Mise a jour le 16/04/2024 > Ajout DNS CloudFlare (filtrage logiciels malveillants et contenu adulte)
Configuration du Serveur après l’installation de Active Directory AD DS 2022 2019 2016 2012
L’active Directory est installé sur votre serveur, il convient de configurer le contrôleur de domaine de façon optimale (LAN, DNS, DHCP, NTP…)
Propriétés de la carte réseau LAN
Changer le serveur DNS 127.0.0.1 par l’adresse IP de votre serveur DNS. Dans notre cas : 192.168.1.1
Note : vérifier que IPv6 est bien décochée !
Cliquer Avancé…, Onglet DNS, et entrer le nom complet du domaine dans Suffixe DNS pour cette connexion :
LABO.local (dans notre exemple)
Configuration et Optimisation du Serveur DNS
Créer une zone inversée (clic-droit sur zone de recherche inversée > nouvelle zone), en zone principale et intégrée à Active Directory qui se répliquera vers tous les serveurs du domaine.
Note : Laisser la configuration des autres options proposées par défaut
Entrez l’ID réseau
Une fois la zone inversée créée > Ajouter le Pointeur (PTR) de votre Serveur dans cette zone. (Clic droit, Nouveau pointeur PTR)
Entrez l’adresse IP du Serveur et sélectionner parcourir pour sélectionner son NOM Complet.
Zones de recherche directes : Vérifier, Cocher > Mettre a jour l’enregistrement de Pointeur PTR associé
Zones de recherche inversée > Modifier, ajouter, l’adresse IP du Serveur de Noms NS
Propriétés du Serveur de Noms (NS) > Modifier > Cliquer sur Résoudre > Supprimer iPv6 (::1) et Garder seulement IPv4 (192.168.1.1)
Résultat
Vérification de la configuration DNS des zones directes et inversée : nslookup
Clic droit sur le serveur DNS. Puis Définir le vieillissement / nettoyage pour toutes les zones
Cochez : Nettoyer les enregistrements de ressources obsolètes et définir un vieillissement de 7 jours
Cochez : Appliquer ces paramètres aux zones existantes intégrées a Active Directory
Paramétrage du Serveur DNS > clic-droit sur votre serveur puis propriétés.
Dans l’onglet Redirecteurs : ajouter les serveurs DNS de Google (8.8.8.8 et 8.8.4.4), ou l’adresse IP de votre Routeur, ou les DNS de votre FAI (Fournisseur d’accès internet).
Note : Ou vous pouvez ajouter les DNS CloudFlare pour filtrer les logiciels malveillants et le contenu pour adultes > 1.1.1.3 et 1.0.0.3
Les redirecteurs servent à envoyer les requêtes non résolues vers d’autres serveurs DNS afin de les résoudre. Exemple, si vous tapez www.google.fr, votre serveur DNS ne connait pas cette zone, et enverra donc cette requête aux Redirecteurs et donc aux Serveurs DNS de Google ou de votre FAI.
Onglet Avancé > Activer le nettoyage automatique et paramétrez-le sur 7 jours. Votre DNS sera ainsi nettoyé des enregistrements obsolètes.
Note : Laisser le « Round Robin » activé si vous avez plusieurs Serveurs DNS.
Allez ensuite dans les propriétés de vos 3 zones de recherche directes et inversée et vérifiez dans l’onglet Général que le vieillissement de 7 jours et bien activé
 |
 |
 |
Installation Serveur DHCP
- Installation du Role Serveur DHCP sur Windows Serveur 2008 R2
- Installation du Role Serveur DHCP sur Windows Serveur 2019, 2016 ou 2012 R2
Optimisation de la configuration
Serveur de Temps NTP
Configurer un serveur de temps NTP faisant autorité sous Windows Serveur
Il est très IMPORTANT d’avoir un serveur de temps fonctionnel dans son Active Directory sous peine d’avoir des dysfonctionnements importants.
Activation du Bureau a Distance
Pour se connecter en bureau à distance sur votre serveur afin de l’administrer.
Sur Windows Serveur 2008 R2
Sur Windows Serveur 2019, 2016 ou 2012 R2
Désactiver de la sécurité renforcée d’Internet Explorer
Vérifier le profil réseau « DOMAINE.local » : Il doit être reconnu sur le contrôleur de domaine après le redémarrage du Serveur.
Le « Nom du Domaine » avec l’extension « .local » doit être indiqué dans « Paramètres, Réseau et Internet » et dans le « Centre Réseau et Partage«
Le service « NLA » (Connaissance des emplacements réseau) démarre avant que « Active Directory » et le service « DNS » ne se lancent et il ne trouve pas de contrôleur de domaine sur le réseau.
Il faut ajouter les Services « DNS » et « NTDS » aux dépendances du Service « NlaSvc » pour attendre leur démarrage.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc : DependOnService
Configuration des Stratégies GPO
Suivez le guide : GPO – Strategies Essentielles et Arborescence Active Directory (Unité d’Organisation)
- Si le Serveur aura le rôle Bureau a Distance TSE RDP, alors :
Démarrer, Outils d’administration, Stratégie de sécurité locale. Ajouter Utilisateurs du Bureau a distance dans Attribution des droits utilisateur, Autoriser l’ouverture par les services Bureau a distance.
- Vérifier dans l’observateur d’événements si les erreurs suivantes se présentent :
1 – Netlogon ID 5781
Lorsque le contrôleur de domaine démarre, le service Accès réseau peut démarrer avant le service DNS. Comme le service Accès réseau doit procéder à des enregistrements dans le serveur DNS et que le service DNS n’est pas disponible, des erreurs peuvent se produire.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon
Double-cliquez sur la valeur DependOnService et ajoutez DNS sur la ligne vide suivante. Cliquez sur OK
2 – Volume Shadow Copy ID 8193
(VSS Windows 2008 0x80070005 Accès refusé)
- Accédez à HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ VSS> clic droit et choisissez autorisation et de donner des services réseau pleins droits.
