Comment installer les services de domaine Active Directory sur Windows Server 2025

Avant d'installer AD DS, configurez correctement les paramètres réseau de votre serveur. Ouvrez le Centre Réseau et partage et définissez une adresse IP statique.

Accédez à Panneau de configuration > Réseau et Internet > Centre Réseau et partage > Modifier les paramètres de la carte. Faites un clic droit sur votre adaptateur réseau et sélectionnez Propriétés.

Sélectionnez Protocole Internet version 4 (TCP/IPv4) et cliquez sur Propriétés. Configurez ces paramètres :

Adresse IP : 192.168.1.10 (exemple)
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 192.168.1.1
Serveur DNS préféré : 127.0.0.1
Serveur DNS alternatif : 8.8.8.8

Définir le DNS préféré sur 127.0.0.1 (localhost) est crucial car votre serveur deviendra le serveur DNS pour le domaine.

Vérification : Exécutez ipconfig /all dans l'Invite de commandes pour confirmer que votre configuration IP statique est active.

Ouvrez le Gestionnaire de serveur depuis la barre des tâches ou le menu Démarrer. Cliquez sur Gérer dans le coin supérieur droit et sélectionnez Ajouter des rôles et fonctionnalités.

L'Assistant Ajout de rôles et fonctionnalités s'ouvre. Cliquez sur Suivant sur la page Avant de commencer, puis sélectionnez Installation basée sur un rôle ou une fonctionnalité et cliquez sur Suivant.

Sélectionnez votre serveur cible dans le pool de serveurs (il devrait être mis en surbrillance par défaut) et cliquez sur Suivant.

Dans la page Rôles de serveur, faites défiler vers le bas et cochez Services de domaine Active Directory. Une fenêtre contextuelle apparaît demandant d'ajouter les fonctionnalités requises - cliquez sur Ajouter des fonctionnalités pour inclure les outils de gestion.

Cliquez sur Suivant à travers la page Fonctionnalités (aucune fonctionnalité supplémentaire nécessaire), puis Suivant sur la page d'informations AD DS.

Examinez vos sélections sur la page de Confirmation et cliquez sur Installer. L'installation prend 2-3 minutes.

Vérification : Après la fin de l'installation, vous verrez un drapeau de notification dans le Gestionnaire de serveur avec un triangle d'avertissement jaune. Cela indique que le rôle est installé mais pas encore configuré.

Dans le Gestionnaire de serveur, cliquez sur le drapeau de notification (triangle jaune avec point d'exclamation) et sélectionnez Promouvoir ce serveur en contrôleur de domaine.

L'Assistant de configuration des services de domaine Active Directory se lance. Sur la page de configuration du déploiement, sélectionnez Ajouter une nouvelle forêt puisque vous créez un nouveau domaine.

Entrez le nom de votre domaine racine dans le champ Nom de domaine racine. Utilisez un format FQDN approprié comme contoso.com ou company.local. Évitez les noms à étiquette unique ou .local si vous prévoyez une intégration internet.

Nom de domaine racine : contoso.com

Cliquez sur Suivant pour passer aux options du contrôleur de domaine.

Vérification : L'assistant valide le format de votre nom de domaine. Les noms invalides (comme les mots uniques ou les noms réservés) afficheront une erreur.

Sur la page Options du contrôleur de domaine, configurez les niveaux fonctionnels et les services :

Réglez à la fois le niveau fonctionnel de la forêt et le niveau fonctionnel du domaine sur Windows Server 2025. Cela active toutes les dernières fonctionnalités AD et améliorations de sécurité.

Assurez-vous que le serveur Domain Name System (DNS) est coché. Cela installe et configure automatiquement DNS, requis pour AD DS.

Laissez le Catalogue global (GC) coché - le premier contrôleur de domaine dans une forêt doit être un GC.

Entrez un mot de passe fort pour le mode de restauration des services d'annuaire (DSRM). Il est utilisé pour la maintenance hors ligne d'AD :

Mot de passe DSRM : ComplexPassword123!
Confirmer le mot de passe : ComplexPassword123!

Cliquez sur Suivant pour continuer.

Vérification : L'assistant vérifie les exigences de complexité du mot de passe. Les mots de passe faibles déclencheront des erreurs de validation.

Sur la page Options DNS, vous pouvez voir un avertissement concernant la délégation DNS. Pour une nouvelle forêt, cela est normal et attendu. L'avertissement indique qu'une délégation ne peut pas être créée car la zone parente autoritaire ne peut pas être trouvée.

Laissez Créer une délégation DNS décoché et cliquez sur Suivant.

Sur la page Options supplémentaires, l'assistant génère automatiquement un nom de domaine NetBIOS basé sur votre FQDN. Pour contoso.com, il suggère CONTOSO.

Nom de domaine NetBIOS : CONTOSO

Vous pouvez modifier cela si nécessaire, mais la valeur par défaut est généralement appropriée. Le nom NetBIOS doit comporter 15 caractères ou moins et contenir uniquement des lettres, des chiffres et des tirets.

Cliquez sur Suivant pour continuer.

Vérification : L'assistant valide l'unicité du nom NetBIOS sur votre segment de réseau.

Sur la page Chemins, spécifiez les emplacements pour la base de données AD, les fichiers journaux et le dossier SYSVOL. Les emplacements par défaut sont :

Dossier de la base de données : C:\Windows\NTDS
Dossier des fichiers journaux : C:\Windows\NTDS
Dossier SYSVOL : C:\Windows\SYSVOL

Pour les environnements de production, envisagez de séparer ces composants :

• Base de données : Placez-la sur un disque rapide (SSD de préférence)
• Journaux : Placez-les sur un disque séparé de la base de données pour la performance
• SYSVOL : Peut rester sur le disque système

Pour ce tutoriel, acceptez les valeurs par défaut et cliquez sur Suivant.

Vérification : L'assistant vérifie que les chemins spécifiés existent et ont suffisamment d'espace libre (minimum 200 Mo pour la base de données, 50 Mo pour les journaux).

La page Options de révision affiche un résumé de votre configuration. Vérifiez tous les paramètres attentivement :

Nom de la forêt : contoso.com
Nom de domaine : contoso.com
Nom NetBIOS : CONTOSO
Niveaux fonctionnels : Windows Server 2025
Serveur DNS : Oui
Catalogue global : Oui

Cliquez sur Suivant pour lancer la vérification des prérequis. Cette étape critique valide la configuration de votre serveur et identifie les problèmes potentiels.

La vérification des prérequis examine :

• Configuration réseau et paramètres DNS
• Espace disque et exigences du système de fichiers
• Autorisations de sécurité et politiques
• Conflits de domaine existants

Si la vérification est réussie, vous verrez des coches vertes. Les avertissements (jaune) doivent être examinés mais ne bloquent pas l'installation. Les erreurs (rouge) doivent être résolues avant de continuer.

Vérification : Toutes les vérifications des prérequis affichent des coches vertes ou des avertissements acceptables. Le bouton Installer devient activé.

Après que la vérification des prérequis soit passée, cliquez sur Installer pour commencer le processus de promotion du contrôleur de domaine.

La progression de l'installation montre plusieurs phases :

• Configuration des services de domaine Active Directory
• Installation du rôle de serveur DNS
• Création de la base de données de domaine et des fichiers journaux
• Configuration des politiques de sécurité
• Préparation au redémarrage

Le processus prend 10 à 15 minutes selon votre matériel. Le serveur redémarrera automatiquement 1 à 2 fois pendant la promotion.

Après le redémarrage final, connectez-vous avec vos identifiants d'administrateur de domaine :

Nom d'utilisateur : CONTOSO\Administrateur
Mot de passe : [Votre mot de passe administrateur local d'origine]

Vérification : L'écran de connexion affiche votre nom de domaine (CONTOSO) dans le champ du nom d'utilisateur, et le Gestionnaire de serveur affiche le rôle AD DS comme étant en cours d'exécution.

Ouvrez Utilisateurs et ordinateurs Active Directory depuis le menu Démarrer ou le menu Outils du Gestionnaire de serveur. Vous devriez voir la structure de votre domaine avec les unités organisationnelles par défaut :

• Builtin
• Computers
• Domain Controllers
• ForeignSecurityPrincipals
• Managed Service Accounts
• Users

Vérifiez la configuration DNS en ouvrant Gestionnaire DNS. Vous devriez voir des zones de recherche directe et inverse pour votre domaine :

Zones de recherche directe :
  - contoso.com
  - _msdcs.contoso.com

Zones de recherche inverse :
  - Sous-réseau 192.168.1.x (si configuré)

Testez la fonctionnalité du domaine avec des commandes PowerShell :

Get-ADDomain
Get-ADForest
Get-ADDomainController

Ces commandes devraient renvoyer des informations sur votre domaine nouvellement créé sans erreurs.

Vérification : Exécutez dcdiag /v dans l'Invite de commandes pour effectuer un diagnostic complet du contrôleur de domaine. Tous les tests devraient réussir ou afficher des avertissements acceptables.

Complétez votre configuration AD DS avec des configurations de sécurité essentielles. Tout d'abord, configurez les règles du Pare-feu Windows pour les services AD DS :

Enable-NetFirewallRule -DisplayGroup "Active Directory Domain Services"
Enable-NetFirewallRule -DisplayGroup "DNS Service"

Créez des unités organisationnelles supplémentaires pour une meilleure gestion :

New-ADOrganizationalUnit -Name "Corporate Users" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Servers" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Workstations" -Path "DC=contoso,DC=com"

Configurez les paramètres de stratégie de groupe en ouvrant Gestion des stratégies de groupe à partir des outils du Gestionnaire de serveur. Créez une politique de sécurité de base pour votre domaine.

Configurez des sauvegardes régulières d'AD à l'aide de Windows Server Backup :

Install-WindowsFeature Windows-Server-Backup
wbadmin enable backup -addtarget:E: -schedule:02:00 -include:C:\Windows\NTDS,C:\Windows\SYSVOL

Vérification : Exécutez repadmin /showrepl pour vérifier que la réplication fonctionne correctement, même avec un seul contrôleur de domaine.