Configuration d’un Controleur de domaine Windows Serveur

Configuration du Serveur post-installation AD

L’active Directory est désormais installé sur votre serveur, il convient de configurer le contrôleur de domaine de façon optimale.

Configuration et Optimisation DNS

Nous nous apercevons que l’assistant AD a préconfiguré le DNS, mais vraiment pas jusqu’au bout ! Première chose à faire, il convient d’aller dans les propriétés de votre carte réseau pour changer le serveur DNS primaire de 127.0.0.1 par l’adresse IP de votre serveur DNS, ici dans notre cas: 192.168.1.1

Important : vérifier que IPv6 est bien décoché ! (Sinon le décocher et Redémarrer)

Puis : Cliquer Avancé…, DNS et entrer le nom complet du domaine dans Suffixe DNS pour cette connexion.

DNS Suffixe

Il faut ensuite créer une zone inversée (clic-droit sur zone de recherche inversée => nouvelle zone), en zone principale et intégrée à Active Directory qui se répliquera vers tous les serveurs du domaine.

servad2

Une fois la zone inversée crée, il convient d’ajouter le pointeur de votre serveur (PTR) dans cette zone. (Clic droit, Nouveau pointeur PTR)

Vérification de la configuration DNS des zones directes et inversée : nslookup

DNS0.4

Nous allons maintenant optimiser le serveur DNS, pour cela clic-droit sur votre serveur puis propriétés.

Ajouter ici les serveurs DNS de votre provider internet ou ceux de GOOGLE. Les redirecteurs servent à envoyer les requêtes non résolues vers d’autres serveurs DNS afin de les résoudre. Typiquement, si vous tapez www.google.fr, votre serveur DNS ne connait pas cette zone, et enverra donc cette requête aux DNS de votre provider qui lui, les connaitra !

Cochez le nettoyage automatique et paramétrez-le sur 7 jours. Votre DNS sera ainsi nettoyé des enregistrements obsolètes (important car nous allons configurer le DHCP de telle façon que cette option est nécessaire). Décochez également le Round Robin.

servad5

Clic droit sur le serveur DNS. Puis définir pour toutes les zones un vieillissement de 7 jours :

DNS2.1

DNS2.2

DNS2.3

Allez ensuite dans les propriétés de vos zones de recherche directes et inversée. Dans l’onglet Général, activez un vieillissement de 7 jours

DNS3

DNS4


Installation DHCP, voir :

Installation du Role Serveur DHCP sur Windows Serveur 2008 R2

Installation du Role Serveur DHCP sur Windows Serveur 2016 ou 2012 R2


Optimisation de la configuration

Serveur de Temps NTP

Il est très IMPORTANT d’avoir un serveur de temps fonctionnel dans son Active Directory sous peine d’avoir des dysfonctionnements importants.

Sur le contrôleur de domaine PDC, il suffit de modifier certaines clés dans la base de registre :

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type passera de NT5DS à NTP

NTP1

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags passera de 10 à 5 en décimal

NTP2

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer sera créée au besoin et contiendra le nom du serveur NTP utilisé pour la synchro, ici ntp.univ-lyon1.fr ou ntp.ciril.fr

NTP3

Il faut ensuite redémarrer le serveur de temps en tapant successivement net stop w32time puis net start w32time. Taper ensuite w32tm /resync /rediscover pour forcer la synchronisation..

La commande w32tm /monitor permet de superviser si la synchronisation est effective.


Activation du Bureau a Distance

pour se connecter en bureau à distance sur votre serveur afin de l’administrer. Une règle pour le firewall sera automatiquement crée, et le compte Administrateur pourra automatiquement se connecter.

Sur Windows Serveur 2008 R2

Sur Windows Serveur 2016 ou 2012 R2

RDP2016

Désactiver de la sécurité renforcée d’Internet Explorer

gpow0086

Si ce Serveur aura le rôle Bureau a Distance TSE RDP, alors :

Démarrer, Outils d’administration, Stratégie de sécurité locale. Ajouter Utilisateurs du Bureau a distance dans Attribution des droits utilisateur, Autoriser l’ouverture par les services Bureau a distance.

TSE2


RESOLUTION DES ERREURS sur Windows Serveur 2008 R2

Vérifier dans l’observateur d’événements si les erreurs suivantes se présentent :

1 – Netlogon ID 5781

Lorsque le contrôleur de domaine démarre, le service Accès réseau peut démarrer avant le service DNS. Comme le service Accès réseau doit procéder à des enregistrements dans le serveur DNS et que le service DNS n’est pas disponible, des erreurs peuvent se produire.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon

Double-cliquez sur la valeur DependOnService et ajoutez DNS sur la ligne vide suivante. Cliquez sur OK

ID5781

2 – Volume Shadow Copy ID 8193

(VSS Windows 2008 0x80070005 Accès refusé)

  1. Accédez à HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ VSS> clic droit et choisissez autorisation et de donner des services réseau pleins droits.

ID8193-1 ID8193-2


Configuration des Stratégies GPO

Suivez le guide : Strategies GPO Essentielles et Arborescence Active Directory (Unité d’Organisation)