PROCEDURE ACTIVE

Mise en place d’un

contrôleur de
domaine sous
Windows server 2019

DIRECTORY
Installation et Configuration AD DS, DNS, DHCP pour la société Myspeed-web.
 BTS Services Informatiques aux Organisations Option
Solutions d’Infrastructure, Systèmes et Réseaux

Epreuve E4 : Conception et Maintenance de solutions

Informatiques.

Documentation technique
Projet 1 : Mise en place d’un contrôleur de domaine sous Windows Server
2019 avec les services AD-DS, DHCP, DNS et mise en place de GPO.

Session 2022

p. 1
Table des matières
Présentation des services Active Directory ................................................................................................... 1
Installation AD, DNS, DHCP, et GPO .............................................................................................................. 2
Configuration AD, DNS, DHCP, et GPO .......................................................................................................... 3
Joindre d’un client au domaine myspeed-web.com ..................................................................................... 4
Création des dossiers partagés et des lecteurs mappé (GPO) ...................................................................... 5
Installation et configuration des serveurs Firewall (pfsense).......................................................................6
Conclusion..................................................................................................................................................7

p. 2
 Table des figures
Figure 1 : Le gestionnaire de serveur....................................................................................................... 6
Figure 2 : Sélection des rôles de serveurs ............................................................................................... 6
Figure 3 : Configuration de déploiement................................................................................................. 7
Figure 4 : Choix du nom de domaine NetBIOS ........................................................................................ 7
Figure 5 : Rapport des options installées................................................................................................. 8
Figure 6 : Paramètres IP du contrôleur de domaine ............................................................................... 9
Figure 7 : Vérification des paramètres IP du serveur DNS ...................................................................... 9
Figure 8 : Identification de la zone de recherche inversée.................................................................... 10
Figure 9 : Finalisation de la configuration du serveur DHCP ................................................................. 11
Figure 10 : DHCP .................................................................................................................................... 11
Figure 11 : Création des étendues DHCP pour chacun service… ........................................................... 12
Figure 12 : Définition de la plage d'adresses pour le service administratif............................................ 12
Figure 13 : Définition de la durée des baux d'étendue ......................................................................... 12
Figure 14 : Ajout de l'adresse du routeur .............................................................................................. 13
Figure 15 : Liaison du DHCP et du DNS via le domaine ......................................................................... 13
Figure 16 : Vérification de la création des étendues .............................................................................. 13
Figure 17 : Utilitaire de création d'une unité d'organisation ................................................................ 14
Figure 18 : Résultat de la création des quatre unités d'organisation ..................................................... 15
Figure 19 : Résultat d’un ajout d'un groupe au sein d'une unité d'organisation .................................. 15
Figure 20 : Utilisateurs et ordinateurs Active Directory ......................................................................... 16
Figure 21 : Création d'un nouvel utilisateur ........................................................................................... 16
Figure 22 : Ajout d'un utilisateur administrateur du domaine ............................................................... 17
Figure 23 : Propriétés d'identification de la machine.............................................................................17
Figure 24 : Création des futurs dossiers partagés .................................................................................. 18
Figure 25 : Création et modifications de propriétés d'un lecteur mappé ............................................. 18
Figure 26 : Propriétés de base pour chaque lecteur mappé ................................................................. 19
Figure 27 : Résultat de la création des lecteurs mappés ........................................................................ 19
Figure 28 : Accès aux ressources partagées ...........................................................................................20
Figure 29 : Activation du service "Bureau à distance"........................................................................... 20
Figure 30 : Champ de saisir du nom de la machine à prendre en main ................................................ 21
Figure 31 : Saisie des paramètres DNS ...................................................................................................21
Figure 32 : Configuration sécurité pfsense.............................................................................................22
Figure 32 : Cluster un seconde serveur secours ....................................................................................22
Figure 33 : Active le backup du serveur secours....................................................................................23

p. 3
 Nature de l’activité

Contexte : Mise en place d’un serveur de domaine sous Windows Server 2019 avec les
services AD-DS, DHCP, DNS et mise en place GPO pour myspeed-web.

Objectifs : Contrôleur de domaine, Active Directory, DHCP, DNS, GPO fonctionnels

Environnement technologique

Matériels :

• Ordinateur sous Windows Server 2019

• Ordinateur sous Windows 10

Logiciels :
Durée de réalisation : 40 minutes
• Workstation VMWare
• Proxmox
• Windows Server 2019
• Windows 10
• DNS
• DHCP

p. 4
Présentation
Active Directory est un service annuaire LDAP mis en place par Microsoft pour les machines Windows
Serveur. Il permet d’administrer des ressources telles que les ordinateurs, des dossiers de partages, mais
aussi des comptes utilisateurs par l’intermédiaire d’un système d’Identification/Authentification.
L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et
d'authentification à un réseau d'ordinateurs utilisant le système Windows.

p. 5
Installation d’Active Directory, du DNS et du DHCP (failover)
Prérequis
- Changer le nom de la machine en « SRV-AD-01 »
- Mettre une adresse IP statique

Nom Machine : SRV-AD-01

Rôles : Active Directory
Adresse IP : 172.20.0.20
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 172.20.0.250
Serveur DNS préféré : 172.20.0.20
Serveur DNS secondaire : 172.20.0.250

Installation des rôles AD, DNS, DHCP

- Depuis le Gestionnaire de serveur, cliquer sur gérer puis « Ajouter des rôles et des
fonctionnalités »

- Sur Avant de commencer, passer l’introduction avec suivant.

p. 6
 - Sélectionné le type Sélection du serveur.

p. 7
 - Sélectionner son rôle serveurs pour installer les rôles et suivant.

- Ne pas sélectionner de fonctionnalités et suivant.

p. 8
 - Passer les explications du DHCP et suivant.

p. 9
 - Passer les explications de l’Active Directory et suivant.

- Cochez Redémarrer automatiquement le serveur destination et puis confirmer l’installation en

cliquant sur installer.

- Et puis l’assistance va redémarrer automatique.

p. 10
Configuration de l’Active Directory

Création du domaine

- Sur le gestionnaire de serveur, Cliquer sur le drapeau, puis cliquer sur « Promouvoir ce serveur
en contrôleur de domaine ».

- Ajouter une nouvelle forêt, le nom de domaine est myspeed-web.com

p. 11
 - Informer le mot de passe du domaine. Le mot de passe sera : Azerty123

- Passer l’option DNS car le rôle a déjà été installer, faire suivant.

p. 12
 - Confirmer l’Option supplémentaires, faire suivant.

- Garder le chemin d’accès par défauts, faire suivant.

p. 13
 - Confirmer la sélection, faire suivant.

- Lancer l’installation.

p. 14
 - L’Assistance du domaine Active Directory va redémarrer la machine.

Configuration du DHCP
- Sur le gestionnaire de serveur, cliquer sur le drapeau, cliquer sur « Terminer la configuration
DHCP ».

p. 15
 - Passer l’introduction de la configuration du DHCP, faire suivant.

p. 16
 - Autorisation de l’installation de configuration avec le compte administrateur de domaine, faire
valider.

- Fermer le résumer de la configuration installer.

p. 17
Création des plages d’adresses :
- Gestionnaire de serveur, Outils, DHCP.

- DHCP → srv-ad-01.myspeed-web.com → Clic droit IPv4 → Nouvelle étendue…

p. 18
 - Passer l’intro d’Assistant Nouvelle étendue, faire suivant.

- Renseigner le nom et la description de la nouvelle étendue, faire suivant.

p. 19
Tableau des noms et détails des étendu myspeed-web.com

Noms Descriptions
Étendu 1 Administration Vlan 10
Étendu 2 Equipes Vlan 20
Étendu 3 WIFI Vlan 30
Étendu 4 Camera-IP Vlan 40
Étendu 5 VIP-Presse Vlan 50
Étendu 6 Fournisseurs Vlan 60
Étendu 7 DSI Vlan 16
Étendu 8 Sécurité Vlan 80

- Indiquer l’adresse IP de début, l’adresse IP de fin, la longueur du masque et le masque du sous-

réseau.

Tableau des adressages des étendu myspeed-web.com :

Adresse IP début Adresse IP fin Longueur Masque sous-réseau

Étendu 1 172.20.0.1 172.20.0.254 24 255.255.255.0
Étendu 2 172.20.1.1 172.20.0.1.254 24 255.255.255.0
Étendu 3 172.20.2.1 172.20.2.126 25 255.255.255.128
Étendu 4 172.20.2.129 172.20.2.254 25 255.255.255.128
Étendu 5 172.20.3.1 172.20.3.126 25 255.255.255.128
Étendu 6 172.20.3.129 172.20.3.190 26 255.255.255.192
Étendu 7 172.20.16.193 172.20.16.222 28 255.255.255.240
p. 20
Étendu 8 172.20.3.225 172.20.3.254 28 255.255.255.240

- Exclure la plage d’adresse (que dans l’étendue 1 : 172.20.0.1 à 172.20.0.50) faire suivant.

- Imposer la durée du bail (5 jours), faire suivant.

p. 21
 - Configurer les options maintenant sur toutes les étendues, faire suivant.

p. 22
 - Indiquer l’adresse du routeur (Ici le routeur virtuel HSRP 172.20.0.4), faire suivant.

- Ajouter le DNS (myspeed-web.com : 172.20.0.21) Automatique.

p. 23
 - Pas de serveur WINS NetBIOS, faire suivant.

- Activer l’étendue maintenant.

p. 24
 - Terminer la création de l’étendu.

Configuration DNS
Vérifications de zones de recherche directe :

- Gestionnaire de serveur → Outils → DNS.

p. 25
 - DNS → SRV-AD-01 → Zones de recherches directes → Vérifier que la zone myspeed-web.com a
bien été créé.

Nouvelle Zone inversé :

p. 26
 - Clic droit sur Zones principale → Nouvelle zones…

p. 27
 - Sélectionner Vers tous les serveurs DNS exécutés sur des contrôleurs de domaine dans ce
domaine : myspeed-web.com, faire suivant.

- Sélectionner « Zone de recherche inversée IPv4 », faire suivant.

p. 28
 - Sélectionner « L’ID réseau 172.20.0.X »

- Sélectionner « N’autoriser que les mises à jour dynamiques sécurisées (recommandé pour
Active Directory) puis Suivant.

p. 29
 - Finaliser la création de la nouvelle zone, faire terminer.

Configuration des outils d’Active Directory

Création des unités d’organisation

- Sur le gestionnaire de serveur → Outils → Clique sur Utilisateurs et ordinateurs Active

Directory.

p. 30
 - Dans Utilisateurs et ordinateurs Active Directory → Domaine (stadiumcompany.com) → Clic
droit → Nouveau → Unité d’organisation.

- Création des UO services (Administration, DSI, Equipe, Wifi, Caméra-IP, VIP-Presse, Fournisseurs
et Restaurant).

p. 31
 - Création des sous-UO (Utilisateurs, Groupes et ordinateurs) pour les services Administration,
Equipes, Fournisseurs, Restaurant et VIP-Presse.

Création un compte admin

p. 32
Ajouter un mot de passe d’administrateur.

En suite faites Terminer.

p. 33
On va l’ajouter des droits autrement dire des habilitations.
Clic droit sur adminkevens → Propriétés.

On va sur membre de → puis on clic sur Ajouter.

p. 34
Nous allons ajouter des droits comme : Administrateurs, Administrateurs clé Entreprise,
Administrateurs de l’entreprise, Administrateurs du schéma et Admins du domaine.

Après on fait Ok

p. 35
On applique toujours et on fait Ok.

Les stratégies de groupes

Forcer le fond d’écran (GPO)

- Sur le deuxième disque dur nous allons créer un dossier qui sera partagé avec tous les
ordinateurs de l’Active Directory en lecture seule.

p. 36
 - Aller sur ordinateur → Deuxième disque (Partages P pour moi). Et puis on va dans le Gestion de
l’ordinateur on va le formater en NTFS.

- Clic droit → Partages(P) →Nouveau → Dossier → Nommer le (Exemple Fond d’écran). On donne
le droit Contrôle total

p. 37
 - Aller dans le dossier → Ajouter l’image qui sera à chaque écran.

- Clic droit sur le dossier Fond d’écran → Propriétés → → Partage→ Partage avancé... → Ok.

p. 38
 - Cocher « Partager ce dossier » et aller sur Autorisations → Supprimer le groupe Tout le monde.

- Cliquer sur Ajouter…

p. 39
 - Ajouter : « Ordinateurs du domaine ; Admins du domaine ; Administrateurs ; Système »

- Ajouter les Autorisation :

o Contrôle total pour Admins du domaine
o Modification pour Administrateurs
o Lecture pour Ordinateurs du domaine et Système

p. 40
 - Puis Appliquer + Ok.

Création d’un paramètre pour copier le fichier sur l’ordinateur. Ainsi l’ordinateur récupèrera le fond
d’écran directement en local ce qui empêcheras les ordinateurs de récupérer l’image l’AD à chaque
démarrage, pouvant entrainer un temps de traitement supplémentaire su il y a du monde.

- Gestionnaire de serveur → Outils → Gestion des stratégies de groupe.

p. 41
 - Gestion de Stratégie de groupe → Forêt : myspeed-web.com → Domaines →
Stadiumcompany.com → Créer un objet GPO dans ce domaine, et le lier ici…

- Nommer la GPO (Copier et déployer le fond d’écran).

p. 42
 - Clic droit sur la GPO Copier et déployer le fond d’écran → Modifier…

p. 43
 - Stratégie Copier et déployer le fond d’écran → Configuration ordinateur → Préférences →
Paramètres Windows → Fichiers → Clic droit → Nouveau → Fichie

- Action → Créer (puisque ce fichier n’existe pas)

- Fichier(s) source → P:\Fond d’écran\Fonf.png
- Fichier de destination → C:\windows\Web\Wallpaper\myspeed-web\Fond.png
- Commun → Appliquer une fois et ne pas réappliquer

p. 44
 - Stratégie Copier et déployer le fond d’écran → Stratégies → Configuration utilisateur →
Modèles d’administration → Bureau → Papier peint du Bureau.

- Activé et renseigner le chemin (C:\windows\Web\Wallpaper\myspeed-web\Fond.png)

p. 45
 - Appliquer la GPO (clic droit sur Copier et déployer le fond d’écran → Appliqué.

Création d’un script de démarrage permettant aux utilisateurs une connexion aux dossiers
partagés

Sur le deuxième disque dur nous allons créer un dossier qui sera partagé avec tous les utilisateurs en
lecture.

- Aller sur ordinateur → Deuxième disque (Partages P pour moi).

p. 46
 - Clic droit → Nouveau → Dossier → Nommer le (Map).

Voilà comment on fait !

Clic droit sur le dossier Map → Propriétés.

p. 47
 Dans l’onglet partage → Partage avancé…

- Cocher Partager ce dossier et aller sur Autorisations → Supprimer Tout le monde.

p. 48
 - Aller sur Ajouter…

- Ajouter : Admins du domaine ; Administrateurs ; Système ; Utilisateurs

- Ajouter les Autorisation :
o Contrôle total pour Admins du domaine
o Modification pour Administrateurs

p. 49
 o Lecture pour Utilisateurs et Système

p. 50
 - Gestionnaire de serveur → Outils → Gestion des stratégies de groupe.

- Gestion de Stratégie de groupe → Forêt : myspeeb-web.com → Domaines → myspeed-web.com

→ Créer un objet GPO dans ce domaine, et le lier ici…

p. 51
 - Nommer la GPO (Partage Map).

- Clic droit sur la GPO Partage Map → Modifier…

p. 52
 - Configuration utilisateur → Préférences → Paramètres Windows → Mappages de lecteurs →
Clic droit → Nouveau → Lecteur Mappé.

- Action → Mettre à jour

- Emplacement → \\MYSPEED-WEB\Map
- Libeller → Map
- Lettre de lecteur → M
- Afficher ce lecteur et Afficher tous les lecteurs

p. 53
 - Appliquer la GPO (clic droit sur Partage Map) → Appliqué.

- Map (M :) est bien présent sur l’ordinateur client.

p. 54
Création du Site de Paris

- Gestionnaire de serveur → Outils → Sites et service Active Directory.

- Sites et services Active Directory → Sites → Clic droit sur Default-First-Site-Name → Renommer
(Paris).

p. 55
Sur Sites clic droit.

p. 56
Ajouter un Nouveau Site.

Ajouter Tokyo.

p. 57
Vous voyez Tokyo afficher.

Clic Droit sur des Sites Lyon.

p. 58
Création des sous-réseaux du site avec les adresses IP.

Ajouter son adresse IP qui est 172.20.0.0/24 pour le site principale PARIS.

p. 59
Configuration un lien entre PARIS-TOKYO, Clic droit sur → IP → Propriétés.

Faites un Lien vers un nouveau site

p. 60
Ajouter dans le site présent dans ce lien.

Création un site FTP

- Sites et services Active Directory → Sites → Clic droit sur Subnets → Ajouter un site FTP

p. 61
 - Préfixe : 172.20.0.0/24 et sélectionner PARIS.

Scripts Powershell sur Windows Serveur afin d’administrer Active Directory

Manipulation d’un Script qui automatise la création d’utilisateurs sous Active Directory. Nous allons
partir d’un fichier CSV contenant les utilisateurs. Le script va encapsuler les cmdlettes du module Active
Directory, parcourir les utilisateurs et les créer selon condition.

Création du fichier CSV

Mise en place du service FTP

Présentation

FTP (File Transfert Protocol) ou protocole de transfert de fichiers, c’est un langage qui permet l’échange
de fichiers entre deux ordinateurs, plus exactement entre un serveur et un client (Serveur FTP, Client
FTP) sur un réseau TCP/IP.
Le protocole FTP a pour objectifs de :
• actif/passif Permettre un partage de fichiers entre machines distantes
• Permettre une indépendance aux systèmes de fichiers des machines clientes et serveur
• Permettre de transférer des données de manière efficace

Pour les connexions FTP, le port 21 est utilisé pour les commandes et 20 pour le transport de données.

p. 62
Installation du serveur Web IIS
- Dans gestionnaire de configuration, ajoutez le rôle serveur web IIS
- On laisse tout par défaut et ensuite on coche service FTP pour activer la publication FTP sur un
serveur web et l’Extensibilité FTP

Création du site FTP

- Maintenant, ouvrir le gestionnaire IIS à partir de Démarrer « Outils d’administration »

p. 63
 - Clic droit sur « SRV-AD-01 », Ajouter un site Web…

p. 64
 - Donnez un nom de site et de configurer le chemin d'accès physique au besoin.

- On n’autorise pas le SSL parce que cela nécessiterait la création d’un certificat via une autorité de
certificat (CA).
- Pour l’adresse IP vous pouvez laisser par défaut ou sélectionnez l’adresse IP du serveur FTP et le
port 21 c’est le port d’envoi des commandes et aussi pour les réponses du serveur.

p. 65
p. 66
 - Cliquez « Suivant »
o Authentification Anonyme : donne accès au contenu public à tout utilisateur en
fournissant un compte et un mot de passe anonyme.
o De base : c’est une méthode d’authentification personnalisé qui requiert à tous les
utilisateurs de fournir un compte et un mot de passe Windows valide.

Le serveur FTP est maintenant prêt, on peut dès à présent passer sur la machine d’un utilisateur du
domaine pour simuler un test de connexion. On va utiliser notre explorateur Windows Dans
l’explorateur, il faut indiquer l’adresse de notre serveur FTP : ftp://172.20.0.21 Pour l’authentification, il
faut renseigner le compte de l’utilisateur.

p. 67
Cluster à basculement de serveurs AD DS et DHCP (failover) sous Windows
Server 2019

Dans ce tutoriel, nous allons voir comment configurer un cluster à basculement de serveurs DHCP sous
Windows Server 2019. On peut parler aussi de la mise en place d'un DHCP failover sous Windows Server
2019.

Depuis Windows Server 2012, Microsoft permet aux administrateurs système de configurer un cluster à
basculement DHCP facilement sans passer par la mise en place d'un cluster à basculement en tant que tel
: le paramétrage est grandement simplifié.
Il y a deux modes possibles :

- Serveur de secours (actif/passif) : Un serveur actif, un second serveur de secours qui s'active en cas de
panne du principal
- Équilibrage de charge (actif/actif) : Les deux serveurs sont actifs et une répartition de charge est
effectuée (pas forcément à 50/50, tout dépend de la configuration).
Le service DHCP est critique en entreprise : s'il n'est pas redondé et qu'il est hors service suite à une panne,
les postes clients en adresse IP dynamique ne seront pas capables de se connecter au réseau local. À
l'exception de ceux qui sont déjà connectés au réseau et qui ont un bail valide / en cours.

Configuration des rôles sur le SRV-AD-02 (Secours)

1. Nous allons ajouter des rôles sur le second serveur.

Installation des rôles AD, DNS, DHCP

- Depuis le Gestionnaire de serveur, cliquer sur gérer puis « Ajouter des rôles et des
fonctionnalités »

p. 68
 - Sur Avant de commencer, passer l’introduction avec suivant.

- Ajouter un contrôleur de domaine à un domaine existant et suivant.

p. 69
 - Une fenêtre s’affiche, nous allons enseigner l’identifier du SRV-AD-01 et son mot de passe.

- Et puis on fait suivant.

p. 70
 - Cochez le Controleur de domaine en lecteure seule (RODC) puis Suivant.

- On fait suivant.

p. 71
 - Laisser tout contrôleur de domaine, suivant

- Encore Suivant.

p. 72
p. 73
 - Suivant et puis installer.

Configuration du cluster à basculement AD DS sur le SRV-AD-02

À partir du moment où vous avez un serveur AD DS avec une étendue configurée et un deuxième
serveur DHCP avec le rôle installé, mais vierge de configuration (bien que ce ne soit pas indispensable
qu'il soit vierge), vous pouvez continuer. Dans un premier temps nous allons ajouter un disque et mettre
en ligne.

p. 74
Toujours sur le disque 2 refaire un Clic droit → initialiser

Cliquer sur OK.

p. 75
Faire un clic droit sur le disque et cliquer sur Nouveau volume simple ; Celui-ci doit être formaté en
NTFS et avec la lettre Q.

Powershell
1. Ouvrir une invite de commande PowerShell en administrateur et entrer la commande suivante :

Install-WindowsFeature -Name Failover-Clustering -IncludeManagementTools

2. Patienter pendant l’installation.

3. Une fois l’installation terminée, fermer la fenêtre et redémarrer le serveur.

p. 76
Configuration du cluster à basculement

1. Avant tout ajouter un rôle de cluster à basculement sur tous les serveurs et Lancer la console Gestionnaire
de cluster de basculement sur le serveur ad (principal) disponible dans le menu Démarrer.

p. 77
2. Depuis la console cliquer sur Créer un cluster 1 disponible dans la partie centrale dans la section
Gestion ou à gauche dans le menu Actions.

3. Passer la première étape de l’assistant en cliquant sur Suivant

4. Cliquer sur Parcourir…

p. 78
5. Sélectionner les serveurs qui seront des nœuds du cluster puis cliquer sur OK.

p. 79
6. Sélectionner Exécuter tous les tests et cliquer sur Suivant.

7. Pour valider le cluster, sélectionner la validation des tests et cliquer sur Suivant.

p. 80
8. Un assistant se lance, cliquer sur Suivant.

9. Sélectionner Exécuter tous les tests et cliquer sur Suivant.

p. 81
10. Confirmer l’exécution des tests en cliquant sur Suivant.

11. Patienter pendant la validation, celle-ci peut prendre plus ou moins de temps en fonction de nombre
de nœuds…

p. 82
12. Une fois les tests terminés, si aucun point bloquant est trouvé, cliquer sur Terminer.

13. De retour à l’assistant de création du cluster, indiquer le nom du cluster et son adresse IP puis
cliquer sur Suivant.

p. 83
Un objet AD ordinateur sera créé dans l’annuaire.

14. Confirmer la création du cluster en cliquant sur Suivant.

p. 84
15. Patienter pendant la création …

16. Le cluster est créé, quitter l’assistant en cliquant sur Terminer.

p. 85
17. De retour à la console de gestion, celle-ci affiche le cluster et les paramètres.

L’administration du cluster et des rôles (services) se font à l’aide la console MMC : Gestionnaire de
cluster de basculement.

Dans cette partie, je vais vous présenter de manière générale cette console.

1. Cliquer sur le chevron qui se trouve avant le nom du cluster pour dérouler les différentes sections
disponibles.

p. 86
On voir que notre cluster est bien en service.

Configuration du cluster à basculement DHCP

À partir du moment où vous avez un serveur DHCP avec une étendue configurée et un deuxième serveur
DHCP avec le rôle installé, mais vierge de configuration (bien que ce ne soit pas indispensable qu'il soit
vierge), vous pouvez continuer.

1. Il faut aller dans Outils →DHCP

p. 87
 2. Ouvrez la console DHCP et effectuez un clic droit sur l'étendue, puis cliquez sur "Configurer un
basculement" : un assistant va démarrer...

3. Nous avons la possibilité de configurer le basculement pour une ou plusieurs étendues. Dans
notre cas, il y a en a qu'une seule donc on laisse l'option "Sélectionner tout".

p. 88
 4. Il faut que l'on spécifie le serveur DHCP à utiliser pour le basculement : l'objectif c'est de
sélectionner le serveur SRV-AD-02. Cliquez sur "Ajouter un serveur" puis cochez "Ce serveur
DHCP autorisé" (c'est-à-dire autorisé dans l'Active Directory) et sélectionnez le serveur.

Voici l'étape de configuration du mode de fonctionnement du cluster à basculement DHCP. Voici des
informations sur les paramètres :

▪ Nom de la relation : Donnez un nom à la relation entre ces deux serveurs, au choix ! Sachant
qu'une relation est réutilisable.
Ensuite, nous avons le paramètre MCLT qui est précieux.

▪ MCLT
Ce paramètre spécifie la durée pendant laquelle un bail DHCP peut être renouvelé par l'un des partenaires
de basculement sans contacter l'autre partenaire : ce qui sera le cas lors d'une panne, par exemple. Il a
un deuxième rôle puisqu'il spécifie également la durée pendant laquelle le serveur actif restera dans l'état
"partenaire en panne" avant de prendre le contrôle de la totalité de la plage d'adresses IP de l'étendue :
très intéressant pour assurer une continuité de service si la panne dure.

Plus d'informations sur le fonctionnement de MCLT : IETF - MCLT

▪ Mode
Il faut choisir un mode, dans notre cas le choix "Équilibrage de charge" (load balancing), les deux serveurs
seront actifs. Il faut définir le pourcentage de cet équilibrage de charge : 50/50, ou 70/30, par exemple.
Cette valeur correspond au pourcentage d'adresses IP de la plage de l'étendue que devra gérer chaque
serveur. Par exemple, si dans l'étendue la plage DHCP est de 10 adresses IP et que la répartition est de
50/50, chaque serveur va gérer 5 adresses IP.
Le mode "Serveur de secours" (Failover) sert à mettre en place une configuration actif/passif. Ensuite, on
choisit le mode "Veille" : le serveur passif distribuera des adresses IP uniquement quand le partenaire sera
HS.

p. 89
Il faut en complément préciser le pourcentage d'adresses IP réservées au sein de la plage pour ce serveur
de secours. Ainsi, en cas de basculement si le serveur principal est hors service, le serveur de secours est
assuré d'avoir X% d'adresses IP disponibles et attribuables.

Si l'option est activée, elle permet d'indiquer au bout de combien de temps on considère que le partenaire
est hors service si la communication avec lui est perdue. Si l'option n'est pas activée, le serveur DHCP va
considérer que la communication est interrompue sans savoir réellement pour quelle raison avec son
partenaire, et j'ai constaté qu'il devient actif pour assurer la continuité (sans délai pour le coup).

▪ Activer l'authentification du message

Saisissez un "Secret partagé" dans mon cas c’est (Azerty$321) complexe qui sera utilisé pour chiffrer les
échanges entre les deux serveurs DHCP du cluster. De cette façon, la synchronisation de la configuration
entre les serveurs DHCP ne transitera pas en clair sur le réseau.

p. 90
On clique sur terminer.

Poursuivez jusqu'à la fin : la configuration va se mettre en place et la progression s'affichera à l'écran. Si

vous obtenez "Réussite de la configuration du basculement", c'est tout bon !

p. 91
La configuration va permettre de synchroniser différents éléments entre les deux serveurs : baux DHCP,
options de l'étendue, réservations DHCP. Néanmoins, cette synchronisation n'est pas automatique sauf
pour la base de données des baux DHCP !
En faisant un clic droit sur l'étendue, on obtient l'option "Répliquer l'étendue" : une opération à réaliser
lorsque vous modifiez la configuration de l'étendue sur un serveur DHCP. Prenez le réflexe de faire les
modifications toujours depuis le même serveur, car la réplication fonctionne seulement dans un sens et
va écraser la configuration du partenaire.

Peut-on faire une réplication automatique de la configuration de l'étendue DHCP ? La réponse est oui
grâce à un outil supplémentaire pour synchroniser la configuration : DFACS (DHCP Failover Auto Config
Sync). Malheureusement, il était en ligne sur le site TechNet Gallery qui n'existe plus et il n'a pas été remis
sur Github : dès qu'il sera en ligne, je vous mettrai le lien ou je verrais pour mettre en ligne une copie.
Maintenant, au sein de la console DHCP du serveur principal, nous allons ajouter notre second serveur.
De cette façon, on pourra gérer les deux serveurs depuis la même console.

p. 92
Cliquez sur "DHCP" puis "Ajouter un serveur".

Sélectionnez le serveur secondaire et validez...

p. 93
Voilà, les deux serveurs sont dans la console. D'ailleurs, si vous naviguez dans la configuration du second
serveur, vous verrez qu'il a bien l'étendue désormais !

Avant de tester la configuration, je souhaitais attirer votre attention sur plusieurs options du menu
lorsque l'on fait un clic droit sur l'étendue.

Pour modifier la configuration du basculement, vous devez la supprimer et la refaire. Dans ce cas,
sélectionnez l'option "Annuler la configuration du basculement" sur le serveur principal. L'étendue sera
supprimée du serveur partenaire et elle restera sur le serveur depuis lequel on effectue l'action (l'inverse
est vrai aussi).

p. 94
L'option "Afficher les statistiques" permet de connaître le pourcentage d'utilisation des adresses de la
plage, ainsi que la répartition entre les deux serveurs.

p. 95
La configuration du basculement sur une étendue peut être consultée dans les propriétés de l'étendue
via Clic droite →Propriété →l'onglet "Basculement".

V. Tester le cluster à basculement DHCP

Sur le poste client, on se connecte et on ouvre une console PowerShell pour libérer le bail DHCP en cours
:
ipconfig /release

À partir de ce moment-là, le poste client n'a plus d'adresse IP et le bail est supprimé de la base de
données des serveurs DHCP.
Maintenant, on va simuler une panne sur le serveur SRV-AD-01 (serveur DHCP qui gère 50% de la plage
DHCP) : soit vous éteignez complètement la VM, soit vous arrêtez simplement le service DHCP.

p. 96
À ce moment-là, le serveur SRV-WS-01 détecte que son partenaire est hors service et passe dans l'état
"Perte du contact avec le partenaire".
Sur le poste client Windows 10, on lance une demande de bail DHCP sur le réseau grâce à la commande
ci-dessous.

ipconfig /renew

Après quelques secondes, le poste récupère une adresse IP. En fait, il obtient l'adresse IP "" alors qu'il
avait "172.20.0.33" auparavant. Néanmoins, le serveur DHCP restant ne peut pas lui réattribuer cette
adresse IP, car il n'en a pas encore la gestion : il pioche donc dans la partie de la plage DHCP qu'il gère.
On peut voir que c'est bien le serveur 172.20.0.20 qui a distribué l'adresse IP : grâce à la répartition de
charge, nous avons aussi assuré la continuité du service DHCP sur notre réseau !

Au niveau de la console DHCP, le serveur principal est toujours arrêté, mais le serveur secondaire
quant à lui a bien pris le relais et inscrit dans la base de données le bail du PC Windows 10.

En conclusion

Nous avons évoqué ensemble les nouveautés de Windows et l'architecture Active Directory.
Ensuite, on a installé deux active directory, DNS, DHCP. On a géré les objets se rapportant à
celle-ci.

p. 97
Nous avons mis en place les stratégies de sécurité couramment appelées GPO et enfin on a
terminé ce projet par la mise en place de quelques travaux de maintenance de sauvegarde et la
gestion du patrimoine.

p. 98