Nouveau sujet concernant Active Directory ! (on s’en lassera jamais laugh ). On va parler de contrĂŽleur de domaine en lecture seule (Read Only Domain Controller in english please), plus connu sous l’acronyme RODC !

La particularitĂ© d’un RODC c’est qu’il n’est pas modifiable directement et donc par consĂ©quent, bien plus sĂ©curisĂ©. Il prendra ses modifications grĂące Ă  des rĂ©plications entre lui et un (ou plusieurs) contrĂŽleur de domaine standard.

Ce tuto dĂ©taillera l’installation d’un RODC sur le site distant d’une entreprise. A vos maquettes ! gamer


Installation d’un contrĂŽleur de domaine en lecture seule distant

Un petit tour du cÎté du cahier des charges avant de se lancer !

Une entreprise possĂšde sa maison mĂšre Ă  Paris. Elle a dĂ©cider d’ouvrir un bureau Ă  Marseille avec une dizaine d’employĂ©s. Le but c’est que ces 10 employĂ©s soient logĂ©s Ă  la mĂȘme enseigne que ceux se trouvant Ă  Paris et puissent accĂ©der aux ressources fournies par la maison mĂšre. Une liaison VPN existe dĂ©jĂ  entre les 2 sites et ne sera pas dĂ©taillĂ©e dans cet article.

Le problĂšme soulevĂ©, c’est qu’en cas de coupure de la liaison entre les deux sites, les utilisateurs de Marseille ne pourront mĂȘme plus s’authentifier sur le domaine de l’entreprise ! Et l’Ă©quipe informatique ne souhaite pas avoir des flux d’authentification ou de rĂ©solutions de noms qui traversent la liaison VPN en permanence. Il a Ă©tĂ© dĂ©cidĂ© qu’ajouter un second contrĂŽleur de domaine, localisĂ© Ă  Marseille, serait une bonne solution. Voici le schĂ©ma rĂ©seau simplifiĂ© de l’infrastructure envisagĂ©e :

Un serveur jouant le rĂŽle de contrĂŽleur de domaine pour le domaine ent.lan doit donc ĂȘtre installĂ© sur le site distant. La particularitĂ© de ce contrĂŽleur de domaine est qu’il y sera impossible d’administrer Active Directory car il sera en lecture seule. C’est ce qu’on appelle un RODC : Read Only Domain Controller.

Il ne servira qu’Ă  authentifier les postes et les utilisateurs et appliquera Ă©galement les stratĂ©gies de groupe. Comme la base de donnĂ©es Active Directory ne sera pas modifiable, mĂȘme s’il est compromis, il ne sera pas possible d’en prendre le contrĂŽle en crĂ©ant un nouvel utilisateur administrateur par exemple et ceci n’impactera pas le serveur AD principal de l’entreprise.

Un lien de rĂ©plication sera mis en place entre les deux serveurs, lien qui transitera Ă  heures fixes, Ă  travers la liaison VPN. Le serveur AD du site local transmettra les modifications de l’Active Directory au serveur RODC du site distant mais Ă©galement les modifications du DNS afin que les utilisateurs du site distant disposent toujours d’un service de rĂ©solution de nom en local pour accĂ©der Ă  Internet en cas de coupure de la liaison inter-sites.

Pour des raisons budgĂ©taires (et aussi un peu pour corser les choses…), le serveur RODC du site distant est un Windows Server 2016 « core », c’est-Ă -dire qu’il ne dispose pas d’une interface graphique. Il sera gĂ©rĂ© directement depuis le serveur AD mais il faut pour cela commencer par le paramĂ©trer Ă  minima. Les configurations de base seront effectuĂ©es en ligne de commande avec le langage Powershell.

Je vous laisse installer un Windows Serveur 2016 en version Core et nous pourrons poursuivre…

C’est fait ? OK well on va maintenant le prĂ©parer Ă  rentrer dans le domaine !

———————————————-

A la fin de l’installation, authentifiez-vous sur le serveur RODC avec le compte administrateur et le mot de passe dĂ©fini pendant l’installation.

Appelez une console Powershell en saisissant simplement « powershell.exe » dans le prompt.

On va commencer par renommer le serveur en « RODC » pour qu’il soit reconnaissable facilement et le rebooter pour appliquer le nouveau nom. La commande est la suivante :

Rename-Computer –NewName "RODC" | shutdown.exe /r /t 0

Au redémarrage, se loguer de nouveau en administrateur et rappeler une console Powershell. On va maintenant attribuer une adresse IP à notre serveur RODC.

Lancer la commande « Get-NetIPInterface » pour rĂ©cupĂ©rer le numĂ©ro de l’interface rĂ©seau Ă  configurer.

Ici l’interface qui nous intĂ©resse est la n°2 dans la colonne « ifIndex », Ethernet0. Lui dĂ©finir une adresse IP dans le rĂ©seau du site distant, un masque et une adresse de passerelle avec la commande suivante :

New-NetIPAddress –InterfaceIndex 2 –IPAddress 10.0.2.2 –PrefixLength 24 –DefaultGateway 10.0.2.1

L’adresse IP de la passerelle par dĂ©faut devra ĂȘtre celle de votre routeur/box internet etc…

Ensuite, lui renseigner l’adresse d’un (ou de plusieurs) serveur(s) DNS. Nous allons ici lui donner pour adresses de DNS, l’adresse IP du serveur AD situĂ© sur le site de la maison mĂšre mais Ă©galement sa propre adresse de bouclage :

Set-DnsClientServerAddress –InterfaceIndex 2 –ServerAddresses "10.0.1.2,127.0.0.1"

Vérifiez la configuration de la carte réseau Ethernet0 avec la commande « ipconfig /all »

Pour terminer, on va ajouter le serveur RODC au domaine ent.lan de l’entreprise. Saisissez la commande suivante :

Add-Computer –DomainName ent.lan –Credential Administrateur@ent.lan

A la fenĂȘtre d’authentification, saisir le mot de passe du compte Administrateur du domaine.

Redémarrez une fois encore le serveur avec la commande « shutdown /r /t 0 » pour appliquer la modification.

A partir de maintenant, vous n’aurez plus Ă  utiliser le serveur RODC directement.

———————————————-

Basculez sur le serveur AD de la maison mĂšre. Nous allons contrĂŽler le RODC depuis le serveur AD.

On va vérifier que le nouveau serveur est bien membre du domaine.

Allez sur la console Utilisateurs et ordinateurs Active Directory et vĂ©rifier dans l’OU Computers la prĂ©sence du serveur “RODC”.

On va maintenant transformer notre tout nouveau serveur en contrÎleur de domaine. Pour cela, commencez par ouvrir le Gestionnaire de serveur disponible dans le menu démarrer (ou exécutez servermanager.exe).

Cliquez sur « Ajouter d’autres serveurs Ă  gĂ©rer ».

Dans l’onglet Active Directory, recherchez le serveur RODC et sĂ©lectionnez le dans la liste en dessous en cliquant sur la flĂšche pour qu’il apparaisse sur la droite. Une fois le serveur sĂ©lectionnĂ©, cliquez sur OK.

Sur la gauche de la console, allez dans « Tous les serveurs ». Le serveur RODC pourra ĂȘtre configurĂ© depuis ce point.

Effectuez un clic droit sur le serveur RODC et cliquez sur « Ajouter des rÎles et fonctionnalités »

Choisissez l’installation basĂ©e sur un rĂŽle ou une fonctionnalitĂ©.

Dans le pool des serveurs, sélectionnez le serveur RODC.

Dans la page de sélection des rÎles, cochez le rÎle « Services AD DS » et le rÎle « Serveur DNS ».

Pour chacun des rĂŽles cochĂ©s, une fenĂȘtre des fonctionnalitĂ©s spĂ©cifiques requises pour le service va apparaĂźtre. Cliquez sur « Ajouter des fonctionnalitĂ©s ».

Ne rien modifier dans la partie suivante des fonctionnalitĂ©s vues qu’elles ont dĂ©jĂ  Ă©tĂ© sĂ©lectionnĂ©es automatiquement.

Une fenĂȘtre d’information sur les services AD DS va s’afficher avant l’installation. Poursuivez.

Idem pour le service DNS.

VĂ©rifiez les sĂ©lections d’installation et cliquez sur Installer.

Pendant la phase d’installation, nous allons laisser de cĂŽtĂ© cette fenĂȘtre (ne la fermez pas !) et crĂ©er un second site pour notre AD.

Toujours sur le serveur AD local, ouvrir la console Sites et services Active Directory depuis les outils d’administration ou en exĂ©cutant « dssite.msc ».

Faites un clic droit sur Sites et créez un « Nouveau site ». Nommez le site « Site-Distant » ou « Marseille » par exemples et sélectionnez le transport par IP.

Le nouveau site est crĂ©Ă© et un message d’avertissement s’affiche dĂ©taillant les manipulations Ă  faire pour configurer ce nouveau site.

La configuration sera faite ultĂ©rieurement. Revenez sur l’installation des rĂŽles sur le RODC qui doit maintenant ĂȘtre terminĂ©e.

Cliquez sur « Promouvoir ce serveur en contrÎleur de domaine ».

La forĂȘt ainsi que le domaine existent dĂ©jĂ . Cochez « Ajouter un contrĂŽleur de domaine Ă  un domaine existant ».

Renseignez le nom du domaine ent.lan et cliquez sur « Modifier » pour fournir les informations d’identification du compte administrateur du domaine.

Dans les options de contrÎleur de domaine, cochez « Catalogue global (GC) » et « ContrÎleur de domaine en lecture seule (RODC) ».

SĂ©lectionnez le site « Site-distant » (ou le nom que vous avez choisi prĂ©cĂ©demment) et dĂ©finissez un mot de passe pour la restauration des services d’annuaires.

Laissez les options RODC par défaut. Le groupe de réplication des mot de passe est essentiel.

SĂ©lectionnez le contrĂŽleur de domaine depuis lequel rĂ©pliquer les informations autorisĂ©es, ici donc le serveur AD de la maison mĂšre oĂč nous nous trouvons.

Laissez les emplacements de la base de données, des fichiers de logs et du partage SYSVOL par défaut.

Une sĂ©rie de tests va ensuite ĂȘtre effectuĂ©e afin de vĂ©rifier que l’installation est possible. Lorsque ces tests sont validĂ©s, cliquez sur Installer. Le serveur RODC distant va redĂ©marrer automatiquement.

Allez dans la console « Utilisateurs et Ordinateurs Active Directory », cette fois si dans l’OU « Domain Controllers ».

Le serveur RODC a dĂ» ĂȘtre automatiquement dĂ©placĂ© dans cette UnitĂ© d’Organisation une fois le serveur prĂȘt.

Retournez sur la console « Sites et services Active Directory » et dĂ©veloppez le site « Site-Distant ». Le serveur RODC a dĂ» ĂȘtre ajoutĂ© comme membre de ce site.

Faites un clic droit sur « Subnets » et créer un « Nouveau sous-réseau ».

Renseignez l’adresse rĂ©seau du site distant, 10.0.2.0/24 et sĂ©lectionnez le site correspondant.

Refaites la mĂȘme manipulation pour le rĂ©seau local 10.0.1.0/24 et sĂ©lectionnez le site par dĂ©faut.

Développez le serveur RODC et cliquer sur « NTDS Settings ».

Un lien de rĂ©plication du serveur AD a Ă©tĂ© automatiquement ajoutĂ© pour le RODC. Si besoin d’appliquer un changement immĂ©diat, faites un clic droit sur « RODC Connection » et cliquez sur « RĂ©pliquer maintenant ».

Ouvrez les propriétés de cette connexion. Vérifiez que le type de Transport soit bien « IP ». Cliquez sur « Modifier la planification ».

Actuellement, la rĂ©plication s’effectue 1 fois toutes les 2 heures tous les jours de 21 heures Ă  6 heures.

Cette planification ne perturbera pas le trafic pendant les heures de bureau, elle peut donc ĂȘtre laisser comme telle.

Le serveur RODC ainsi que le lien de réplication inter-sites sont désormais paramétrés.

Si la liaison entre les deux sites est interrompue, les utilisateurs du site distant pourront toujours s’authentifier sur le domaine, seront toujours soumis aux stratĂ©gies de groupe, et pourront rĂ©soudre les noms de domaine sur internet grĂące au RODC prĂ©sent sur place.

En revanche, il ne pourront pas modifier leur mot de passe et auront le message ci-dessous :

 

Ce (grand) tutoriel est maintenant terminé ! See U soon ! good


[Tuto] Installation d’un RODC sur un site distant

Articles pouvant vous intéresser