- Windows Server
- 18 juin 2021 à 14:27
-
Lorsque 2 entreprises fusionnent (suite à un rachat ou une acquisition), il est intéressant de créer une relation d'approbation entre les forêts de ces 2 entreprises (la forêt de chaque entreprise) pour pouvoir accéder facilement aux ressources de la forêt de destination depuis la forêt source (et inversement, si on le souhaite).
Néanmoins, avant de créer cette relation d'approbation, consultez notre article "Les bases des services de domaine Active Directory (AD DS)" pour comprendre comment les relations d'approbations fonctionnent.
- Pré-requis au niveau DNS
- Créer la relation d'approbation de forêts
- Propriétés de l'approbation de forêts
- Test de connexion sur un PC client depuis la forêt distante
- Supprimer une approbation
1. Pré-requis au niveau DNS
Avant de pouvoir créer une relation d'approbation de type "Forêt" entre 2 forêts, vous devez vous assurer que les ordinateurs et les serveurs de la forêt source puissent résoudre les noms de domaine de la forêt distante (et inversement).
Dans notre cas, nous possédons 2 forêts :
- informatiweb.lan
- informatiweb-pro.lan
La forêt source sera "informatiweb.lan" et la forêt distante sera "informatiweb-pro.lan".
Pour que vos noms de domaines Active Directory puissent être résolus d'une forêt Active Directory à l'autre, une des méthodes autorisées est l'utilisation des redirecteurs conditionnels sur le serveur DNS des domaines racines.
Sur le serveur DNS du domaine racine (dans notre cas : informatiweb.lan) de la forêt source, ouvrez le gestionnaire DNS et allez dans le dossier "Redirecteurs conditionnels".
Ensuite, faites un clic droit dans la partie droite et cliquez sur : Nouveau redirecteur conditionnel.
Indiquez :
- le nom de domaine racine de la forêt distante : informatiweb-pro.lan
- l'adresse IP du serveur maitre pour cette zone DNS.
Dans notre cas, le contrôleur de domaine "DC-PRO" est le serveur où se trouve le serveur DNS gérant la zone "informatiweb-pro.lan" et son adresse IP est : 10.0.0.21
Attention : a bien indiquer l'adresse IP du serveur DNS configuré comme serveur DNS primaire et non un serveur DNS secondaire (qui ne fait donc pas autorité pour la zone souhaitée).
Nous pouvons maintenant résoudre les noms de domaine faisant partie du domaine racine "informatiweb-pro.lan" grâce au serveur DNS où notre zone DNS "informatiweb.lan" se trouve.
Quand les clients tenteront de résoudre les noms de domaine "xxxxx.informatiweb-pro.lan", notre serveur DNS redirigera la requête DNS sur le serveur DNS primaire gérant la zone DNS "informatiweb-pro.lan".
Faites la même manipulation dans la forêt distante pour résoudre les domaines "xxxxx.informatiweb.lan" depuis le serveur DNS gérant la zone DNS "informatiweb-pro.lan".
Faites un clic droit : Nouveau redirecteur conditionnel.
Indiquez le nom de domaine racine de la forêt source (informatiweb.lan) et l'adresse IP du serveur DNS primaire gérant cette zone DNS (informatiweb.lan).
Et voilà, les redirecteurs conditionnels sont configurés sur nos 2 serveurs DNS.
2. Créer la relation d'approbation de forêts
Pour créer une relation d'approbation de forêts, allez de préférence sur le contrôleur de domaine gérant le domaine racine de la forêt source (dans notre cas : informatiweb.lan) et lancez la console "Domaines et approbations Active Directory".
Ensuite, faites un clic droit "Propriétés" sur le domaine racine (informatiweb.lan) affiché.
Dans l'onglet "Approbations", cliquez sur le bouton : Nouvelle approbation.
L'assistant Nouvelle approbation s'affiche.
Indiquez le nom de domaine racine de la forêt distant avec laquelle vous souhaitez créer une relation d'approbation de type "Forêt".
Comme le domaine source et le domaine spécifié sont des domaines racines, l'assistant vous demande si vous souhaitez créer :
- une approbation externe : une approbation uniquement entre ces 2 domaines racines. Approbation qui n'est pas transitive.
- une approbation de forêt : une approbation entre les 2 forêts concernées par les 2 domaines racines spécifiés (celui sur lequel vous vous trouvez et celui que vous venez d'indiquer à l'étape précédente)
Dans ce cas-ci, nous allons créer une approbation de forêt.
L'assistant vous demande dans quel(s) sens vous souhaitez créer cette approbation :
- Bidirectionnelle : dans les 2 sens
- Sens unique - en entrée : les utilisateurs de la forêt source (dans notre cas : informatiweb.lan) pourront être authentifiés dans la forêt de destination (dans notre cas : informatiweb-pro.lan)
- Sens unique - en sortie : les utilisateurs de la forêt de destination (dans notre cas : informatiweb-pro.lan) pourront être authentifiés dans la forêt source (dans notre cas : informatiweb.lan)
Pour qu'une relation d'approbation puisse être utilisée entre 2 forêts, il faut que l'approbation soit créée dans la forêt source et celle de destination.
Le plus simple est donc de sélectionner l'option "Ce domaine et le domaine spécifié" si vous connaissez les identifiants d'un compte permettant de créer des relations d'approbation dans la forêt distante.
Si vous avez choisi l'option "Ce domaine et le domaine spécifié", l'assistant vous demandera les identifiants du compte à utiliser dans la forêt distante pour créer la relation d'approbation entre vos 2 forêts.
Lorsque vous créez une relation d'approbation entre 2 forêts, l'assistant vous propose de choisir entre :
- Authentification pour toutes les ressources de la forêt : qui permet aux utilisateurs de pouvoir s'authentifier pour toutes les ressources disponibles dans la forêt locale (forêt source) depuis la forêt spécifiée (forêt de destination)
- Authentification sélective : limiter l'accès aux ressources de votre forêt locale (forêt source)
Ensuite, l'assistant vous posera la même question, mais pour le sens inverse.
Un résumé de la configuration de vos approbations de forêts s'affiche.
Cliquez sur Suivant pour les créer.
Une fois les relations d'approbations de forêts créées, cliquez à nouveau sur Suivant.
Confirmez l'approbation sortante et/ou entrante pour que cette relation d'approbation de forêts puisse être utilisée.
La relation d'approbation entre vos 2 forêts (dans notre cas "informatiweb.lan" et "informatiweb-pro.lan") a été créée.
Si vous retournez dans l'onglet "Approbations" des propriétés de votre domaine racine source, vous verrez qu'une approbation sortante et une approbation entrante ont été créées avec la forêt distante.
Notez que la relation d'approbation créée est de type transitive. Il est donc important de savoir ce que cela implique en termes de sécurité.
3. Propriétés de l'approbation de forêts
Pour afficher les propriétés de ces relations d'approbation, sélectionnez celle souhaitée et cliquez sur : Propriétés.
Les propriétés de votre approbation de forêt apparaissent avec :
- le domaine racine de la forêt locale : informatiweb.lan
- le domaine racine de la forêt distante : informatiweb-pro.lan
- une case indiquant si le domaine distant supporte le chiffrement AES via Kerberos ou non
- la direction de l'approbation : bidirectionnel (dans ce cas-ci)
- une information indiquant que cette approbation est transitive dans la forêt
- un bouton "Valider" permettant de confirmer cette approbation (si vous ne l'avez pas déjà fait précédemment lors de sa création)
Dans l'onglet "Routage des suffixes de noms", vous verrez que le routage pour les suffixes de noms disponibles dans la forêt distante est activé par défaut.
Pour finir, vous pourrez à tout moment restreindre ou non l'authentification pour toutes les ressources de la forêt distante si vous le souhaitez.
4. Test de connexion sur un PC client depuis la forêt distante
Nous créons un nouvel utilisateur sur notre forêt distante.
Puis, nous nous connectons sur un PC client lié à notre domaine local "informatiweb.lan" avec le compte que nous venons de créer dans la forêt distante "informatiweb-pro.lan".
Comme vous pouvez le voir, cela fonctionne, car la relation d'approbation entre nos 2 forêts est bidirectionnelle et elle autorise donc les utilisateurs d'une forêt à s'authentifier dans l'autre forêt.
5. Supprimer une approbation
Pour supprimer une approbation de forêts, sélectionnez l'approbation sortante et/ou entrante, puis cliquez sur : Supprimer.
Dans notre cas, nous avions créé une approbation bidirectionnelle.
Donc, nous sélectionnons l'approbation sortante et nous cliquons sur Supprimer.
Sélectionnez "Oui, supprimer l'approbation du domaine local et de l'autre domaine" et indiquez les identifiants d'un compte possédant des droits d'administration dans la forêt distante.
Confirmez la suppression de cette approbation sortante.
Une fois l'approbation sortante supprimée, sélectionnez l'approbation entrante correspondante et cliquez sur "Supprimer".
Indiquez les identifiants d'un compte pouvant administrer la forêt distante.
Confirmez la suppression de l'approbation entrante.
Les approbations sont supprimées.
Partager ce tutoriel
A voir également
-
Windows Server 16/4/2021
Windows Server - AD DS - Comment fonctionne la réplication Active Directory
-
Windows Server 3/4/2021
Windows Server - AD DS - Les bases de l'Active Directory
-
Windows Server 30/4/2021
Windows Server - AD DS - Présentation des niveaux fonctionnels Active Directory
-
Windows Server 21/5/2021
WS 2016 - AD DS - Ajouter un contrôleur de domaine à un domaine AD existant
Vous devez être connecté pour pouvoir poster un commentaire