Configuration d’un Controleur de domaine Windows Serveur

Mise a jour le 27/02/2021

Configuration du Serveur après l’installation de Active Directory.

L’active Directory est désormais installé sur votre serveur, il convient de configurer le contrôleur de domaine de façon optimale.


Configuration et Optimisation DNS

Nous nous apercevons que l’assistant AD a préconfiguré le DNS, mais vraiment pas jusqu’au bout !

Propriétés de la carte réseau LAN

Changer le serveur DNS 127.0.0.1 par l’adresse IP de votre serveur DNS, ici dans notre cas: 192.168.1.1

Note : vérifier que IPv6 est bien décochée !

Cliquer Avancé…, DNS, et entrer le nom complet du domaine dans Suffixe DNS pour cette connexion. LABO.local dans notre exemple.

DNS Suffixe


Configuration Serveur DNS

Créer une zone inversée (clic-droit sur zone de recherche inversée => nouvelle zone), en zone principale et intégrée à Active Directory qui se répliquera vers tous les serveurs du domaine.

Entrez l’ID réseau

servad2

Une fois la zone inversée crée, ajoutez le Pointeur (PTR) de votre Serveur dans cette zone. (Clic droit, Nouveau pointeur PTR)

Entrez l’adresse IP du Serveur et parcourir pour sélectionner son NOM Complet.

Vérification de la configuration DNS des zones directes et inversée : nslookup

DNS0.4


Clic droit sur le serveur DNS. Puis Définir le vieillissement / nettoyage pour toutes les zones

DNS2.1

Cochez : Nettoyer les enregistrements de ressources obsolètes et définir un vieillissement de 7 jours

DNS2.2

Cochez : Appliquer ces paramètres aux zones existantes intégrées a Active Directory

DNS2.3


Paramétrage du Serveur DNS > clic-droit sur votre serveur puis propriétés.

Dans l’onglet Redirecteurs, ajouter ici les serveurs DNS de votre provider internet ou ceux de Google (8.8.8.8 et 8.8.4.4).

Les redirecteurs servent à envoyer les requêtes non résolues vers d’autres serveurs DNS afin de les résoudre. Typiquement, si vous tapez www.google.fr, votre serveur DNS ne connait pas cette zone, et enverra donc cette requête aux DNS de votre provider qui lui, les connaitra !

Onglet Avancé > Activer le nettoyage automatique et paramétrez-le sur 7 jours. Votre DNS sera ainsi nettoyé des enregistrements obsolètes.

Note : Laisser le « Round Robin » activé si vous avez plusieurs Serveurs DNS.


Allez ensuite dans les propriétés de vos 3 zones de recherche directes et inversée et vérifiez dans l’onglet Général que le vieillissement de 7 jours et bien activé

DNS3

DNS4


Installation Serveur DHCP

Installation du Role Serveur DHCP sur Windows Serveur 2008 R2

Installation du Role Serveur DHCP sur Windows Serveur 2019, 2016 ou 2012 R2


  • Optimisation de la configuration

Serveur de Temps NTP

Configurer un serveur de temps NTP faisant autorité sous Windows Serveur

Il est très IMPORTANT d’avoir un serveur de temps fonctionnel dans son Active Directory sous peine d’avoir des dysfonctionnements importants.

Activation du Bureau a Distance

pour se connecter en bureau à distance sur votre serveur afin de l’administrer. Une règle pour le firewall sera automatiquement crée, et le compte Administrateur pourra automatiquement se connecter.

Sur Windows Serveur 2008 R2

Sur Windows Serveur 2019, 2016 ou 2012 R2

Désactiver de la sécurité renforcée d’Internet Explorer

gpow0086


Vérifier le profil réseau « DOMAINE.local » : Il doit être reconnu sur le contrôleur de domaine après le redémarrage du Serveur.

Le « Nom du Domaine » avec l’extension « .local » doit être indiqué dans « Paramètres, Réseau et Internet » et dans le « Centre Réseau et Partage »

'Réseau Privé' est indiqué a la place de 'DOMAINE.local'

Le service « NLA » (Connaissance des emplacements réseau) démarre avant que « Active Directory » ou le service « DNS » ne se lancent et il ne trouve pas de contrôleur de domaine sur le réseau.

Il faut ajouter les Services « DNS » et « NTDS » aux dépendances du Service « NlaSvc » pour attendre leur démarrage.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc : DependOnService

Note : Vous pouvez ajouter ces Services (DNS et NTDS) par la commande : AD – Forcer Profil Reseau Domaine

sc config NlaSvc depend=NSI/RpcSs/TcpIp/Dhcp/EventLog/DNS/NTDS


Configuration des Stratégies GPO

Suivez le guide : GPO – Strategies Essentielles et Arborescence Active Directory (Unité d’Organisation)


Résolution des Erreurs sur Windows Serveur 2008 R2
  • Si le Serveur aura le rôle Bureau a Distance TSE RDP, alors :

Démarrer, Outils d’administration, Stratégie de sécurité locale. Ajouter Utilisateurs du Bureau a distance dans Attribution des droits utilisateur, Autoriser l’ouverture par les services Bureau a distance.

TSE2

  • Vérifier dans l’observateur d’événements si les erreurs suivantes se présentent :

1 – Netlogon ID 5781

Lorsque le contrôleur de domaine démarre, le service Accès réseau peut démarrer avant le service DNS. Comme le service Accès réseau doit procéder à des enregistrements dans le serveur DNS et que le service DNS n’est pas disponible, des erreurs peuvent se produire.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon

Double-cliquez sur la valeur DependOnService et ajoutez DNS sur la ligne vide suivante. Cliquez sur OK

ID5781

2 – Volume Shadow Copy ID 8193

(VSS Windows 2008 0x80070005 Accès refusé)

  1. Accédez à HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ VSS> clic droit et choisissez autorisation et de donner des services réseau pleins droits.

ID8193-1 ID8193-2