Vous pouvez effectuer une installation d’un contrôleur de domaine en lecture seule avec phase intermédiaire, dans le cadre de laquelle différentes personnes procèdent à l’installation en deux phases. Vous pouvez utiliser l’Assistant Installation des services de domaine Active Directory pour effectuer chacune des phases de l’installation.
-
Utilisation de l’installation en mode avancé
-
Configuration d’options supplémentaires pour un contrôleur de domaine
-
Délégation de l’installation et de l’administration d’un contrôleur de domaine en lecture seule
-
Spécification de la stratégie de réplication de mot de passe
-
Sélection d’un compte de contrôleur de domaine en lecture seule
Description d’une installation intermédiaire de contrôleur de domaine en lecture seule
La première phase de l’installation crée un compte pour le contrôleur de domaine en lecture seule dans les services de domaine Active Directory (AD DS). La deuxième phase de l’installation joint le serveur qui va devenir contrôleur de domaine en lecture seule au compte qui a été préalablement créé pour lui.
Au cours de la première phase, l’Assistant Installation des services de domaine Active Directory enregistre toutes les données relatives au contrôleur de domaine en lecture seule qui seront stockées dans la base de données Active Directory distribuée, telles que le nom de compte du contrôleur de domaine en lecture seule et le site dans lequel il va être placé. Cette phase doit être effectuée par un membre du groupe Admins du domaine.
L’utilisateur qui crée le compte de contrôleur de domaine en lecture seule peut également spécifier à ce stade quels utilisateurs ou groupes sont autorisés à effectuer la prochaine phase de l’installation. La prochaine phase de l’installation peut être effectuée à la succursale par n’importe quel utilisateur ou membre de groupe à qui le droit de terminer l’installation a été délégué lors de la création du compte. Cette phase ne requiert pas d’appartenir à des groupes prédéfinis comme le groupe Admins du domaine. Si l’utilisateur qui crée le compte de contrôleur de domaine en lecture seule ne spécifie aucun délégué pour terminer l’installation (et administrer le contrôleur de domaine en lecture seule), seul un membre du groupe Admins du domaine ou du groupe Administrateurs de l’entreprise peut terminer l’installation.
Au cours de la deuxième phase de l’installation, l’Assistant installe les services AD DS sur le serveur qui va devenir contrôleur de domaine en lecture seule. Cette phase a généralement lieu à la succursale où le contrôleur de domaine en lecture seule est déployé. Au cours de cette phase, toutes les données AD DS résidant localement, comme la base de données, les fichiers journaux, etc., sont créées sur le contrôleur de domaine en lecture seule lui-même. Les fichiers sources d’installation peuvent être répliqués par le biais du réseau sur le contrôleur de domaine en lecture seule à partir d’un autre contrôleur de domaine ou vous pouvez utiliser la fonctionnalité d’installation à partir d’un support (IFM). Lorsque vous recourez à cette fonctionnalité, utilisez Ntdsutil.exe pour créer le support d’installation qui est créé spécialement pour une installation de contrôleur de domaine en lecture seule. Pour plus d’informations sur l’utilisation de l’installation IFM, voir Installation à partir d’un support.
Le serveur qui va devenir contrôleur de domaine en lecture seule ne doit pas être joint au domaine avant d’essayer de le joindre au compte de contrôleur de domaine en lecture seule. Dans le cadre de l’installation, l’Assistant Installation des services de domaine Active Directory détecte automatiquement si le nom du serveur correspond au nom d’un ou plusieurs comptes de contrôleur de domaine en lecture seule créés à l’avance pour le domaine. Lorsque l’Assistant trouve un nom de compte correspondant, il invite l’utilisateur à utiliser ce compte pour terminer l’installation du contrôleur de domaine en lecture seule.
Scénario pour effectuer une installation intermédiaire
Lorsqu’une organisation utilise l’installation intermédiaire, elle peut désormais déployer un contrôleur de domaine dans une succursale plus efficacement qu’avec les versions précédentes de Windows Server. Par exemple, un membre du groupe Admins du domaine se trouvant dans un emplacement central peut créer un compte de contrôleur de domaine en lecture seule dans les services AD DS. Cette phase de l’installation effectue toutes les tâches de déploiement qui requièrent des informations d’identification du groupe Admins du domaine, dont les suivantes : création du compte d’ordinateur pour le contrôleur de domaine, spécification du site correspondant et création d’un objet Paramètres NTDS associé pour le serveur.
Lorsqu’un membre du groupe Admins du domaine crée le compte de contrôleur de domaine en lecture seule, il peut déléguer à un autre utilisateur ou groupe de sécurité le droit de terminer l’installation du contrôleur de domaine en lecture seule à la succursale. La tâche consistant à joindre le serveur au compte de contrôleur de domaine en lecture seule existant ne doit pas nécessairement être effectuée par un membre du groupe Admins du domaine. N’importe quel administrateur délégué (ou membre d’un groupe délégué) qui est désigné par le membre du groupe Admins du domaine lors de la première phase de l’installation peut effectuer cette tâche.
L’organisation peut commander et expédier directement le serveur à la succursale où l’installation du contrôleur de domaine en lecture seule peut être achevée. Auparavant, les contrôleurs de domaine des succursales devaient souvent être commandés et expédiés vers un emplacement central ou un site intermédiaire pour être assemblés, avant d’être ensuite expédiés à la succursale où ils allaient être déployés. Une autre solution consistait à créer le support d’installation dans un emplacement central, puis à l’expédier à la succursale pour terminer l’installation du contrôleur de domaine. L’installation d’un contrôleur de domaine en lecture seule avec phase intermédiaire rationalise le processus de déploiement du contrôleur de domaine en éliminant ces étapes d’installation intermédiaires.
Comment effectuer une installation intermédiaire
Avant de pouvoir installer un contrôleur de domaine en lecture seule, vous devez préparer votre forêt en exécutant adprep /rodcprep. Pour plus d’informations sur la préparation de votre forêt en exécutant adprep, voir Choix d’une configuration de déploiement des services de domaine Active Directory.
Vous pouvez ensuite créer le compte de contrôleur de domaine en lecture seule à l’aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Dans l’arborescence de la console, cliquez avec le bouton droit sur le conteneur Contrôleurs de domaine ou bien cliquez sur le conteneur Contrôleurs de domaine et cliquez sur Action, puis cliquez sur Créer au préalable un compte de contrôleur de domaine en lecture seule.
Vous pouvez également créer un compte de contrôleur de domaine en lecture seule en exécutant dcpromo depuis la ligne de commande, mais la commande doit aussi spécifier le nom du domaine dans lequel vous installez le contrôleur de domaine en lecture seule. Dans la ligne de commande, tapez la commande suivante, puis appuyez sur Entrée :
dcpromo /CreateDCAccount /ReplicaDomainDNSName:nom_domaine
Où nom_domaine est le nom du domaine dans lequel vous prévoyez d’installer un contrôleur de domaine en lecture seule.
Une fois que vous avez créé le compte de contrôleur de domaine en lecture seule, il apparaît dans le conteneur Contrôleurs de domaine sous forme de compte de contrôleur de domaine inoccupé jusqu’à ce qu’un utilisateur délégué lui joigne un serveur.
Après avoir affecté une adresse IP statique au serveur et configuré les paramètres de client DNS correspondants, l’administrateur délégué peut exécuter l’Assistant Installation des services de domaine Active Directory pour joindre le serveur de la succursale au compte de contrôleur de domaine en lecture seule existant. Pour joindre le serveur au compte existant, ouvrez une invite de commandes sur le serveur qui va devenir contrôleur de domaine, tapez la commande suivante, puis appuyez sur Entrée :
dcpromo /UseExistingAccount:Attach
L’administrateur délégué est informé que les fichiers binaires des services AD DS sont en cours d’installation. Ensuite, l’Assistant Installation des services de domaine Active Directory démarre automatiquement la deuxième phase de l’installation. L’administrateur délégué peut ajouter le paramètre /adv à la commande dcpromo ou activer la case à cocher Utiliser l’installation en mode avancé dans la page Assistant Installation des services de domaine Active Directory de l’Assistant pour spécifier les options d’installation supplémentaires suivantes :
-
si les données doivent être répliquées sur le réseau ou à partir d’un support ;
-
le contrôleur de domaine à utiliser comme partenaire d’installation.
Dans la page Informations d’identification réseau de l’Assistant, l’administrateur délégué doit entrer le nom de n’importe quel domaine de la forêt où le contrôleur de domaine en lecture seule va être installé, ainsi que des informations d’identification alternatives à utiliser pour l’installation. Ces autres informations d’identification sont requises pour joindre le serveur à un compte de contrôleur de domaine existant car l’opération doit être effectuée par un utilisateur du domaine. Cependant, l’administrateur délégué a initialement ouvert une session sur le serveur à l’aide d’un compte d’administrateur local étant donné que ce serveur n’était pas encore joint au domaine. Par conséquent, l’administrateur délégué doit maintenant spécifier le compte d’utilisateur de domaine (ou un compte appartenant au groupe d’administration délégué) à qui a été délégué le droit d’installer et d’administrer le contrôleur de domaine en lecture seule lorsque le membre du groupe Admins du domaine a créé le compte pour ce contrôleur de domaine en lecture seule.
Suppression des services AD DS d’un contrôleur de domaine en lecture seule
Un administrateur délégué peut supprimer les services AD DS du contrôleur de domaine en lecture seule en exécutant Dcpromo.exe. L’Assistant Installation des services de domaine Active Directory demande les informations, notamment le mot de passe du nouveau compte Administrateur local, qui sont requises pour supprimer les services AD DS et transformer l’ordinateur en serveur autonome. Vous devez redémarrer le serveur pour terminer la suppression des services AD DS.
Détection des conflits de nom et de compte d’ordinateur
Une fois que l’administrateur délégué a sélectionné le nom du compte de contrôleur de domaine en lecture seule auquel le serveur va être joint, l’Assistant Installation des services de domaine Active Directory vérifie que le compte n’est pas actuellement utilisé par un contrôleur de domaine actif. Si la vérification est positive, l’Assistant tente automatiquement de joindre le serveur à ce compte et de terminer l’installation.
Si l’Assistant ne trouve pas de compte d’ordinateur du même nom, il donne à l’administrateur délégué la possibilité de renommer le serveur pour lui affecter un nom correspondant à un compte d’ordinateur existant ou de prendre d’autres mesures pour résoudre le conflit de nom.
Si l’Assistant trouve un nom de compte de contrôleur de domaine correspondant mais que le compte est activé, il tente de contacter ce contrôleur de domaine pour vérifier que celui-ci est en ligne. L’Assistant procède ensuite comme suit :
-
Si l’Assistant parvient à déterminer qu’un autre contrôleur de domaine du même nom est déjà en ligne, il bloque l’installation des services AD DS. Dans ce cas, le nom du serveur sur lequel le contrôleur de domaine en lecture seule est en cours d’installation doit être remplacé par le nom d’un compte de contrôleur de domaine en lecture seule qui n’est pas déjà utilisé.
-
Si l’Assistant ne parvient pas à déterminer qu’un autre contrôleur de domaine du même nom est déjà en ligne, il avertit l’administrateur délégué qu’en poursuivant l’installation, le contrôleur de domaine qui porte le même nom de compte ne fonctionnera plus correctement s’il est en fait en ligne et que l’Assistant n’a pas réussi à le contacter.
Cette situation peut se produire si une tentative a déjà été effectuée pour joindre le serveur au compte existant, mais qu’elle a été annulée avant la fin de l’installation. Dans ce cas, l’état du compte de contrôleur de domaine en lecture seule peut passer de désactivé à activé avant la fin de l’installation. Si cela arrive, l’administrateur délégué peut cliquer sur OK pour continuer après l’avertissement.
Pour plus d’informations, voir Sélection d’un compte de contrôleur de domaine en lecture seule.