Nouveau sujet concernant Active Directory ! (on s’en lassera jamais ). On va parler de contrĂŽleur de domaine en lecture seule (Read Only Domain Controller in english please), plus connu sous l’acronyme RODC !
La particularitĂ© d’un RODC c’est qu’il n’est pas modifiable directement et donc par consĂ©quent, bien plus sĂ©curisĂ©. Il prendra ses modifications grĂące Ă des rĂ©plications entre lui et un (ou plusieurs) contrĂŽleur de domaine standard.
Ce tuto dĂ©taillera l’installation d’un RODC sur le site distant d’une entreprise. A vos maquettes !
Installation d’un contrĂŽleur de domaine en lecture seule distant
Un petit tour du cÎté du cahier des charges avant de se lancer !
Une entreprise possĂšde sa maison mĂšre Ă Paris. Elle a dĂ©cider d’ouvrir un bureau Ă Marseille avec une dizaine d’employĂ©s. Le but c’est que ces 10 employĂ©s soient logĂ©s Ă la mĂȘme enseigne que ceux se trouvant Ă Paris et puissent accĂ©der aux ressources fournies par la maison mĂšre. Une liaison VPN existe dĂ©jĂ entre les 2 sites et ne sera pas dĂ©taillĂ©e dans cet article.
Le problĂšme soulevĂ©, c’est qu’en cas de coupure de la liaison entre les deux sites, les utilisateurs de Marseille ne pourront mĂȘme plus s’authentifier sur le domaine de l’entreprise ! Et l’Ă©quipe informatique ne souhaite pas avoir des flux d’authentification ou de rĂ©solutions de noms qui traversent la liaison VPN en permanence. Il a Ă©tĂ© dĂ©cidĂ© qu’ajouter un second contrĂŽleur de domaine, localisĂ© Ă Marseille, serait une bonne solution. Voici le schĂ©ma rĂ©seau simplifiĂ© de l’infrastructure envisagĂ©e :
Un serveur jouant le rĂŽle de contrĂŽleur de domaine pour le domaine ent.lan doit donc ĂȘtre installĂ© sur le site distant. La particularitĂ© de ce contrĂŽleur de domaine est qu’il y sera impossible d’administrer Active Directory car il sera en lecture seule. C’est ce qu’on appelle un RODC : Read Only Domain Controller.
Il ne servira qu’Ă authentifier les postes et les utilisateurs et appliquera Ă©galement les stratĂ©gies de groupe. Comme la base de donnĂ©es Active Directory ne sera pas modifiable, mĂȘme s’il est compromis, il ne sera pas possible d’en prendre le contrĂŽle en crĂ©ant un nouvel utilisateur administrateur par exemple et ceci n’impactera pas le serveur AD principal de l’entreprise.
Un lien de rĂ©plication sera mis en place entre les deux serveurs, lien qui transitera Ă heures fixes, Ă travers la liaison VPN. Le serveur AD du site local transmettra les modifications de lâActive Directory au serveur RODC du site distant mais Ă©galement les modifications du DNS afin que les utilisateurs du site distant disposent toujours dâun service de rĂ©solution de nom en local pour accĂ©der Ă Internet en cas de coupure de la liaison inter-sites.
Pour des raisons budgĂ©taires (et aussi un peu pour corser les choses…), le serveur RODC du site distant est un Windows Server 2016 « core », câest-Ă -dire quâil ne dispose pas dâune interface graphique. Il sera gĂ©rĂ© directement depuis le serveur AD mais il faut pour cela commencer par le paramĂ©trer Ă minima. Les configurations de base seront effectuĂ©es en ligne de commande avec le langage Powershell.
Je vous laisse installer un Windows Serveur 2016 en version Core et nous pourrons poursuivre…
C’est fait ? OK well on va maintenant le prĂ©parer Ă rentrer dans le domaine !
———————————————-
A la fin de lâinstallation, authentifiez-vous sur le serveur RODC avec le compte administrateur et le mot de passe dĂ©fini pendant l’installation.
Appelez une console Powershell en saisissant simplement « powershell.exe » dans le prompt.
On va commencer par renommer le serveur en « RODC » pour qu’il soit reconnaissable facilement et le rebooter pour appliquer le nouveau nom. La commande est la suivante :
Rename-Computer âNewName " RODC" | shutdown.exe /r /t 0 |
Au redémarrage, se loguer de nouveau en administrateur et rappeler une console Powershell. On va maintenant attribuer une adresse IP à notre serveur RODC.
Lancer la commande « Get-NetIPInterface » pour rĂ©cupĂ©rer le numĂ©ro de lâinterface rĂ©seau Ă configurer.
Ici lâinterface qui nous intĂ©resse est la n°2 dans la colonne « ifIndex », Ethernet0. Lui dĂ©finir une adresse IP dans le rĂ©seau du site distant, un masque et une adresse de passerelle avec la commande suivante :
New-NetIPAddress âInterfaceIndex 2 âIPAddress 10.0.2.2 âPrefixLength 24 âDefaultGateway 10.0.2.1 |
L’adresse IP de la passerelle par dĂ©faut devra ĂȘtre celle de votre routeur/box internet etc…
Ensuite, lui renseigner lâadresse dâun (ou de plusieurs) serveur(s) DNS. Nous allons ici lui donner pour adresses de DNS, l’adresse IP du serveur AD situĂ© sur le site de la maison mĂšre mais Ă©galement sa propre adresse de bouclage :
Set-DnsClientServerAddress âInterfaceIndex 2 âServerAddresses " 10.0.1.2,127.0.0.1" |
Vérifiez la configuration de la carte réseau Ethernet0 avec la commande « ipconfig /all »
Pour terminer, on va ajouter le serveur RODC au domaine ent.lan de l’entreprise. Saisissez la commande suivante :
Add-Computer âDomainName ent.lan âCredential Administrateur@ent.lan |
A la fenĂȘtre d’authentification, saisir le mot de passe du compte Administrateur du domaine.
Redémarrez une fois encore le serveur avec la commande « shutdown /r /t 0 » pour appliquer la modification.
A partir de maintenant, vous n’aurez plus Ă utiliser le serveur RODC directement.
———————————————-
Basculez sur le serveur AD de la maison mĂšre. Nous allons contrĂŽler le RODC depuis le serveur AD.
![]() |
On va vĂ©rifier que le nouveau serveur est bien membre du domaine. Allez sur la console Utilisateurs et ordinateurs Active Directory et vĂ©rifier dans lâOU Computers la prĂ©sence du serveur “RODC”. |
On va maintenant transformer notre tout nouveau serveur en contrÎleur de domaine. Pour cela, commencez par ouvrir le Gestionnaire de serveur disponible dans le menu démarrer (ou exécutez servermanager.exe).
Cliquez sur « Ajouter dâautres serveurs Ă gĂ©rer ». |
![]() |
Sur la gauche de la console, allez dans « Tous les serveurs ». Le serveur RODC pourra ĂȘtre configurĂ© depuis ce point. |
![]() |
![]() |
Effectuez un clic droit sur le serveur RODC et cliquez sur « Ajouter des rÎles et fonctionnalités »
|
Choisissez l’installation basĂ©e sur un rĂŽle ou une fonctionnalitĂ©. |
![]() |
![]() |
Dans le pool des serveurs, sélectionnez le serveur RODC. |
Dans la page de sélection des rÎles, cochez le rÎle « Services AD DS » et le rÎle « Serveur DNS ». |
![]() |
Une fenĂȘtre dâinformation sur les services AD DS va sâafficher avant lâinstallation. Poursuivez. Idem pour le service DNS. |
![]() |
Toujours sur le serveur AD local, ouvrir la console Sites et services Active Directory depuis les outils d’administration ou en exĂ©cutant « dssite.msc ». |
![]() |
![]() |
Faites un clic droit sur Sites et créez un « Nouveau site ». Nommez le site « Site-Distant » ou « Marseille » par exemples et sélectionnez le transport par IP. |
Le nouveau site est créé et un message dâavertissement sâaffiche dĂ©taillant les manipulations Ă faire pour configurer ce nouveau site. La configuration sera faite ultĂ©rieurement. Revenez sur lâinstallation des rĂŽles sur le RODC qui doit maintenant ĂȘtre terminĂ©e. |
![]() |
![]() |
Cliquez sur « Promouvoir ce serveur en contrÎleur de domaine ». |
Laissez les options RODC par défaut. Le groupe de réplication des mot de passe est essentiel. |
![]() |
![]() |
SĂ©lectionnez le contrĂŽleur de domaine depuis lequel rĂ©pliquer les informations autorisĂ©es, ici donc le serveur AD de la maison mĂšre oĂč nous nous trouvons. |
Laissez les emplacements de la base de données, des fichiers de logs et du partage SYSVOL par défaut. |
![]() |
![]() |
Retournez sur la console « Sites et services Active Directory » et dĂ©veloppez le site « Site-Distant ». Le serveur RODC a dĂ» ĂȘtre ajoutĂ© comme membre de ce site. |
Faites un clic droit sur « Subnets » et créer un « Nouveau sous-réseau ». |
![]() |
![]() |
Renseignez lâadresse rĂ©seau du site distant, 10.0.2.0/24 et sĂ©lectionnez le site correspondant. |
Refaites la mĂȘme manipulation pour le rĂ©seau local 10.0.1.0/24 et sĂ©lectionnez le site par dĂ©faut. |
![]() |
Ouvrez les propriétés de cette connexion. Vérifiez que le type de Transport soit bien « IP ». Cliquez sur « Modifier la planification ». |
![]() |
Le serveur RODC ainsi que le lien de réplication inter-sites sont désormais paramétrés.
Si la liaison entre les deux sites est interrompue, les utilisateurs du site distant pourront toujours sâauthentifier sur le domaine, seront toujours soumis aux stratĂ©gies de groupe, et pourront rĂ©soudre les noms de domaine sur internet grĂące au RODC prĂ©sent sur place.
En revanche, il ne pourront pas modifier leur mot de passe et auront le message ci-dessous :
Ce (grand) tutoriel est maintenant terminé ! See U soon !