Vous êtes ici

AD : Mise en place d’une Relation d’Approbation entre Forêts

Nous allons voir dans cet article comment faire une approbation entre 2 domaines contenus dans 2 forêts différentes. Cette manipulation est compatible entre les différentes versions de windows serveur à partir de la version 2003, à condition de respecter le niveau fonctionnel de la forêt, elle doit être identique pour tous les serveurs concernés. 

L'intérêt de faire une approbation entre 2 domaines externes, et de pouvoir les faire communiquer, ce qui va permettre par exemple d'authentifier l'utilisateur d'un domaine local contenu dans une forêt sur un domaine externe contenu dans une autre forêt.

Cet article va se diviser en deux parties, la premiere, la configuration de la partie DNS (mise en place d'un redirecteur conditionnel entre 2 serveurs DNS), et ensuite, la seconde partie pour la configuration de l'approbation entre les 2 domaines externes.

1)      DNS :

a.       Créer un redirecteur conditionnel (cela permet de faire communiquer les 2 domaines, sans redirecteur ils ne sont pas capables de se joindre)

·   Sous Windows Serveur 2008 et 2012

Ouvrir le Gestionnaire DNS, puis faire un clic droit sur Redirecteurs conditionnels et sélectionner Nouveau redirecteur conditionnel :

Saisir le nom du domaine DNS pour lequel il faut créer un redirecteur, puis inscrire son adresse IP.

Il n’y a plus qu’à valider, et c’est fait.

Manipulation à faire sur les 2 serveurs DNS (****.com redirecteur conditionnel vers ****.lan et inversement) si approbation de domaine bidirectionnel

·         Sous Windows Serveur 2003

Aller dans le gestionnaire DNS, sélectionner le serveur concerné, puis action, propriété

Aller dans l’onglet Redirecteurs, faire nouveau, saisir le nom de domaine DNS pour lequel il faut créer un redirecteur, puis valider. A ce moment, saisir l’IP du nom de domaine et cliquer sur Ajouter.

Valider la fenêtre, et c’est terminé.

2)      Approbation de domaine

a.       Il faut dans un premier temps, s’assurer que le niveau fonctionnel des domaines en Windows serveur 2003 est bien en Windows Server 2003 au minimum. Effectivement, le niveau fonctionnel des 2 domaines doit être identique, donc notre Windows serveur 2012 ou 2008 doit lui aussi avoir un niveau fonctionnel en 2003 !

 

·         Ouvrez la console Active Directory Users and Computers

·         Sur le domaine, il faut faire un clic droit et choisir Augmenter le niveau fonctionnel du domaine :

·         Si celui-ci est en Windows 2000, il faut l’augmenter en Windows serveur 2003 :

·         Celui passera donc en Windows Server 2003.

Passer par le même chemin sur Windows serveur 2008/2012 pour vérifier que le niveau fonctionnel du domaine est bien en 2003 également.

                         b.      Il faut maintenant que le niveau fonctionnel de toutes les forêts soit également en Windows server 2003

Ouvrir la console Active Directory Domains and Trusts puis sur la forêt, faire un clic droit et augmenter le niveau fonctionnel de la forêt :

Mettre le niveau fonctionnel en Windows Server 2003 si ce n’est pas le cas :

Le niveau fonctionnel de la forêt va donc passer en 2003 si ce n’était pas le cas :

Avant de continuer, faite une petite vérification du bon fonctionnement de votre domaine avec la commande dcdiag /v /e , vérifier qu’il n’y a pas d’erreurs retournées

                        c.      Faire l’approbation de domaine, ici à partir d’un Windows Serveur 2012, c’est identique pour le 2008

Ouvrez la console Domaines et approbations Active Directory

Faire un clic droit sur le domaine pour lequel il faut créer une approbation, et choisir Propriétés

Cliquer sur l’onglet Approbations puis, Nouvelle approbation…

Une fois l’assistant ouvert, faite suivant et spécifier le nom de domaine distant à approuver :

Choisissez ensuite le type d’approbation, je choisis approbation de forêt, car je veux que n’importe quel utilisateur puisse s’authentifier dans n’importe lequel de mes domaines :

Je choisis ensuite le sens de l’approbation, dans mon cas, les 2 sens

L’assistant me demande donc ensuite s’il s’occupe également de faire l’approbation sur le domaine distant, j’accepte (ici mon domaine distant est en Windows serveur 2003, ce n’est pas un problème) :

Je lui donne donc un utilisateur ayant les droits sur le domaine distant :

Je choisis ensuite l’étendue de l’authentification pour les utilisateurs de ma forêt distante, ici je choisis de tout authentifier.

Je fais de même pour la forêt locale :

L’assistant est terminé, il n’y a plus qu’à cliquer sur suivant pour créer l’approbation entre nos 2 domaines :

L’approbation a été créée :

Il faut maintenant juste confirmer l’approbation entrante et sortante

C’est correctement terminé :

                         d.      Vérifier le bon fonctionnement :

·         Je me place sur l’une des machines faisant partie d’un des domaines et je tente d’ajouter un droit d’un utilisateur de l’autre domaine contenu dans une autre forêt :

          

Nous pouvons voir qu’il nous est possible de choisir la forêt distante pour choisir notre utilisateur.      

·         Nous pouvons également reproduire ce test sur l’autre domaine distant :

Même constat, nous pouvons choisir un utilisateur de l’autre domaine contenu dans une forêt différente.

Tags: 

www.le-gas.fr : Le guide de l'admin Systeme