Cet article explique comment promouvoir ou rétrograder un serveur membre en contrôleur de domaine de façon totalement automatisée. Tous les différents scénarios d'installation sont traités de l'ajout d'un contrôleur de domaine supplémentaire jusqu'à la suppression pure et simple du service d'annuaire !
Nous verrons aussi comment il est possible de combiner les fichiers de réponses et les scripts de manière à simplifier encore plus le déploiement d'Active Directory.
. Déploiement automatisé d'Active Directory
1.1 Intérêt d'une installation sans assistance
L'installation manuelle sur de nombreuses machines est un processus lent et coûteux pour les entreprises dotées d'un parc de machines important (plusieurs centaines, voir plusieurs milliers de postes). Dans ce type de scénario, le déploiement manuel se révèle consommateur de temps; de ressources humaines, et extrêmement onéreux (surtout lorsque l'entreprise est implantée dans de nombreux sites éloignés géographiquement). Pour gagner en productivité, il est préférable d'utiliser un processus d'automatisation de l'installation. |
Ce processus s'effectue via un fichier texte nommé fichier de réponse, qui fournit les paramètres qu'un utilisateur devrait autrement saisir pendant une installation manuelle (création d'une nouvelle forêt ou d'un nouveau domaine, choix du nom DNS, choix du nom NetBIOS, mot de passe pour le mode restauration, etc.). Grâce à ce fichier, aucune intervention de la part de l’utilisateur n'est plus requise pendant le processus d’installation. Néanmoins il faudra tout de même insérer le CD-ROM de Windows Server 2003 avant de lancer l'installation (sinon il vous sera réclamé durant l'installation).
Dans le cadre du déploiement d'Active Directory sur un nombre important de serveurs, l'automatisation de l'installation offre un gain de temps considérable et réduit fortement les barrières de distance. En effet, il est tout à fait possible, dans le cas d'une installation sur un site distant, d'avoir recours à une personne non qualifiée pour insérer le CD-ROM de Windows Server 2003 et démarrer le processus d'installation. Il suffit de créer au préalable un script que l'utilisateur néophyte devra exécuter.
1.2 Syntaxe du fichier de réponse
L'automatisation de l'installation implique la création et l'utilisation d'un fichier de réponse qui fournit les paramètres requis par le programme pendant l'installation. On parle d'installation sans assistance ou bien encore d'installation silencieuse. De nombreux produits Microsoft peuvent être déployés de cette manière. On peut notamment citer ISA Server 2004, Exchange Server 2003, Active Directory ou bien encore Windows (via le fichier winnt.sif) !
Un fichier de réponse peut être crée à l'aide d'un simple éditeur de texte comme "Wordpad" ou bien encore "Bloc Notes". Cependant une syntaxe très spécifique doit être respectée sinon les informations ne seront pas prises en compte ! Bien qu'il n'y ait pas de réel standard à ce niveau, la syntaxe de la plupart des fichiers de réponses des logiciels Microsoft est semblable.
Attention : Il est impossible d'exécuter un fichier de réponse Windows Server 2003 sous Windows 2000 Server en raison d'une nouvelle nomenclature pour certaines options ! Cependant, Windows 2003 est capable d'interpréter et d'exécuter un fichier de réponse crée pour Windows 2000.
Voici la syntaxe du fichier de réponse qui va permettre à un administrateur de le créer ou de le modifier manuellement (les entêtes/sections entre crochets [] contiennent un certain nombres de paramètres auquel il faut attribuer des valeurs) :
# Ceci est un commentaire # Ce fichier de réponse est un exemple standard expliquant la syntaxe d'un fichier de réponse # Les fichiers de réponse pour Active Directory, ISA Server et Windows respectent ce schéma [section1] parametre1=valeur1 parametre2=valeur2 [section2] parametre1=valeur1 parametre2=valeur2 |
Voici un extrait de fichier de réponse permettant de déployer Windows XP automatiquement.
# Ceci est un commentaire # Ce fichier de réponse est un extrait de fichier de réponse Unattend.txt permettant d'automatiser l'installation de Windows XP ;SetupMgrTag [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes" [UserData] ProductID=AAAAA-BBBBB-CCCCC-DDDDD-EEEEE FullName="GOMARD Joachim" OrgName="Labo Microsoft" ComputerName=PC1 [Display] BitsPerPel=16 Xresolution=800 YResolution=600 [Identification] JoinWorkgroup=WORKGROUP |
Voici un exemple d'un fichier de réponse permettant de supprimer le contrôleur de domaine.
1.3 Liste des paramètres
Grâce à la commande dcpromo.exe, on va pouvoir promouvoir ou rétrograder une machine en contrôleur de domaine et installer Active Directory sur un grand nombre de machines. Les paramètres du fichier de réponse prennent le format décrit dans le tableau ci-dessous ( ce tableau récapitule les options DC Promo) :
Valeur | Description, syntaxe, exemple | ||
[DCINSTALL] | Entête qui permet de fixer les paramètres Exemple: [DCInstall] | ||
AdministratorPassword | Spécifie un nouveau mot de passe pour le compte administrateur du domaine. On l'utilise lorsqu'on rétrograde un contrôleur de domaine. Exemple : AdministratorPassword=LaboMiCr0s0ft | ||
AllowAnonymousAccess | Permet aux serveurs pré Windows 2000 d'authentifier des utilisateurs dans le domaine.
Syntaxe: AllowAnonymousAccess = Yes / No | ||
ApplicationPartitionsToReplicate | Cette option permet de sélectionner les applications à répliquer. Le paramètre requiert Windows 2003 Server SP1 (Service Pack 1) et un niveau fonctionnel de forêt Windows 2003 Server. Syntaxe: Tapez les noms de chaque partition d'annuaire. Placez chaque nom entre guillemets et les séparez par un espace. "..." "..." | ||
AutoConfigDNS | Détermine si l'Assistant doit installer et configurer le service DNS pour le nouveau domaine lorsqu'il détecte que mises à jour dynamiques DNS ne sont pas disponibles. Syntaxe : AutoConfigDNS = Yes /No | ||
ChildName | Indique le nom du domaine Enfant.Si le domaine parent est parent.domaine.lan, et que le nom du domaine enfant est enfant.Alors le nom du domaine enfant sera enfant.domaine.lan Dans la zone Domaine enfant tapez le nom du domaine enfant. Exemple: ChildName=enfant | ||
ConfirmGC | Indique si le réplica fait aussi office de serveur de catalogue global. Syntaxe: ConfirmGC=Yes/No | ||
CreateOrJoin | Indique que l'arborescence de domaine créé fait partie d'une nouvelle forêt ou d'une forêt existante. La valeurs CreateOr Join varie en fonction du critère TreeOrChild.
Syntaxe: CreateOrJoin = Create | Join Sur Windows Server 2003 il est conseillé d'utiliser l'option NewDomain à la place de celle-ci | ||
CriticalReplicationOnly | Yes ou No, pour spécifier s'il faut passer les parties non critiques de réplication et permettre à dcpromo de s'achever avant que la duplication ne soit complète. Syntaxe: CriticalReplicationOnly=Yes/No | ||
DatabasePath | DatabasePath donne le chemin du répertoire qui contient la base de donnée Active Directory. Habituellement il s'agit de :%systemroot%\ntds Syntaxe et Exemple: DatabasePath=%systemroot%\ntds | ||
DNSOnNetwork | Cette option permet d'installer ou de configurer le service DNS. On l'utilise lorsqu'aucun client DNS n'est configuré dans une nouvelle forêt. No indique en plus que le client DNS n'est pas configuré mais qu'une configuration automation sera autorisée pour un nouveau domaine.
Syntaxe: DNSOnNetwork=Yes/No | ||
DomainNetbiosName | Assigne un nom netbios au nouveau domaine. Cette valeur est obligatoire et le nom spécifié ne doit pas être déjà utilisé par un ordinateur ou un domaine. nom de domaine Netbios (correspond au 15 premier caractère du nom d'hôte DNS. Exemple : DomainNetbiosName=nom_entreprise | ||
IsLastDCInDomain | Indique que l'ordinateur sur lequel tourne l'assistant active directory est le dernier contrôleur de domaine du domaine. Syntaxe: IsLastDCInDomain=Yes/No | ||
LogPath | LogPath spécifie le chemin du répertoire où sont stockés les fichiers journaux d'Active Directory. En général la valeur à entrée est : %systemroot%\ntds Exemple : LogPath=%systemroot%\ntds | ||
NewDomain | Indique le type du nouveau domaine:
Syntaxe: NewDomain = Tree | Child | Forest | ||
NewDomainDNSName | Utilisé pour spécifié le nom DNS complet (FQDN = nom de domaine DNS pleinement qualifié) pour le nouveau domaine. Par exemple le nom DNS Complet peut être. nomdomaine.monetreprise.lan Exemple : NewDomainDNSName=monentreprise.lan | ||
ParentDomainDNSName | Zone de texte Domaine parent tapez le nom du domaine parent. exemple: nom_de_votre_entreprise.lan Exemple : ParentDomainDNSName=nom_de_votre_entreprise.lan. | ||
Password | Utilisé pour indiquer le mot de passe de l'utilisateur qui va promouvoir le serveur en contrôleur de domaine. Exemple : Password = LaBo-M1Cr0s0fT | ||
RemoveApplicationPartitions | Spécifie s'il faut supprimer des partitions d'annuaire lorsque l on rétrograde un contrôleur de domaine. Yes : Supprime les partitions sur le contrôleur de domaine. Syntaxe: RemoveApplicationPartitions = Yes | No | ||
ReplicaDomainDNSName | Nom du domaine pour lequel le serveur deviendra un contrôleur de domaine supplémentaire. Exemple : ReplicaDomainDNSName = nom_de_votre_entreprise.lan | ||
ReplicaOrMember | Permet de convertir un Windows NT 4 ( BDC) en contrôleur de domaine ou de le rétrograder en tant que serveur membre dans le domaine. Syntaxe: ReplicaOrMember = Replica | Member | ||
ReplicaOrNewDomain | Indique si le DC (contrôleur de domaine) est installé en tant que premier contrôleur de domaine du domain ou en tant que replica d'un domaine existant. Les réponses possibles sont :
Si vous assignez la valeur "Domain", il faut choisir le paramètre adéquat dans la valeur "TreeOrChild". Syntaxe: ReplicaOrNewDomain = Replica | Domain Exemple: ReplicaOrNewDomain = Domain
| ||
ReplicateFromMedia |
Syntaxe: ReplicateFromMedia= Yes | No | ||
ReplicationSourceDC | Indique le nom DNS complet du contrôleur de domaine dont vous répliquer les informations. Exemple : ReplicationSourceDC = monentreprise.lan | ||
ReplicationSourcePath | Lorsque l'installation est de type réplication, on indique le chemin du CD ou du partage réseau. Si l'installation se fait à partir d'un média, il faut indiquer le chemin de la sauvegarde sur le disque . Exemple : ReplicationSourcePath = C:\Sauvegarde | ||
RebootOnSuccess | Cette option permet au serveur une fois le processus d'installation terminé, de redémarrer ou non,. L'option NoAndNoPromptEither empêche le redémarrage et ne propose pas d'invitation à redémarrer. Syntaxe: RebootOnSuccess = Yes | No | NoAndNoPromptEither | ||
SafeModeAdminPassword | Mot de passe du compte administrateur que l'utilisateur utilise lors d'une restauration de la machine. Syntaxe: SafeModeAdminPassword=Password|None Exemple : SafeModeAdminPassword = password | ||
SetForestVersion | Indique le niveau fonctionnel de la nouvelle forêt.
Syntaxe: SetForestVersion = Yes | No | ||
SiteName | Cette valeur spécifie le nom d'un site existant ou l'on place le nouveau contrôleur de domaine. Syntaxe: SiteName = site_name | ||
SYSVOLPath | Indique le chemin du répertoire partagé SYSVOL. Ce répertoire contient les paramètres de stratégie de groupes et les scripts. Son chemin par défaut est : "%systemroot%\sysvol".
| ||
TreeOrChild | Indique que le domaine est la racine d'une nouvelle arborescence ou le domaine enfant d'un domaine existant.
Cette valeur influe sur d'autre valeur, en fonction du paramètre sélectionné, la valeur peut changer. Syntaxe: TreeOrChild = Child | Tree | ||
UserDomain | Nom de domaine DNS auquel l'utilisateur appartient. Exemple : UserDomain=mondomain.lan | ||
UserName | Spécifie le nom d'utilisateur utilisé pour promouvoir un serveur membre en contrôleur de domaine Exemple : Username = administrateur |
2. Exemples de déploiement
2.1 Installation du premier contrôleur de domaine dans une nouvelle forêt
Rappel :
Pour installer une infrastructure Active Directory, il faut implémenter le système DNS. Active Directory suit les standards DNS de dénomination des domaines, des serveurs et des services. Nous allons créer un domaine racine de forêt.( Le premier domaine créé dans Active Directory représente le domaine racine de l'ensemble de la forêt. Le premier domaine est également appelé racine de la forêt.). La nomenclature du nom de domaine doit identifier votre entreprise, les noms de domaines enfants seront dérivés de ce nom.
Pour installer un premier contrôleur de domaine dans une nouvelle forêt, on peut utiliser l'assistant DCPROMO. Les étapes suivantes décrivent les options proposées par l'assistant.
- Dans la console Exécuter , tapez DCPROMO puis validez.
- Dans la page Type de contrôleur de domaine, l’option Contrôleur de domaine pour un nouveau domaine est sélectionnée.
- Dans la page Créer un nouveau domaine, l’option Domaine dans une nouvelle forêt est sélectionnée,
- Dans la zone Nom DNS complet pour le nouveau domaine, tapez le nom_de_votre_entreprise.lan puis Suivant.
- Dans la page Nom de domaine NetBIOS, on spécifie le nom qui va apparaître
- On spécifie un Mot de passe administrateur de restauration des services d’annuaire.
- Validez le résumé afin que le processus d’installation d’Active Directory démarre.
- Une fois l’installation d’Active Directory terminée, on redémarre l'ordinateur.
L'installation automatisée se fait via la configuration d'un fichier texte nommé answer.txt. Nous créons le domaine nommé nom_de_votre_entreprise.lan.
Ouvrez votre bloc note et procéder comme suit :
# Ceci est un commentaire [DCINSTALL] ReplicaOrNewDomain=Domain TreeOrChild=Tree CreateOrJoin=Create NewDomainDNSName= nom_de_votre_entreprise.lan DNSOnNetwork=yes DomainNetbiosName=nom_de_votre_entreprise AutoConfigDNS=yes SiteName= nom_de_votre_site AllowAnonymousAccess=no DatabasePath=%systemroot%\ntds LogPath=%systemroot%\ntds SYSVOLPath=%systemroot%\sysvol SafeModeAdminPassword=password CriticalReplicationOnly=No RebootOnSuccess=Yes |
Attention : La syntaxe du fichier de réponse ne tolère pas les espaces.
2.2 Installation du premier contrôleur de domaine d'une nouvelle arborescence dans une forêt existante
Ce fichier de réponse permet de créer une nouvelle arborescence dans une forêt existante.
[DCINSTALL] ReplicaOrNewDomain=Domain TreeOrChild=Tree UserDomain=nom_de_votre_entreprise.lan UserName=administrateur Password=Lab0-M1cR0s0fT DatabasePath=C:\WINDOWS\NTDS LogPath=C:\WINDOWS\NTDS SYSVOLPath=C:\WINDOWS\SYSVOL SafeModeAdminPassword=P@ssw0rd CriticalReplicationOnly=no NewDomainDNSName= nom_de_votre_domaine.lan DomainNetbiosName=nom_de_votre_domaine AutoConfigDNS=yes AllowAnonymousAccess=no RebootOnSuccess=yes |
2.3 Installation du premier contrôleur de domaine d'un domaine enfant
A présent nous créons le domaine enfant nommé enfant.nom_de_votre_entreprise.lan
[DCINSTALL] ReplicaOrNewDomain=Domain TreeOrChild=Child UserName=administrateur Password=password UserDomain= nom_de_votre_entreprise.lan ParentDomainDNSName=nom_de_votre_entreprise.lan #dans la zone Domaine enfant tapez le nom de votre domaine enfant, dans l'exemple ci-dessous il se nomme enfant ChildName=enfant DomainNetbiosName=enfant DatabasePath=%systemroot%\ntds LogPath=%systemroot%\ntds #emplacement du dossier sysvol SYSVOLPath=%systemroot%\sysvol SafeModeAdminPassword=password RebootOnSuccess=yes CriticalReplicationOnly=no |
2.4 Installation d'un contrôleur de domaine supplémentaire dans un domaine existant
# Permet d'installer un réplica du contrôleur de domaine [DCINSTALL] ReplicaOrNewDomain=Replica DNSOnNetwork=yes AutoConfigDNS=no UserName=Administrateur Password=password UserDomain=nom_de_votre_entreprise.lan ReplicaDomainDNSName=nom_de_votre_entreprise.lan DatabasePath=%systemroot%\NTDS LogPath=%systemroot%\NTDS SysvolPath=%systemroot%\Sysvol AllowAnonymousAccess=no SafeModeAdminPassword=P@ssw0rd CriticalReplicationOnly=No RebootOnSuccess=Yes |
2.5 Lancement de l'installation
Pour lancer le processus d'installation automatisée, il faut indiquer l'emplacement réseau du fichier de réponse dans la boite de dialogue Exécuter : dcpromo /answer:
Avant de lancer l'installation, assurez-vous d'avoir bien insérez le Cd de Windows Server 2003 Service pack 1.
Le nom du fichier de réponse correspond à answer.txt. Exemple : dcpromo /answer:c:\answer.txt
L'installation débute alors, dés lors aucune intervention de la part de l'utilisateur ne sera requise.
Toutefois si vous n'avez pas configurer de plan d'adressage statique, il vous sera demandé en cours d'installation.
Au cours de l'installation, la fenêtre ci-dessous apparaît et montre que la configuration du contrôleur de domaine hébergeant Active Directory débute:
A la fin de l'installation, l'ordinateur redémarre si vous avez bien sélectionné le paramètre RebootOnSuccess=Yes.
Pour des raisons de sécurité DCPROMO efface le mot de passe entré dans le fichier de réponse une fois le processus d'installation terminé.
2.6 Lancement de l'installation à l'aide de script
Dans le cas d'une installation sur un site distant par une personne non qualifiée, il peut être intéressant de créer un script qui exécute la commande de lancement du fichier de réponse. En effet, il sera plus simple de fournir un média avec un exécutable et de signifier à cette personne de lancer le fichier "AddDC.exe ou AddDC.vbs" plutôt que de lui expliquer la manœuvre pour taper la commande dans la console exécuter.
Pour créer ce script, ouvrez le bloc note et tapez les lignes correspondantes à l'extension désirée.( .vbs, .cmd, .bat). Ce script lance la commande DCPROMO /answer:
Script avec une extension .cmd ou .bat
@echo off dcpromo /answer: Enregistrer le fichier avec un nom explicite et l'extension désirée (.bat ou .cmd) |
Script avec une extension .vbs
Dim WshShell,oExec Set WshShell = wscript.createobject("wscript.shell") WshShell.Exec("dcpromo /answer:c:\answer.txt") |
Enregistrer le fichier avec l'extension .vbs .
Pour télécharger le video cliquez sur l 'image (Essai d'ouvrir le vidéo avec "klmcodec150"):
Pour télécharger le video se forme une image cliquez sur l 'image:
Voici le TP de prochaine séance « Configuration et administration des utilisateurs et des groupes » c’est obligatoir
Prochainement le vidéo de configuration de deux routeur cisco ,trois réseaux différents et deux machines ,avec les table de routage et tous les commandes.
Bon courage les futurs Ingénieurs