer le service Serveur DNS à l’aide de l’Assistant.

Pour une nouvelle forêt, le niveau fonctionnel de forêt par défaut est Windows 2000 et le niveau fonctionnel de domaine par défaut est Windows 2000 natif. Il s’agit des niveaux fonctionnels les plus bas possible et ils permettent aux contrôleurs de domaine d’exécuter Windows Server 2003, Windows® 2000 Server, Windows Server 2008 ou Windows Server 2008 R2.

Si vous ne prévoyez pas d’ajouter des contrôleurs de domaine exécutant l’une des versions antérieures de Windows Server, sélectionnez des niveaux fonctionnels plus élevés afin d’activer les fonctionnalités avancées. Si vous sélectionnez Windows Server 2008 R2 comme niveau fonctionnel de la forêt, tous les domaines qui sont ensuite ajoutés à la forêt seront créés avec le niveau fonctionnel de domaine Windows Server 2008 R2. Dans ce cas, la page Définir le niveau fonctionnel du domaine n’apparaît pas dans l’Assistant Installation des services de domaine Active Directory. Si vous sélectionnez un autre niveau fonctionnel de forêt, vous pouvez définir le niveau fonctionnel de domaine séparément pour chaque domaine de la forêt. Pour plus d’informations sur les niveaux fonctionnels, voir Définition du niveau fonctionnel d’un domaine ou d’une forêt.

Le premier contrôleur de domaine de ce domaine héberge tous les rôles de maître d’opérations (également appelés opérations à maître unique flottant ou FSMO) de la forêt.

Il est recommandé d’avoir des contrôleurs de domaine supplémentaires dans le domaine pour améliorer la disponibilité et la tolérance de pannes des services AD DS. Après avoir créé des contrôleurs de domaine supplémentaires, vous pouvez transférer certains des rôles de maître d’opérations hébergés sur le premier contrôleur de domaine vers ces autres contrôleurs de domaine. Si vous prévoyez de créer une forêt à plusieurs domaines et d’avoir un ou plusieurs contrôleurs de domaine dans le domaine racine de votre forêt qui ne soient pas des serveurs de catalogue global, vous devez au moins transférer le rôle de maître d’infrastructure du domaine racine de la forêt vers un autre contrôleur de domaine du domaine qui n’est pas un serveur de catalogue global.

Pour plus d’informations sur la gestion des rôles de maître d’opérations, voir Assurer la réussite des opérations Active Directory en gérant les rôles de maître des opérations.