Active Directory
Dans ce labo, nous allons voir comment configurer un Active Directory.
Qu'est ce que Active Directory https://www.quest.com/solutions/active-directory/what-is-active-directory.aspx [A compléter]
En effet, il va falloir:
-
Ajouter les deux VM Esxi dans le nouveau portGroup EsxStudents
-
Changer la configuration des deux VM ESxi qui ont été configurées précédemment pour les placer dans le VLAN 101
-
Ajouter un nouveau portgroup "ServerStudents" dans les hôtes Esxi avec l'id de VLAN n° 103
-
Modifier leurs vswitch (vswitch0) pour autoriser les trois stratégies de sécurité
Pour commencer ce labo, connectez-vous au datacenter TI avec OpenVPN (vous devez configurer puis activer OpenVPN). Cliquer ici pour en savoir plus.
Ensuite, connectez vous sur l’interface web du vCenter https://vcenter.ephec-ti.lab. Vous utilisez la même combinaison login/mot de passe que celle utilisée pour vous connecter au VPN.
Illustration
Une fois sur vcenter, faites un clique droit sur la machine Esxi et rendez vous dans modifier les paramètres. Ensuite dans "adaptateur réseau", cliquer sur la valeur actuelle puis sur parcourir. Finalement, sélectionner le portgroup "EsxStudents" et cliquer sur OK.
Aide en image
Pour changer le vlan d'une VM Esxi, il faut lancer la console web pour pouvoir modifier les paramètres de l'OS. Pour cela, cliquer sur la VM et puis sur "lancer la console web".
Une fois dans l'Esxi, vous pouvez entrer vos credentials et ensuite appuyer sur la touche F2 pour aller dans le menu des paramètres. Dans ce menu, sélectionner Configure Network Management et ensuite VLAN.
Aide en image
Vous pouvez maintenant indiquer le numéro du VLAN dans lequel cette VM se trouvera (ici 101).
Aide en image
Appuyer ensuite sur la touche Esc pour enregistrer les changements.
Dans la barre de navigation de votre ordinateur, taper l'adresse ip de la machine Esxi à laquelle vous souhaitez vous connecter (Si aucune adresse n'est configurée, référez-vous au tuto précédent). Vous arriverez dans sur une page d'authentification où il faut entrer le nom d'utilisateur et le mot de passe de l'Esxi.
Illustration
Une fois connecté, vous tomberez sur une nouvelle page dont l'interface peut vous être familière (Vue dans le premier chapitre sur la configuration d'Esxi). Ici, cliquer sur "Mise en réseau" puis sur "Ajouter un groupe de ports". Dans la fenêtre qui vient de s'ouvrir, indiquer le nom du nouveaux portGroup et l'id du VLAN associé (ici ServerStudents et 103).
Aide en image
Toujours connecté dans l'Esxi, cliquer sur "Mise en réseau" pour déplier le menu puis cliquer sur Vswitch0. Ensuite, cliquer sur "Modifier les paramètres". Dans le menu des paramètres, il faut se rendre dans l'onglet "Sécurité" pour activer les trois stratégies.
Aide en image
Une fois toutes ces manipulations réalisées, vous êtes près à commencer la configuration de l'Active Directory
L'Active Directory est une base de donnée qui centralise les informations des utilisateurs et des ressources dans un réseau window. Pour créer notre Active Directory nous avons tout d'abord besoin d'installer un serveur windows
Pour commencer, nous allons créer une nouvelle machine virtuelle pour héberger le serveur windows.
Pour cela effectuer un clic droit sur la machine Esxi hôte choisie et sélectionner: "Nouvele machine virtuelle".
Suiver la configuration habituelle:
- Sélectionner le dossier "students" dans "Dc-Stu",
- Sélectionner l'hote dans lequel la machine sera hébergée,
- Sélectionner le "DataStore 5" pour le stockage
- Pour la compatibilité, sélectionner EsXi 7.0 U2 ou ultérieur,
- Sélectionner windows server 2022 en tant que OS invité,
- Pour la configuration du matériel indiquer 2Go de CPU, 2Go de mémoire et 60 Go de disque dur,
- Sélectionner le fichier .ISO 'SERVER_EVAL_x64FRE_en-us.iso' dans le dossier "ISO" depuis la configuration lecteur CD/DVD et cocher "connecté".
Aide en images
Il est possible que au moment où vous lancez la nouvelle machine virtuelle, vous obteniez une erreur parlant de la virtualisation Intel vt-x/ept. Cette erreur vous indiquera alors que la machine n'est pas compatible avec cette technologie. Pour la résoudre rendez-vous dans la partie troubleshooting.
Premièrement nous allons activer les VMWare Tools pour faciliter l'utilisation et l'intégration avec notre Machine virtuelle VMWare tools va vous permettre de d'améliorer les performances de votre machine virtuelle et d'utiliser un grand nombre de fonction dans les produits vmware. pour plus d'infos veuillez vous référer à ce lien
Si vous ne savez pas comment les installer, rendez vous sur cette page du wiki qui explique comment faire.
Pour respecter une bonne nomenclature, nous allons changer le nom du serveur Windows fraichement créé en utilisant cette nommenclature: 'DC' + '-' + numéro de groupe. Par exemple: DC-1.2
Pour changer le nom d'une machine virtuelle, rien de plus simple! Il vous suffit de faire un clique droit sur la machine et puis de cliquer sur "renommer".
Vous pouvez également changer le nom du Windows Server dans l'application "Server Manager". Cliquer sur "Local Server" dans l'espace de gauche et ensuite cliquer sur le nom de ce serveur pour le changer.
Aide en images
Il est necessaire de configurer le bon fuseau horaire afin qu'il n'y est pas de décalage entre le client et le serveur ce qui risque d'intérrompre toutes les connexions à notre serveur.
Pour cela, il faut commencer par indiquer le bon fuseau horaire dans la machine Windows Server. Pour cela, faite un clic droit sur l'horloge de la barre d'état windows en bas à droite de l'écran. Cliquer sur "Adjust date/time" et dans la section "Time zone" indiquer "(UTC+01:00) Brussels, Copenhagen, Madrid, Paris"
Aide en images
Maitenant, il faut configurer l'adressage de note machine virtuelle pour qu'elle puisse communiquer avec les autres vm et avoir accès à internet.
Pour cela, il faut se rendre dans le panneau de configuration windows sur la machine virtuelle. Une fois dans cette fenêtre, cliquer sur "View network status and tasks" dans la section "Network and Internet". Dans la nouvelle page, sélectionner l'interface où il faut changer l'adresse IP. Ici, c'est la Ethernet0. Ensuite, cliquez sur properties et sélectionner "Internet Protocol Version 4" dans la liste des portocoles. Une fois le protocole sélectionné, cliquer sur "properties" et vous pouvez maintenant configurer l'adressage IP ainsi que la default gateway et l'adresse du serveur DNS.
Une fois la configuration IP finie, vous pouvez, si vous le souhaitez, cocher la case "Validate settings upon exit", ce qui va déclencher une analyse windows du réseau pour tester la connectivité.
Dans le cas où vous rencontrez des soucis avec l'adressage statique, vueillez suivre la procédure Adressage statique dans la partie Troobleshooting
Aide en images
Nous allons maintenant configurer les rôles ainsi que les features qui y sont liés.
Pour accéder à la configuration des rôles et des features, rendez-vous dans l'onglet "Manage" qui se trouve en haut à droite de l'écran et cliquer sur "Add Roles and Features". Une fenêtre va alors s'ouvrir avec une section "Before you begin". Appuyer sur next et sélectionner ensuite "Role-based or feature-based installation" et sélectionner ensuite le serveur pour lequel vous voullez installer des nouveau rôles.
Dans la section "roles", sélectionner les rôles que votre serveur doit posséder, dans ce cas-ci:
- Active Directory Domaine Service
- DNS Service
- DHCP Service
- DFS Namespace
- DFS Replication
Attention! Il est important d'installer les features correspondant à chaque rôles sélectionné.
Une fois les rôles désirés sélectionnés, cliquer ensuite sur next pour tous les onglets jusqu'à arriver à l'onglet "Confirmation". Ici, cliquer sur "Install".
Une fois l'installation terminée, cliquer sur "close".
Aide en images
Maintenant que les rôles ont été ajoutés, il faut les configurer:
Configurer Active Directory Domain Controller:
Pour configurer le Domain Controller Active Directory cliquer sur le drapeau en haut à droite de l'écran puis sur le message avec le attention concernant Active Directory.
Sur la première page du popup qui vient de s'ouvrir, sélectionner "Add a new forest" et indiquer le nom pour le nouveau domaine qui va être créé.
Ensuite, après un petit temps de chargement, indiquer sur la nouvelle page le niveau fonctionel de l'AD. Ici nous avons indiquer "Windows Server 2016". Indiquer également un mot de passe pour l' "Active Directory Restore Mode".
Après avoir cliquer sur suivant, vous arriverez sur une page avec un message d'avertissement vous disant qu'une déléguation n'a pas pu être crée car la zone parent n'a pas pu être trouvée. Ici ce n'est pas grave car on crée un nouvel arbre.
Continuer donc pour arriver sur une page ou l'on vous demande d'entrer un nom de domaine NetBIOS. Il est conseillé de laisser celui qui est mis par défaut qui est un dérivé du nom de domaine que vous avez précisé à la première étape.
Ensuite laisser les emplacements par défaut pour les trois dossiers système utilisé par Active Directory.
Après avoir cliqué sur suivant vous tomberez sur une page de résumé des options précédemments choisies. Continuer et attender la fin de la vérification. Il est possible que vous obteniez des warnings, ce qui est généralement pas un problème. Cliquer pour finir sur "Intsall" pour installer le Active Directory Domain Controller. La machine va alors redémarer et tous sera donc installé.
Après le redémarrage, vous pouvez tester (dans l'invite de commande) si tout à été correctement installé avec les commandes dcdiag et dcdiag /test:DNS.
Aide en images
Une Organization Units (OU) est un dossier sur l'active directory qui contiendra vos objets qui peuvent être soit des utilisateurs, soit des groupes.
Tous d'abord, pour gérer les Organization Units il faut se rendre dans la partie "Tools" en haut à droite de l'écran (Voir ScreenShot).
Une fois l'onglet déplié, cliquer sur "Active Directory User and Computers".
Une fenêtre va alors s'ouvrir et depuis celle-ci, on peut gérer différentes choses comme les Organization Units par exemple.
Cliquer sur votre domaine dans l'explorateur à gauche et ensuite créer 3 Organization Units avec comme noms:
- Utilisateurs
- Groupes
- Ordinateurs
Pour les créer il vous suffit d'appuyer sur le bouton "Create a new organizational unit in the current container" qui se situe dans la barre d'action dans las partie suppérieure de la fenêtre.
Aide en images
1. Ajout d'un nouvel utilisateur:
Nous pouvons maintenant ajouter un utilisateur dans l'OU nomée "Utilisateurs". Pour cela cliquer dessus pour rentrer à l'intérieur (Il devrait déjà y avoir d'autre "dossier" comme Users ou builtin par exemple.) puis cliquer sur 'Create a new user in the current container'. Vous devez alors entrer les informations sur ce nouvel utilisateur ainsi qu'un mot de passe.
Aide en images
2. Ajout d'un groupe
Nou allons ensuite créer un groupe dans lequel nous mettrons notre utilisateur fraichement créé. Pour cela, rendez-vous dans l'Organization Unit nommée "Groupes" que vous avez créé au début du point F.
Cliquer sur le bouton "Create a new group in the current container" et une fenêntre s'ouvrira alors pour que vous puissiez introduire le nom du nouveau groupe. Quand cela est fais cliquez alors sur "OK".
Aide en images
3. Ajout de l'utilisateur dans le groupe
Maintenant il vous suffit de faire un clique droit sur l'utilisateur et de sélectionner "Add to group..." pour indiquer le no du groupe dans lequel vous voulez placer l'utilisateur.
Aide en images
1.Configuration IP
Maintenant que notre utilisateur est créé et placé dans un groupe, nous allons le faire correspondre à une machine virtuelle.
Pour cela il faut donc créer une nouvelle VM Windows dans le même hôte que votre Windows Server avec le DC. Dans ce cas-ci nous n'avons que des windows server à notre disposition donc note machine client en sera un aussi.
Une fois la nouvelle machine créée (créer-la de la même manière que le DC voir Configuration Active Directory - Création d'une VM Windows Server), il va falloir se rendre sur la machine et ajouter le serveur DC en temps que serveur DNS.
Pour cela, il faut se rendre dans les paramètres windows et dans la section "Network and Internet" et ensuite dans la zone de gauche cliquer sur Ethernet.
Vous pourrez alors entrer dans la configuration de l'interface ethernet et mettre ça configuration IP en manuel. Comme cela, vous pourrez entrer l'adresse de la machine et la Default Gateway qui correspond au serveur DC.
Vous pouvez égelement configurer l'adressage en effectuant la manoeuvre du point D (D. Configurer l'adressage du Windows Server).
Noublier pas également de changer le fuseau horaire sur cette nouvelle machine pour qu'il corresponde à celui du DC.
Aide en images
2.Connexion à l'AD
Pour vous connecter à l'AD depuis la machine client, aller dans les paramètres et dans la partie "about" cliquer sur "Rename this PC". Ensuite, dans la fenêtre qui vient de s'ouvrir cliquer sur "Change..." et préciser le nom de votre domaine Active Directory après avoir coché l'option "Domain". Vous devrez ensuite entrer le username et le mot de passe de l'utilisateur AD pour se connecter.
Aide en images
Pour finir, vous pouvez vous rendre dans le DC et vérifier que la machine a bien été ajoutée:
Et vous pouvez, comme sur la capture d'écran, mettre la machine dans l'OU "ordinateurs".
- Problème de compatibilité Intel vt-x/ept:
Lors du lancement d'une machine virtuelle qui se trouve elle même dans une machine virtuelle, il se peut que quelques soucis se présentent. Ici un message d'erreur apparaitra pour vous informer que la machine n'est pas compatible avec la technologie de virtualisation "Intel vt-x/ept". Pas de panique!
Pour résoudre ce problème il faut activé une option sur la VM hôte. Pour cela rendez-vous dans les paramètres de cette dernière et dans le premier onglet nommé "Matériel Virtuel", il y'a un champ CPU. Cliquer dessus pour dérouler une vue avec une option à cocher nommée "Exposer l'assistance matérielle à la virtualisation au SE invité". Il faut cocher cette case pour résoudre le problème.
Il est important de préciser que cette case ne peut être cochée si votre VM est en marche. Veillez donc à l'arrêter avant de faire cette manipulation.
Aide en images
- Adressage Statique:
Commencer par ouvrir une invite de commande en mode adminstrateur
Entrez la commande suivante afin de visualiser toutes les interfaces réseau
netsh interface ipv4 show config
Une fois que vous aviez repéré l'interface que vous souhaitez modifié, entrez la commande suivante pour configurer uniquement l'ipv4 et le masque
netsh interface ipv4 set address name="<nom-interface>" static <ipv4> <masque-réseau>
Après avoir changer l'interface, il ne vous reste plus qu'à modifier les paramètre de votre interface. Allez dans les paramètre de votre interface réseau et éditer l'adressage pour ajouter la default gateway et l'ipv4 du serveur dns qui est 10.128.3.1 dans notre cas