Configuration d'un contrôleur de domaine pour Windows Server 2025
Prérequis
Avant de promouvoir un serveur en contrôleur de domaine, assurez-vous que :
- Le rôle AD DS (Active Directory Domain Services) est installé. Voir : Ajout de rôles et fonctionnalités
- Le serveur dispose d'une adresse IP statique
- Le nom d'hôte du serveur est définitif (il ne peut plus être changé après la promotion)
Etape 1 - Lancer l'assistant de promotion
Depuis le Gestionnaire de serveur, cliquez sur l'icône de drapeau (avec un triangle d'avertissement jaune) puis sélectionnez Promouvoir ce serveur en contrôleur de domaine.
Etape 2 - Assistant de configuration AD DS
Configuration de déploiement
Choisissez le scénario correspondant à votre infrastructure :
Ajouter un contrôleur de domaine à un domaine existant
A utiliser pour renforcer la redondance d'un domaine existant ou dans le cadre d'une migration de serveur.
- Dans le champ Domaine, renseignez le nom du domaine cible (ex :
robin.local). - Cliquez sur Modifier pour spécifier un compte disposant des droits suffisants sur ce domaine (membre du groupe Domain Admins ou Enterprise Admins).
Ajouter un nouveau domaine à une forêt existante
Permet d'étendre une forêt Active Directory en y ajoutant un nouveau domaine enfant ou un domaine d'arborescence.
- Précisez le type de domaine :
- Domaine enfant : hérite du domaine parent et s'y rattache directement (ex :
paris.robin.local). - Domaine d'arborescence : domaine indépendant au sein de la même forêt (ex :
example.comdans la forêtrobin.local).
- Domaine enfant : hérite du domaine parent et s'y rattache directement (ex :
- Indiquez le nom de la forêt ou du domaine parent selon le choix précédent.
- Renseignez le nom du nouveau domaine.
Ajouter une nouvelle forêt
A utiliser pour une nouvelle infrastructure Active Directory, sans lien avec une forêt existante.
- Renseignez le nom du domaine racine (ce nom est définitif, il ne pourra pas être modifié ultérieurement).
Options du contrôleur de domaine
Niveaux fonctionnels
- Niveau fonctionnel de la forêt : définit la version minimale de Windows Server acceptée pour tous les contrôleurs de domaine de la forêt.
- Niveau fonctionnel du domaine : définit la version minimale de Windows Server acceptée pour les contrôleurs de domaine du domaine concerné.
Plus le niveau est élevé, plus les fonctionnalités disponibles sont étendues, mais les contrôleurs de domaine sous des versions antérieures ne pourront plus rejoindre la forêt ou le domaine.
Fonctionnalités du contrôleur de domaine
| Option | Description |
|---|---|
| Serveur DNS | Installe et configure le rôle DNS sur ce contrôleur de domaine. Recommandé si aucun serveur DNS dédié n'existe. |
| Catalogue global | Stocke une copie partielle de tous les objets de la forêt. Obligatoire si ce contrôleur est le seul de la forêt. |
| Contrôleur de domaine en lecture seule (RODC) | N'autorise pas les modifications locales. A utiliser dans des sites distants ou des environnements peu sécurisés. |
Mot de passe DSRM
Renseignez le mot de passe du mode de restauration des services d'annuaire (Directory Services Restore Mode). Ce mot de passe est indispensable en cas de corruption ou de panne de l'annuaire Active Directory : il permet de démarrer le contrôleur de domaine hors ligne pour effectuer des opérations de maintenance ou de restauration.
Conservez-le dans un endroit sécurisé.
Options DNS
Si vous avez coché Serveur DNS, cette étape propose de créer une délégation DNS. Voir la page dédiée : Délégation DNS.
Options supplémentaires
Nom NetBIOS
Le nom NetBIOS est l'identifiant court du domaine, utilisé pour la compatibilité avec les anciens systèmes et protocoles (NTLM, parcours réseau).
Il correspond par défaut à la première partie du nom de domaine DNS, en majuscules :
| Nom de domaine DNS | Nom NetBIOS par défaut |
|---|---|
robin.local |
ROBIN |
entreprise.ads |
ENTREPRISE |
Ce nom peut être modifié, mais il est recommandé de conserver la valeur par défaut.
Chemins d'accès
Ces chemins définissent l'emplacement des données Active Directory sur le serveur. Les valeurs par défaut conviennent dans la plupart des cas.
| Dossier | Contenu | Chemin par défaut |
|---|---|---|
| Base de données | Fichier NTDS.dit contenant les objets AD |
C:\Windows\NTDS |
| Fichiers journaux | Journaux de transactions AD | C:\Windows\NTDS |
| SYSVOL | Scripts de démarrage et objets de stratégie de groupe (GPO) | C:\Windows\SYSVOL |
Le dossier SYSVOL doit impérativement se trouver sur un volume formaté en NTFS.
Examiner les options
Récapitulatif de l'ensemble des choix effectués. Vérifiez chaque paramètre avant de continuer.
Un bouton Afficher le script permet de générer le script PowerShell équivalent, utile pour automatiser des déploiements futurs.
Vérification de la configuration requise
L'assistant vérifie que le serveur remplit toutes les conditions pour être promu contrôleur de domaine.
Des avertissements (triangles jaunes) peuvent apparaître sans bloquer l'installation. Des erreurs (croix rouges) bloquent la promotion et doivent être corrigées.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Adresse IP dynamique détectée | Le serveur n'a pas d'IP statique | Configurer une adresse IP statique dans les paramètres réseau |
| Impossible de créer une délégation DNS... | La zone parente n'est pas gérée par ce serveur DNS | Avertissement sans impact si la délégation n'est pas nécessaire, voir : Délégation DNS |
Une fois les vérifications passées, cliquez sur Installer. Le serveur redémarrera automatiquement à la fin de la promotion.