Tuto 4 - Gestion des rôles et fonctionnalités (AD, DNS, DHCP)

Installation et configuration approfondies d’AD DS, DNS et DHCP (GUI & PowerShell)

Prérequis indispensables

Nom du serveur défini (ex. SRV-AD01) et adresse IP fixe configurée.
Heure/fuseau corrects et synchronisation NTP opérationnelle (indispensable pour Kerberos).
Pare-feu Windows activé mais ouvert pour les rôles que l’on installe (les assistants ajoutent les règles).
Compte Administrateur local avec droits élevés (ou compte admin du domaine si 2e DC).
Plan d’adressage validé : réseau, passerelle, DNS interne, plage(s) DHCP prévues.

I) Installer AD DS (Services de domaine Active Directory) et DNS

AD DS fournit les services d’annuaire (utilisateurs, groupes, ordinateurs, GPO, services). Le rôle DNS est étroitement lié à Active Directory : il permet la résolution de noms dans le domaine et l’enregistrement dynamique des hôtes. Dans un premier contrôleur de domaine, on installe généralement AD DS et DNS sur la même machine.

A. Méthode graphique (Gestionnaire de serveur)

Ouvrez Gestionnaire de serveur → menu Gérer → Ajouter des rôles et fonctionnalités.
Type d’installation : Installation basée sur un rôle ou une fonctionnalité.
Sélection du serveur : sélectionnez votre serveur local SRV-AD01.
Rôles de serveur : cochez Services de domaine Active Directory. Acceptez l’ajout des Outils d’administration AD proposés.
Dans la même page (ou ensuite), cochez Serveur DNS. Acceptez l’ajout des outils de gestion DNS.
Fonctionnalités : laissez par défaut, sauf besoin particulier (ex. .NET Framework déjà requis).
Confirmation : vérifiez la liste puis cliquez sur Installer.
À la fin, ne fermez pas : cliquez sur le lien “Promouvoir ce serveur en contrôleur de domaine”.

Sélection des rôles AD DS et DNS — Assistant “Ajouter des rôles et fonctionnalités” — Sélection d’AD DS et DNS.

B. Promotion du serveur en contrôleur de domaine (nouvelle forêt)

Configuration de déploiement : choisir Ajouter une nouvelle forêt.
Nom du domaine racine : par ex. miniverse.local (choisir un suffixe interne qui ne chevauche pas un domaine public).
Options du contrôleur de domaine : laissez Contrôleur de domaine DNS coché, Catalogue global coché, Niveau fonctionnel au plus haut possible selon vos besoins. Saisissez un Mot de passe du mode de restauration (DSRM).
Vérifications de prérequis : l’assistant signale des avertissements attendus (ex. délégation DNS). Validez.
Le serveur redémarre automatiquement à la fin ; il devient contrôleur de domaine de la nouvelle forêt.

Promotion AD DS - nouvelle forêt — Assistant de promotion — création d’une nouvelle forêt *miniverse.local*.

C. Méthode PowerShell (installation + promotion en forêt)

# 1) Installer AD DS + DNS (+ outils de gestion)
Install-WindowsFeature AD-Domain-Services, DNS -IncludeManagementTools

# 2) Promouvoir en contrôleur de domaine d'une nouvelle forêt
$domainName = "miniverse.local"
$dsrmPwd    = Read-Host "Mot de passe DSRM" -AsSecureString

Install-ADDSForest `
  -DomainName $domainName `
  -DomainNetbiosName "MINIVERSE" `
  -InstallDNS `
  -SafeModeAdministratorPassword $dsrmPwd `
  -ForestMode WinThreshold `
  -DomainMode WinThreshold `
  -NoRebootOnCompletion:$false

Validation AD/DNS après redémarrage

Connexion en Administrateur du domaine : MINIVERSE\Administrateur.
Outils AD : Utilisateurs et ordinateurs Active Directory, Sites et services AD, Domaines et approbations.
DNS : présence de la zone miniverse.local, enregistrements _msdcs, enregistrements pour le DC (A et SRV).

D. Vérifications & diagnostics (GUI & PowerShell)

# Tester la santé AD (résumé)
dcdiag /v

# Vérifier la résolution DNS locale
Resolve-DnsName miniverse.local
Resolve-DnsName SRV-AD01.miniverse.local

# Vérifier la réplication (utile si plusieurs DC plus tard)
repadmin /replsummary

II) DNS : zones, recherches directe/inverse et tests

Le DNS d’entreprise porte la zone du domaine AD (recherche directe) ainsi que des zones de recherche inverse pour résoudre une IP en nom. La mise en place des zones inverses et l’activation de l’enregistrement dynamique facilitent l’administration et les diagnostics.

A. Création d’une zone de recherche inverse (GUI)

Ouvrez DNS (Outils → DNS).
Clic droit Zones de recherche inversée → Nouvelle zone….
Type : Zone principale intégrée à AD (recommandé sur DC).
Étendue de réplication : À tous les serveurs DNS du domaine.
Réseau : indiquez votre réseau (ex. 192.168.10.0/24 → zone 10.168.192.in-addr.arpa).

Création zone inverse DNS — Zone inverse pour le réseau `192.168.10.0/24`.

B. Gestion DNS par PowerShell

# Créer une zone primaire AD intégrée (recherche inverse)
Add-DnsServerPrimaryZone -NetworkId "192.168.10.0/24" -ReplicationScope "Domain"
# Créer un enregistrement A + PTR
Add-DnsServerResourceRecordA -Name "SRV-AD01" -ZoneName "miniverse.local" -IPv4Address "192.168.10.10" -CreatePtr
# Résoudre / tester
Resolve-DnsName SRV-AD01.miniverse.local
Resolve-DnsName 192.168.10.10 -Type PTR

Bonnes pratiques DNS

Le DC pointe en DNS sur lui-même (127.0.0.1 ou IP locale) <et/ou> sur un autre DC si redondance.
Désactivez l’enregistrement dynamique non sécurisé si politique stricte (par défaut AD intégré = sécurisé).
Limiter le transfert de zone (autorisations explicites de serveurs secondaires seulement).

III) Installer et configurer le rôle DHCP

Le serveur DHCP distribue automatiquement des adresses IP et des options (passerelle, DNS, suffixe DNS…) aux postes clients. Dans un domaine AD, il est nécessaire d’autoriser le serveur DHCP dans l’annuaire après l’installation.

A. Installation (GUI)

Gestionnaire de serveur → Gérer → Ajouter des rôles et fonctionnalités.
Rôle : Serveur DHCP (acceptez les outils).
Installez puis, une fois terminé, lancez l’Assistant de post-installation DHCP (bandeau en haut).
Autorisez le serveur DHCP dans Active Directory.

Installation du serveur DHCP — Ajout du rôle DHCP et post-installation (autorisation dans AD).

B. Création d’une étendue IPv4 (GUI)

Ouvrez la console DHCP (Outils → DHCP).
Clic droit sur IPv4 → Nouvelle étendue….
Nom : LAN-Bureau-Paris. Plage : ex. 192.168.10.100 - 192.168.10.200. Masque : /24.
Ajoutez éventuellement des exclusions (ex. .150-.160 pour imprimantes statiques).
Durée de bail : 8 jours (par défaut) ou adapté à votre environnement.
Configurez les options : passerelle (003), DNS (006), suffixe DNS (015 : miniverse.local).
Activez l’étendue.

Création d'une étendue DHCP — Étendue DHCP IPv4 + options serveur (003, 006, 015).

C. Installation & configuration DHCP en PowerShell

# 1) Installation DHCP (+ outils)
Install-WindowsFeature -Name DHCP -IncludeManagementTools

# 2) Autoriser le serveur DHCP dans Active Directory
Add-DhcpServerInDC -DnsName "SRV-AD01.miniverse.local" -IpAddress "192.168.10.10"

# 3) Créer une étendue
Add-DhcpServerv4Scope -Name "LAN-Bureau-Paris" -StartRange 192.168.10.100 -EndRange 192.168.10.200 -SubnetMask 255.255.255.0 -State Active

# 4) Définir les options serveur
Set-DhcpServerv4OptionValue -DnsDomain "miniverse.local" -DnsServer 192.168.10.10 -Router 192.168.10.1

# 5) Exclusions (facultatif)
Add-DhcpServerv4ExclusionRange -ScopeId 192.168.10.0 -StartRange 192.168.10.150 -EndRange 192.168.10.160

# 6) Vérifications
Get-DhcpServerv4Scope
Get-DhcpServerv4OptionValue

Important

Ne laissez jamais deux serveurs DHCP distribuer sur la même plage sans haute disponibilité configurée (load-balancing 50/50 ou hot-standby). Préférez deux étendues séparées ou la fonctionnalité de DHCP Failover.

IV) Validation fonctionnelle complète

A. Côté serveur

# AD opérationnel ?
dcdiag /c /v

# DNS : résolution de base
Resolve-DnsName miniverse.local
Resolve-DnsName SRV-AD01.miniverse.local
Resolve-DnsName 192.168.10.10 -Type PTR

# DHCP : état & baux
Get-DhcpServerv4Scope
Get-DhcpServerv4Lease -ScopeId 192.168.10.0

B. Côté poste client (PC joint au réseau)

Vérifier l’obtention d’une IP dans la plage : ipconfig.
Vérifier DNS/passerelle : ipconfig /all, ping passerelle, ping nom du DC.
Résolution du domaine : nslookup miniverse.local.
Si le poste doit rejoindre le domaine : Système → Modifier les paramètres → Domaine → miniverse.local.

V) Bonnes pratiques & sécurité

Nom & IP : toujours fixer avant la promotion en DC. Ne changez plus après.
DNS : transferts de zone restreints, enregistrement dynamique sécurisé, journalisation des requêtes si besoin.
DHCP : documentez les plages et exclusions, configurez l’Option 015 (suffixe miniverse.local), mettez en place le failover sur 2 serveurs.
Sauvegarde : sauvegardez l’état du système (AD) régulièrement (wbadmin ou solution tierce).
Mises à jour : plan mensuel, redémarrages contrôlés, test sur pré-prod.

# Exemple : activer la journalisation DNS des requêtes (selon version)
# (Via console DNS → Propriétés du serveur → Avancé → Journalisation / Diagnostics)

# Désactiver SMBv1 (hygiène de base)
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol" -NoRestart

VI) Dépannage ciblé

A. AD DS

Promotion échoue : vérifier la résolution DNS (le DC doit se résoudre lui-même), horloge NTP, droits admin, pare-feu.
Authentification lente : problème DNS le plus souvent (clients pointent vers DNS externe au lieu du DNS AD).

B. DNS

Entrées manquantes : forcer l’enregistrement : ipconfig /registerdns puis ipconfig /flushdns.
Résolution inverse absente : créer la zone inverse, re-créer les PTR ou cocher Créer un enregistrement PTR associé.

C. DHCP

Clients ne reçoivent pas d’IP : vérifier autorisation AD, état du service DHCP, VLAN/relay (IP Helper) sur les routeurs.
Conflits d’IP : revoir exclusions, baux statiques, adresses fixes d’imprimantes/caméras hors plage DHCP.

Options du contrôleur de domaine — Options de promotion : niveau fonctionnel, DNS, mot de passe DSRM.

Zone DNS AD intégrée (*miniverse.local*) et sous-dossier *_msdcs*.

Options DHCP serveur : 003 Passerelle, 006 DNS, 015 Suffixe DNS.

Retour au module 3 Aller au module 5

MiniVerseGeek

Tuto 4 — Gestion des rôles et fonctionnalités (AD DS, DNS, DHCP)