Qu'est-ce qu'un contrôleur de domaine : histoire et évolution

Les administrateurs informatiques travaillent avec et autour de Active Directory depuis l'introduction de la technologie dans Windows 2000 Server. Windows 2000 Server a été lancé le 17 février 2000, mais de nombreux administrateurs ont commencé à travailler avec Active Directory fin 1999, lorsqu'il a été publié pour la fabrication (RTM) le 15 décembre 1999.

Dans cette partie de notre tutoriel nous parlerons du contrôleur de domaine.

Qu'est-ce qu'un contrôleur de domaine ?

Le contrôleur de domaine est l'épine dorsale de Active Directory. Sans contrôleur de domaine, vous ne pouvez pas avoir de répertoire !

Vous pouvez utiliser jusqu'à 1 200 contrôleurs de domaine dans un seul domaine. Mais, ne jugez pas l'environnement d'un autre administrateur par sa taille ou son envergure ! Examinons l'évolution du contrôleur de domaine :

• Windows NT 3.1 a introduit le domaine original de Microsoft

Windows NT 3.1 (par la suite 3.5 puis 3.51) ne doit pas être confondu avec Windows 3.1 qui était un système d'exploitation client 16 bits. La fonctionnalité de domaine incluse dans Windows NT n'était pas un modèle multi-maître comme AD DS. Ainsi, il y avait un contrôleur de domaine principal (PDC) et des contrôleurs de domaine secondaires (BDCs). Toutes les modifications étaient gérées par le PDC. Un BDC pouvait être promu en PDC dans une situation de récupération après sinistre. Aujourd'hui, nous avons le rôle FSMO d'Émulateur PDC qui est directement lié au PDC original.

• Windows 2000 Server a introduit Active Directory

Avec la sortie de Windows 2000 Server, Microsoft a revu une grande partie du domaine traditionnel et a commercialisé le service sous le nom d'Active Directory. Une caractéristique clé d'Active Directory était le modèle multi-maître qui permettait à la plupart des fonctionnalités d'Active Directory, y compris les modifications, de se produire sur n'importe quel DC dans le domaine.

• Windows Server 2003 a introduit de nouvelles fonctionnalités

Avec Windows Server 2003, Active Directory a été mis à jour avec certaines améliorations administratives (telles que la sélection multiple d'objets dans ADUC), ajoutant la capacité de créer des approbations de forêt, et ajoutant la fonctionnalité de mise en cache des appartenances aux groupes universels. D'autres fonctionnalités ont également été ajoutées ou développées, en particulier autour de l'administration en ligne de commande.

• Windows Server 2003 R2 a introduit AD FS et le mode d'application Active Directory (ADAM)

AD FS et ADAM étaient de grandes améliorations, surtout en les regardant aujourd'hui en 2015. Cependant, à l'époque, ils n'étaient pas beaucoup utilisés. ADAM est devenu plus tard AD LDS tandis que AD FS a été mis à jour en cours de route pour l'intégration au cloud.

• Windows Server 2008 a introduit des contrôleurs de domaine en lecture seule (RODCs) et des stratégies de mot de passe à granularité fine

Avec Windows Server 2008, les RODC sont devenus une option permettant aux administrateurs de déployer des DC dans des placards informatiques non sécurisés dans les succursales, entre autres utilisations. De plus, des politiques de password policies ont été introduites, bien que présentant certains défis administratifs tels que l'absence d'une interface graphique pour gérer les politiques. Windows Server 2008 R2 a introduit la corbeille et le module PowerShell. Windows Server 2008 R2 a continué à peaufiner certaines des fonctionnalités introduites dans Windows Server 2008 et a offert la Corbeille et un module PowerShell qui était essentiel pour que les administrateurs puissent gérer efficacement AD DS depuis PowerShell.

• Windows Server 2012 a introduit une gestion simplifiée et un meilleur support de la virtualisation

Les outils tant attendus de l'interface graphique utilisateur pour gérer la Corbeille et les stratégies de mot de passe à granularité fine ont été introduits. De plus, la virtualisation a été améliorée et le support pour la virtualisation des DC est devenu courant. Consultez https://technet.microsoft.com/en-us/library/hh831477.aspx pour un guide complet sur les changements.

• Windows Server 2012 R2 s'est concentré sur l'amélioration de la sécurité

Les nouvelles fonctionnalités incluent l'authentification à multiples facteurs, la connexion unique à partir des appareils connectés et le contrôle d'accès à multiples facteurs. Consultez https://technet.microsoft.com/en-us/library/dn268294.aspx pour un guide complet sur les changements.

Vous trouverez plus d'informations sur les bases de Active Directory dans notre AD tutorial for beginners.

FAQ

Qu'est-ce qu'un contrôleur de domaine ?

Un contrôleur de domaine est un serveur Windows qui gère l'authentification et l'autorisation des utilisateurs au sein d'un réseau de domaine Windows. Il stocke les informations des comptes utilisateurs, applique les politiques de sécurité et authentifie les utilisateurs lorsqu'ils se connectent à des ordinateurs joints au domaine. Les contrôleurs de domaine exécutent Active Directory Domain Services, qui maintient une base de données centralisée des objets réseau incluant les utilisateurs, les ordinateurs, les groupes et les unités organisationnelles. Lorsqu'une personne se connecte à un ordinateur du domaine, le contrôleur de domaine vérifie ses identifiants et détermine à quelles ressources elle peut accéder en fonction de son identité et de son appartenance à des groupes. Cette approche centralisée de la gestion des identités permet d'appliquer des politiques de sécurité cohérentes sur l'ensemble du réseau et constitue la base pour les contrôles d'accès de least privilege access. La Data security qui commence par l'identité repose sur des contrôleurs de domaine correctement configurés pour faire respecter les politiques d'accès et monitor user activity.

Comment faire de votre serveur 2019 un contrôleur de domaine ?

La promotion d'un serveur Windows Server 2019 en tant que contrôleur de domaine nécessite l'installation du rôle Services de domaine Active Directory et l'exécution de l'assistant de promotion de contrôleur de domaine. Tout d'abord, assurez-vous que votre serveur répond aux exigences, y compris une adresse IP statique, une configuration DNS appropriée et un espace disque suffisant. Installez le rôle AD DS à l'aide du Gestionnaire de serveur ou de PowerShell :

      Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
      

Après l'installation, exécutez dcpromo via la zone de notification du Gestionnaire de serveur ou utilisez PowerShell :

      # For a new forest
Install-ADDSForest

# For an existing domain
Install-ADDSDomainController
      

L'assistant vous guide à travers la configuration du nom de domaine, du niveau fonctionnel de la forêt, des options DNS et du mot de passe du mode de restauration des services d'annuaire. Après la promotion, vérifiez que le contrôleur de domaine fonctionne correctement en consultant les journaux de l'Observateur d'événements et en testant l'authentification. Planifiez toujours soigneusement la structure de votre Active Directory avant la promotion, car les modifications deviennent plus complexes une fois le contrôleur de domaine opérationnel.

Combien de contrôleurs de domaine ai-je besoin pour un petit bureau ?

Les petits bureaux ont généralement besoin d'au moins deux contrôleurs de domaine pour la redondance et la tolérance aux pannes, même avec aussi peu que 85 utilisateurs répartis sur plusieurs sites. La règle générale est un contrôleur de domaine par site plus un supplémentaire pour la sauvegarde, mais cela dépend de vos exigences spécifiques. Pour les organisations avec 85 utilisateurs et 4 bureaux, envisagez de placer un contrôleur de domaine sur votre site principal et des contrôleurs de domaine supplémentaires sur les sites distants avec des connexions WAN lentes ou de nombreux utilisateurs. Une topologie en étoile avec deux contrôleurs de domaine au bureau principal et des contrôleurs de domaine en lecture seule (RODC) sur les petits sites distants offre souvent le meilleur équilibre entre performance et sécurité. N'oubliez pas que les contrôleurs de domaine gèrent les demandes d'authentification, donc les utilisateurs subissent des retards de connexion lorsqu'ils se connectent à des contrôleurs de domaine distants via des liens réseau lents. Prévoyez la croissance et considérez que l'emplacement des contrôleurs de domaine a un impact direct sur l'expérience utilisateur et la sécurité du réseau.

Comment rétrograder un contrôleur de domaine ?

La rétrogradation d'un contrôleur de domaine nécessite une planification minutieuse pour éviter de perturber les services d'authentification et de transférer tous les rôles FSMO que le serveur détient. Tout d'abord, déterminez si le contrôleur de domaine détient des rôles FSMO :

      netdom query fsmo
      

Transférez-les vers un autre contrôleur de domaine si nécessaire. Assurez-vous d'avoir au moins un autre contrôleur de domaine fonctionnel dans le domaine avant de continuer. Utilisez l'assistant Suppression de rôles et de fonctionnalités du Gestionnaire de serveur ou PowerShell :

      Uninstall-ADDSDomainController
      

Le processus supprime les données Active Directory, rétrograde le serveur au statut de serveur membre et met à jour les enregistrements DNS. Lors de la rétrogradation, spécifiez un mot de passe d'administrateur local pour l'état post-rétrogradation du serveur. Vérifiez que la rétrogradation s'est terminée avec succès en vous assurant que le serveur n'apparaît plus dans Active Directory Sites and Services et que les contrôleurs de domaine restants peuvent authentifier les utilisateurs correctement. Planifiez ce processus pendant les fenêtres de maintenance car il affecte temporairement la réplication.

Que fait un contrôleur de domaine ?

Un contrôleur de domaine fait office d'autorité centrale pour l'authentification, l'autorisation et les services d'annuaire dans un environnement de domaine Windows. Il authentifie les identifiants des utilisateurs lorsque les gens se connectent à des ordinateurs joints au domaine, détermine à quelles ressources les utilisateurs peuvent accéder en fonction de leur identité et de leur appartenance à des groupes, et applique les politiques de sécurité à travers le réseau. Les contrôleurs de domaine répliquent également les données Active Directory avec d'autres contrôleurs de domaine pour garantir la cohérence et la disponibilité, gèrent les services DNS pour la résolution des noms de domaine et gèrent la distribution de la stratégie de groupe pour assurer une configuration cohérente sur tous les ordinateurs du domaine. Au-delà de l'authentification de base, les contrôleurs de domaine fournissent des journaux d'audit des activités des utilisateurs, prennent en charge la fonctionnalité de connexion unique et permettent la gestion centralisée des comptes d'utilisateurs et des objets informatiques. Cette gestion centralisée de l'Identity Management crée la fondation pour la mise en œuvre de contrôles d'accès à privilèges minimaux et la surveillance du comportement des utilisateurs pour détecter les menaces de sécurité potentielles avant qu'elles ne deviennent des violations.