Labo 4 Active Directory
Le but de ce labo est de créer un Domain Contrôler (DC) et d'y installer un Active Directory (AD). Nous ferons cette installation sur un Windows server et mettrons en place plusieurs fonctionnalités sur cet AD : DNS, HTTP, ... Nous testerons ensuite si l'AD est fonctionnel en se connectant sur une VM avec un compte utilisateur administrateur stocké dans celui-ci.
Si certains termes vous sont inconnus ou que vous avez besoin d'explications concernant certaines manipulations n'hésitez pas à parcourir les rapports des labos précédents ou la page des synthèses qui regroupe différentes explications.
Les explications sont la plupart du temps accompagnées de captures d'écran explicatives. Elles ont très souvent été dissimulées pour ne pas encombrer le document. Pour les consulter, cliquez sur l'appareil photo (📷).
Sur l'ESX du professeur, il y a toutes les VM contenant les ESX des différents groupes. Ces VM ont un accès au port groups en mode accès. Cela va poser problème car on utilisera deux port groups :
- port group 101 pour le management network
- port Group 103 pour les différentes machines virtuelles sur notre ESX
Il faut donc changer le mode d'accès en mode trunk et configurer le vswitch pour permettre la communication vers et depuis l'extérieur à l'AD et aux différentes machines virtuelles.
- Dans vcenter, allez sur les machines virtuelles hébergent les ESX.
- Cliquez sur "Actions", ensuite "Modifier les paramètres".
- Au niveau de "Adaptateur virtuel", déroulez les choix et cliquez sur "Parcourir".
- Sélectionnez le réseau "EsxStudents". C'est un Port Group déjà configuré en trunk par le prof.
C'est normalement déjà le cas par défaut. Mais si ça ne l'est pas, sur l'ESX :
- Allez dans le menu "Mise en réseau" dans le menu à droite.
- Cliquez sur "Management Network" dans la liste des Port Groups.
- Cliquez sur "Actions", puis "Modifier les paramètres".
- Modifiez l'ID du VLAN et y mettre 101.
3. Créer un Port Group "ServersStudents" sur les hôtes ESX pour accueillir les VM. Il aura comme VLAN ID 103.
- Allez dans le menu "Mise en réseau" dans le menu à droite.
- Soit on supprime le Port Group "VM network" et on recrée un Port Group "ServerStudents". Soit on modifie juste le nom et l'ID du VLAN. Pour la deuxième option, faites comme pour le point 2 et modifier le nom en plus de l'ID du VLAN.
Nous devons dans les vswitch des ESX autoriser les trois stratégies de sécurité :
- Mode Promiscuité
- Transmissons forgées
- Modifications MAC
Activer ces modes permettrons aux deux VM de communiquer ensemble à travers le réseau virtuel.
Pour cela, sur l'ESX :
- Allez dans le menu "Mise en réseau" dans le menu à droite.
- Allez dans l'onglet "Commutateurs virtuels" et sélectionner le vswitch déjà présent de base.
- Cliquez sur "Modifier les paramètres" et cliquez sur "Sécurité" pour dérouler les choix.
- Acceptez les trois (toutes) stratégies. Enregistrez les modifications.
On va installer notre AD sur une machine virtuelle Windows Server 2022. Pour cela :
- Créer une nouvelle machine virtuelle sur notre ESX. Aller dans le menu "Machines virtuelles" et cliquer sur "créer/Enregistrer une machine virtuelle".
- Indiquer comme :
- compatibilité : Machine virtuelle ESXi 7.0 U2
- Famille d'OS invité : Windows
- Version de l'OS : Microsoft Windows Server 2022 (64 bits)
- Au suivant panel, sélectionner le datastore 3 (que nous avons créé dans un précédent labo).
- Sélectionner ensuite le fichier .iso "SERVER_EVAL_x64FRE_en-us.iso" qui se trouve dans le datastore ISO.
- Mettre comme paramètres de matériel virtuel : 2 CPU, 2Go de Mémoire et 60 Go de stockage. Veillez également à mettre la VM dans le réseau correct (Port Group 103).
Après avoir vérifié les paramètres vous pouvez terminer la création. Lancez la VM et fournissez-lui la langue d'installation, le format de temps et de monnaie et la disposition du clavier. Démarrez ensuite l'installation.
- Sélectionnez l'OS Windows server 2022 standard avec "Desktop experience". Desktop experiencee nous permets d'avoir une interface graphique pour configurer notre machine.
- Lisez et acceptez les conditions d'utilisations. Choisissez "Upgrade" et sélectionnez l'emplacement d'installation de l'OS.
- Après avoir attendu le temps d'installation, fournissez un mot de passe pour le compte administrateur de la machine.
ATTENTION: Dans la capture c'est noté "WinClient" mais le nom est "DC-13". Ceci est une faute de notre part.
Une fois l'installation terminée nous devons :
- Changer le nom de la machine
- Modifier la date et l'heure
- Configurer l'adresse IPv4, la passerelle par défaut et le serveur DNS
- Installer VMWare Tools
- Se connecter à la machine.
- Faire un clique-droit sur la barre de tâches et cliquer sur "System".
- Dans "About", cliquer sur "Rename this PC"
- Mettre le nom voulu (rem : Les points ne sont pas autorisés dans les noms de PC).
Cette étape est très importante et peut poser de gros problèmes si pas fait correctement. L'AD utilise un système de communication sécurisée avec Kerberos. Ce système utilise un "Ticket Granting Server" (TGS) qui utilise un timeout pour jeter les demandes trop anciennes (environs 5 minutes). En configurant l'heure et la date de manière différente sur les différentes machines les requêtes seront directement jetées.
- Dans les paramètres Windows, aller dans "Date & time".
- Modifier le fuseau horaire selon notre choix. On devra utiliser ce même fuseau horaire pour les autres machines.
- Dans les paramètres Windows, aller dans "Network and Internet".
- Cliquer sur "Show available Networks".
- Faire un clique-droit sur la connexion Ethernet disponible et cliquer sur "Properties".
- Sélectionner "Internet Protocole Version 4" et cliquer sur "Properties".
- Introduire l'adresse IP en respectant le document d'adressage qui nous a été fourni.
- Mettre comme passerelle par défaut 10.128.3.1.
- Mettre comme premier choix de serveur DNS l'adresse localhost (127.0.0.1). On fait ça car l'AD servira de DNS pour le domaine qu'il gère.
Nous installons VMware Tools pour améliorer les performances de la machine virtuelle.
Sur le panneau de configuration de la VM de l'interface web ESX, se trouve un message nous avertissant que les Tools ne sont pas installés.
- Cliquer sur "Actions" de ce message et cliquer sur "SE invité" et ensuite "Installer VMware Tools".
- Sur la machine Windows server, se rendre dans l'explorateur de fichier, dans "this PC".
- Double-cliquer sur le drive DVD VMware Tools. Ça lancera l'installation.
- Continuer dans l'installation et sélectionner le type d'installation Typique.
- Après avoir attendu la fin de l'installation et un message de configuration, redémarrer la machine.
Après l'installation du serveur Windows, nous devons configurer le contrôleur de domaine.
Pour ce faire, depuis l'application "Server Manager", cliquez sur "Manage" > "Add Roles And Features".
Dans notre cas, sélectionnez la première option car nous voulons un "Domain Controller".
Dans les serveurs rôles, choisissez DNS Server car un DC est toujours un DNS et cliquez sur suivant.
Une fenêtre va s'ouvrir, cochez la case qui inclue les outils de management, ceux-ci nous permettront de plus facilement gérer le serveur DNS. Cliquez sur "Add Features".
Cochez la case "Active Directory Domain Services", c'est celle-ci qui va nous permettre de mettre en place l'Active Directory.
Une fenêtre va s'ouvrir, cochez la case qui inclue les outils de management, celle-ci nous permettra de plus facilement géré le serveur d'Active Directory. Cliquez sur "Add Features".
Cochez la case "DHCP Server", celle-ci va de paire avec le DNS dans la mise en place de notre DC.
Dans "File and Storage Services" > "File and iSCSI Services", cochez "DFS Namespaces" et "DFS Replication".
DFS Namespaces va nous permettre de regrouper des fichiers partager sur plusieurs machines sous le même nom de domaine.
DFS Replication va nous permettre de répliquer les dossiers d'un serveur sur plusieurs serveurs et domaines.
Cliquez sur "Next" et, cette fois-ci, nous allons pouvoir installer tout ce que nous avons coché.
Pour promouvoir le serveur en tant que domain controller, cliquez sur le drapeaux jaunes et sur "Promote server to domain controller".
Nous allons à présent ajouter une forêt en lui donnant le nom de domaine principale "L1-3.lab".
Après avoir cliqué plusieurs fois sur "Next", cliquez sur "Install".
Redémarrez le serveur.
Testez pour vérifier l'installation du contrôleur de domaine. On peut voir que les tests sont passés et que donc, tout est bien configuré.
Gestion de l'AD, ajout des nouvelles OU (utilisateurs, groupes, ordinateurs)
Ajoutez ces trois "Organizational Unit" :
-
Utilisateurs
-
groupes
-
ordinateurs
Pour ce faire, faites un clic droit sur le domaine > New > Organizational Unit.
Création d'un utilisateur dans l'OU, pour ce faire, dans votre domaine, faites un clic droit sur l'organisation utilisateurs > New > User.
Entrez les données de l'utilisateur puis "Next".
Création d'un groupe dans l'OU, pour ce faire, dans votre domaine, faites un clic droit sur l'organisation groupes > New > Group.
Entrez les données du groupes puis "Ok".
Ajout de notre utilisateur dans le groupe.
Pour ce faire rendez-vous dans le groupe utilisateur puis selectionnez l'utilisateur et faite un clic droit > Add to a group.
Sélectionnez le groupe > Ok
Pour connecter un ordinateur à l'Active Directory, allez dans les paramètres, puis dans System et cliquez sur Advanced system settings. Cliquez ensuite sur Change.
Ensuite, indiquez le bon domaine.
Il vous sera demandé de vous connecter:
Après l'avoir fait, un joli petit message de bienvenue apparait suivi d'un message pour vous dire qu'il faut redémarrer l'ordinateur:
Une fois tout ceci fait, vous pouvez vous connecter avec le compte créé dans l'AD:
Un serveur NTP permet de donner une même horloge aux utilisateurs connectés. Nous devons donc connecté notre Active Directory au serveur NTP.
Pour mettre ceci en place, allez dans l'onglet de recherche et rechercher gpmc.msc
Allez ensuite dans l'option Group Policy Management > Forest: l1-3.lab > Domains > l1-3.lab > Domain Controllers > Default Domain Controllers Policy et cliquez sur Edit:
Allez dans Policies > Administrative Templates > System > Windows Time Service > Time Providers.Vous verrez ensuite que rien n'est configuré par défaut:
Cliquez sur une des options et puis dans Edit:
Sélectionnez Enabled et changez la configuration en fonction de vos besoins:
Finalement, vous pouvez voir que tout est bien enabled.
Ceci peut servir pour dire, par exemple, que l'utilisateur doit changer de mot de passe tout les x jours etc...
Pour ce faire, allez dans l'onglet de recherche et rechercher gpmc.msc.
Allez ensuite dans l'option Group Policy Management > Forest: l1-3.lab > Domains > l1-3.lab > Default Domain Policy et faites un clic droit pour sélectionner Edit:
Allez ensuite dans Policies > Windows Settings > Security Settings > Password Policy.
Depuis cet onglet, changez l'option que vous voulez en fonction de vos besoins.
RDP (Remote Desktop Protocol) va vous permettre de vous connectez depuis votre ordinateur (connecté avec un VPN) à l'ordinateur distant.
Quand nous sommes sur le Serveur Manager (sur l'AD), nous pouvons voir que le Remote Desktop est en Disabled. Pour l'activez, cliquez sur Disabled.
Cela vous ouvre une nouvelle fenêtre. Allez dans l'onglet Remote. Vous pouvez voir que de base, il est inscrit Don't allow remote connections to this computer. Cliquez sur Allow remote connections to this computer pour activer RDP.
Par défaut, juste le compte Administrator a la possibilité de se connecter en RDP. Pour autoriser un autre compte, cliquez sur Select Users. Cliquez sur Add.
Entrez le nom de l'utilisateur (vous pouvez appuyez sur Check Names pour vérifier qu'il est bien reconnu dans l'AD. Une fois cela fini, appuyez sur OK.
Nous pouvons voir ici que l'utilisateur est bien ajouté.
Sur votre ordinateur distant, activez votre VPN. Puis, allez dans la barre de recherche Windows (en bas à droite) et tapez RDP. Cela vous ouvre la fenêtre suivante:
Indiquez l'adresse du serveur distant et cliquez sur Connexion. De base, il va essayez de se connecter avec votre compte Microsoft.
Pour changer cela, cliquez sur Autres choix et Utiliser un autre compte. Finalement entrez votre nom et mot de passe.
Il va vous être demander d'accepter le certificat. Cliquez sur Oui.
Finalement, vous pouvez vous connecter à l'ordinateur distant.
A. Ikram, B. Jarod, D. Alexandre et K. Kevin