Descriptions des pages des Assistants Installation et Suppression des services de domaine Active DirectoryAD DS Installation and Removal Wizard Page Descriptions

S'applique à : Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Cette rubrique décrit les commandes figurant sur les pages des Assistants suivants en rapport avec l’installation et la suppression du rôle serveur AD DS dans le Gestionnaire de serveur.This topic provides descriptions for the controls on the following wizard pages that comprise the AD DS server role installation and removal in Server Manager.

Configuration du déploiementDeployment Configuration

Dans le Gestionnaire de serveur, chaque installation d’un contrôleur de domaine débute par la page Configuration de déploiement.Server Manager begins every domain controller installation with the Deployment Configuration page. Dans cette page et les pages suivantes, les options disponibles et les champs requis varient selon l’opération de déploiement que vous sélectionnez.The remaining options and required fields change on this page and subsequent pages, depending on which deployment operation you select. Par exemple, si vous créez une forêt, la page options de préparation n’apparaît pas, mais c’est le cas si vous installez le premier contrôleur de domaine qui exécute Windows Server 2012 dans une forêt ou un domaine existant.For example, if you create a new forest, the Preparation Options page does not appear, but it does if you install the first domain controller that runs Windows Server 2012 in an existing forest or domain.

Des tests de validation sont effectués sur cette page et, par la suite, dans le cadre de la vérification de la configuration requise.Some validations tests are performed on this page, and again later as part of prerequisite checks. Par exemple, si vous essayez d’installer le premier contrôleur de domaine Windows Server 2012 dans une forêt qui a le niveau fonctionnel Windows 2000, une erreur s’affiche sur cette page.For example, if you try to install the first Windows Server 2012 domain controller in a forest that has Windows 2000 functional level, an error appears on this page.

Les options suivantes apparaissent lorsque vous créez une forêt.The following options appear when you create a new forest.

AD DS installer

  • Lorsque vous créez une forêt, vous devez spécifier le nom du domaine racine de forêt.When you create a new forest, you must specify a name for the forest root domain. Le nom de domaine racine de la forêt ne peut pas être à étiquette unique (par exemple, il doit être « contoso.com » au lieu de « Contoso »).The forest root domain name cannot be single-labeled (for example, it must be "contoso.com" instead of "contoso"). Il doit respecter les conventions d’affectation des noms des domaines DNS.It must use allowed DNS domain naming conventions. Vous pouvez spécifier un nom de domaine international.You can specify an Internationalized Domain Name (IDN). Pour plus d’informations sur les conventions d’affectation des noms de domaine DNS, voir l’article 909264 de la Base de connaissances Microsoft.For more information about DNS domain naming conventions, see KB 909264.

  • Ne créez pas de forêts Active Directory portant le même nom que votre nom DNS externe.Do not create new Active Directory forests with the same name as your external DNS name. Par exemple, si votre URL DNS Internet est http : //contoso. com, vous devez choisir un nom différent pour votre forêt interne afin d’éviter d’éventuels problèmes de compatibilité.For example, if your Internet DNS URL is http://contoso.com, you must choose a different name for your internal forest to avoid future compatibility issues. Ce nom doit être unique et faire l’objet d’une utilisation peu probable en termes de trafic Web, comme corp.contoso.com.That name should be unique and unlikely for web traffic, such as corp.contoso.com.

  • Vous devez être membre du groupe Administrateurs sur le serveur sur lequel vous voulez créer une forêt.You must be a member of Administrators group on the server where you want to create a new forest.

Pour plus d’informations sur la création d’une forêt, voir installer un nouveau Windows Server 2012 Active Directory (au niveau)de la forêt 200.For more information about how to create a forest, see Install a New Windows Server 2012 Active Directory Forest (Level 200).

Les options suivantes apparaissent lorsque vous créez un domaine.The following options appear when you create a new domain.

AD DS installer

Notes

Si vous créez un domaine d’arborescence, vous devez spécifier le nom du domaine racine de forêt à la place du domaine parent, mais les pages et les options restantes de l’Assistant restent les mêmes.If you create a new tree domain, you need to specify the name of the forest root domain instead of the parent domain, but the remaining wizard pages and options are the same.

  • Cliquez sur Sélectionner pour accéder au domaine parent ou à l’arborescence Active Directory, ou bien tapez un domaine parent valide ou un nom d’arborescence.Click Select to browse to the parent domain or Active Directory tree, or type a valid parent domain or tree name. Tapez ensuite le nom du nouveau domaine dans Nouveau nom de domaine.Then type the name of the new domain in New domain name.

  • Domaine d’arborescence : entrez un nom de domaine racine complet valide ; le nom ne doit pas être en une partie et doit satisfaire aux conditions d’attribution des noms de domaine DNS.Tree domain: provide a valid, fully qualified root domain name; the name cannot be single-labeled and must use DNS domain name requirements.

  • Domaine enfant : entrez un nom de domaine enfant en une partie valide ; le nom doit satisfaire aux conditions d’attribution des noms de domaine DNS.Child domain: provide a valid, single-label child domain name; the name must use DNS domain name requirements.

  • L’Assistant Configuration des services de domaine Active Directory vous invite à entrer les informations d’identification du domaine si vos informations d’identification actuelles ne proviennent pas du domaine.The Active Directory Domain Services Configuration Wizard prompts you for domain credentials if your current credentials are not from the domain. Cliquez sur Modifier pour entrer les informations d’identification du domaine.Click Change to provide domain credentials.

Pour plus d’informations sur la création d’un domaine, voir installer un nouveau Windows Server 2012 Active Directory niveau de domaine (enfant ou)d’arborescence 200.For more information about how to create a domain, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).

Les options suivantes apparaissent lorsque vous ajoutez un nouveau contrôleur de domaine à un domaine existant.The following options appear when you add a new domain controller to an existing domain.

AD DS installer

  • Cliquez sur Sélectionner pour accéder au domaine ou tapez un nom de domaine valide.Click Select to browse to the domain, or type a valid domain name.

  • Le cas échéant, le Gestionnaire de serveur vous invite à entrer des informations d’identification valides.Server Manager prompts you for valid credentials if needed. Pour installer un contrôleur de domaine supplémentaire, vous devez être membre du groupe Admins du domaine.Installing an additional domain controller requires membership in the Domain Admins group.

    En outre, l’installation du premier contrôleur de domaine qui exécute Windows Server 2012 dans une forêt nécessite des informations d’identification qui incluent des appartenances aux groupes dans les groupes Administrateurs de l’entreprise et administrateurs du schéma.In addition, installing the first domain controller that runs Windows Server 2012 in a forest requires credentials that include group memberships in both the Enterprise Admins and Schema Admins groups. L’Assistant Configuration des services de domaine Active Directory vous avertit par la suite si vos informations d’identification actuelles ne comptent pas les autorisations ou les appartenances aux groupes appropriées.The Active Directory Domain Services Configuration Wizard prompts you later if your current credentials do not have adequate permissions or group memberships.

Pour plus d’informations sur l’ajout d’un contrôleur de domaine à un domaine existant, voir installer un contrôleur de domaine Windows Server 2012 de réplication dans un domaine (existant au niveau 200).For more information about how to add a domain controller to an existing domain, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

Options du contrôleur de domaineDomain Controller Options

Si vous créez une forêt, la page Options du contrôleur de domaine recense les options suivantes :If you are creating a new forest, the Domain Controller Options page has these options:

AD DS installer

  • Les niveaux fonctionnels de forêt et de domaine sont définis sur Windows Server 2012 par défaut.The forest and domain functional levels are set to Windows Server 2012 by default.

    Une nouvelle fonctionnalité est disponible au niveau fonctionnel du domaine Windows Server 2012 : la stratégie de modèle d’administration du centre de gestion des droits relatifs à l’Access Control et au blindage Kerberos a deux paramètres (toujours fournir des revendications et une authentification non blindée demandes) qui nécessitent le niveau fonctionnel de domaine Windows Server 2012.There is one new feature available at the Windows Server 2012 domain functional level: the Support for Dynamic Access Control and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Pour plus d’informations, consultez « prise en charge des revendications, de l’authentification composée et du blindage Kerberos » dans Nouveautés de l’authentification Kerberos.For more information, see "Support for claims, compound authentication and Kerberos armoring" in What's new in Kerberos Authentication.
    Le niveau fonctionnel de la forêt Windows Server 2012 ne fournit aucune nouvelle fonctionnalité, mais il garantit que tout nouveau domaine créé dans la forêt fonctionne automatiquement au niveau fonctionnel du domaine Windows Server 2012.The Windows Server 2012 forest functional level does not provide any new features, but it ensures that any new domain created in the forest will automatically operate at the Windows Server 2012 domain functional level. Le niveau fonctionnel de domaine Windows Server 2012 ne fournit pas de nouvelles fonctionnalités en plus de la prise en charge des Access Control dynamiques et du blindage Kerberos, mais il garantit que tous les contrôleurs de domaine du domaine exécutent Windows Server 2012.The Windows Server 2012 domain functional level does not provide any new other features beside support for Dynamic Access Control and Kerberos armoring, but it ensures that any domain controller in the domain runs Windows Server 2012 . Pour plus d’informations sur les autres fonctionnalités disponibles à différents niveaux fonctionnels, voir Présentation des niveaux fonctionnels des services de domaine Active Directory (AD DS).For more information about other features that are available at different functional levels, see Understanding Active Directory Domain Services (AD DS) Functional Levels.

    Au-delà des niveaux fonctionnels, un contrôleur de domaine qui exécute Windows Server 2012 fournit des fonctionnalités supplémentaires qui ne sont pas disponibles sur un contrôleur de domaine qui exécute une version antérieure de Windows Server.Beyond functional levels, a domain controller that runs Windows Server 2012 provides additional features that are not available on a domain controller that runs an earlier version of Windows Server. Par exemple, un contrôleur de domaine qui exécute Windows Server 2012 peut être utilisé pour le clonage de contrôleur de domaine virtuel, alors qu’un contrôleur de domaine qui exécute une version antérieure de Windows Server ne le peut pas.For example, a domain controller that runs Windows Server 2012 can be used for virtual domain controller cloning, whereas a domain controller that runs an earlier version of Windows Server cannot.

  • Le serveur DNS est sélectionné par défaut lorsque vous créez une forêt.DNS server is selected by default when you create a new forest. Le premier contrôleur de domaine dans la forêt doit être un serveur de catalogue global. Il ne peut pas s’agir d’un contrôleur de domaine en lecture seule.The first domain controller in the forest must be a global catalog (GC) server, and it cannot be a read only domain controller (RODC).

  • Le mot de passe du mode de restauration des services d’annuaire (DSRM) est requis pour ouvrir une session sur un contrôleur de domaine où les services AD DS ne s’exécutent pas.The Directory Services Restore Mode (DSRM) password is needed in order to log on to a domain controller where AD DS is not running. Le mot de passe que vous spécifiez doit respecter la stratégie de mot de passe appliquée au serveur. Celle-ci, par défaut, ne requiert pas un mot de passe fort, mais seulement un mot de passe non vide.The password you specify must adhere to the password policy applied to the server, which by default does not require a strong password; only a non-blank password. Choisissez toujours un mot de passe fort complexe ou, de préférence, une phrase secrète.Always choose a strong, complex password or preferably, a passphrase. Pour plus d’informations sur la façon synchroniser le mot de passe DSRM avec le mot de passe d’un compte utilisateur de domaine, voir l’l’article 961320 de la Base de connaissances Microsoft.For information about how to synchronize the DSRM password with the password of a domain user account, see KB 961320.

Pour plus d’informations sur la création d’une forêt, voir installer un nouveau Windows Server 2012 Active Directory (au niveau)de la forêt 200.For more information about how to create a forest, see Install a New Windows Server 2012 Active Directory Forest (Level 200).

Si vous créez un domaine enfant, la page Options du contrôleur de domaine recense les options suivantes :If you are creating a child domain, the Domain Controller Options page has these options:

AD DS installer

  • Le niveau fonctionnel du domaine est défini sur Windows Server 2012 par défaut.The domain functional level is set to Windows Server 2012 by default. Vous pouvez spécifier n’importe quelle autre valeur tant que celle-ci est au moins égale à la valeur du niveau fonctionnel de la forêt.You can specify any other value that is at least the value of the forest functional level or higher.

  • Parmi les options du contrôleur de domaine configurables figurent Serveur DNS et Catalogue global. Notez que vous ne pouvez pas configurer un contrôleur de domaine en lecture seule comme premier contrôleur de domaine dans un nouveau domaine.The configurable domain controller options include DNS server and Global Catalog; you cannot configure read-only domain controller as the first domain controller in a new domain.

    Microsoft recommande que tous les contrôleurs de domaine fournissent des services DNS et de catalogue global à des fins de haute disponibilité dans les environnements distribués. Ces options sont donc activées par défaut dans l’Assistant lors de la création d’un domaine.Microsoft recommends that all domain controllers provide DNS and global catalog services for high availability in distributed environments, which is why the wizard enables these options by default when creating a new domain.

  • La page Options du contrôleur de domaine vous permet également de choisir le nom de site logique Active Directory approprié à partir de la configuration de la forêt.The Domain Controller Options page also enables you to choose the appropriate Active Directory logical site name from the forest configuration. Par défaut, le sous-réseau le mieux adapté est sélectionné.By default, it selects the site with the most correct subnet. S’il n’y a qu’un site, celui-ci est automatiquement sélectionné.If there is only one site, it selects that site automatically.

    Important

    Si le serveur n’appartient pas à un sous-réseau Active Directory et que plusieurs sites existent, rien n’est sélectionné et le bouton Suivant n’apparaît que lorsque vous choisissez un site dans la liste.If the server does not belong to an Active Directory subnet and there is more than one site, nothing is selected and the Next button is unavailable until you choose a site from the list.

Pour plus d’informations sur la création d’un domaine, voir installer un nouveau Windows Server 2012 Active Directory niveau de domaine (enfant ou)d’arborescence 200.For more information about how to create a domain, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).

Si vous ajoutez un contrôleur de domaine à un domaine, la page Options du contrôleur de domaine recense les options suivantes :If you are adding a domain controller to a domain, the Domain Controller Options page has these options:

AD DS installer

  • Parmi les options du contrôleur de domaine configurables figurent Serveur DNS, Catalogue global et Contrôleur de domaine en lecture seule.The configurable domain controller options include DNS server and Global Catalog, and Read-only domain controller.

    Microsoft recommande que tous les contrôleurs de domaine fournissent des services DNS et de catalogue global à des fins de haute disponibilité dans les environnements distribués. Ces options sont donc activées par défaut dans l’Assistant.Microsoft recommends that all domain controllers provide DNS and global catalog services for high availability in distributed environments, which is why the wizard enables these options by default. Pour plus d’informations sur le déploiement de contrôleurs de domaine en lecture seule, voir le guide de planification et de déploiement relatif aux contrôleurs de domaine en lecture seule.For more information about deploying RODCs, see Read-Only Domain Controller Planning and Deployment Guide.

Pour plus d’informations sur l’ajout d’un contrôleur de domaine à un domaine existant, voir installer un contrôleur de domaine Windows Server 2012 de réplication dans un domaine (existant au niveau 200).For more information about how to add a domain controller to an existing domain, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

Options DNSDNS Options

Si vous installez Serveur DNS, la page Options DNS suivante s’affiche :If you install DNS server, the following DNS Options page appears:

AD DS installer

Lorsque vous installez Serveur DNS, des enregistrements de délégation qui pointent vers le serveur DNS comme faisant autorité pour la zone doivent être créés dans la zone DNS (Domain Name System) parente.When you install DNS server, delegation records that point to the DNS server as authoritative for the zone should be created in the parent Domain Name System (DNS) zone. Les enregistrements de délégation transfèrent l’autorité en matière de résolution de noms et fournissent une référence correcte aux autres serveurs et clients DNS pour les nouveaux serveurs faisant autorité pour la nouvelle zone.Delegation records transfer name resolution authority and provide correct referral to other DNS servers and clients of the new servers that are being made authoritative for the new zone. Il s’agit des enregistrements de ressources suivants :These resource records include the following:

  • Un enregistrement de serveur de noms (NS) pour rendre la délégation effective.A name server (NS) resource record to effect the delegation. Cet enregistrement de ressource annonce que le serveur nommé ns1.na.example.microsoft.com est un serveur faisant autorité pour le sous-domaine délégué.This resource record advertises that the server named ns1.na.example.microsoft.com is an authoritative server for the delegated subdomain.

  • Un enregistrement de ressource hôte (A ou AAAA) également appelé « enregistrement de Glue » doit être présent pour résoudre le nom du serveur spécifié dans l’enregistrement de ressource de serveur de noms (NS) sur son adresse IP.A host (A or AAAA) resource record also known as a glue record must be present to resolve the name of the server that is specified in the name server (NS) resource record to its IP address. Le processus consistant à résoudre le nom de l’hôte dans cet enregistrement de ressource par le serveur DNS délégué dans l’enregistrement de serveur de noms est parfois appelé « recherche d’enregistrements de type glue ».The process of resolving the host name in this resource record to the delegated DNS server in the name server (NS) resource record is sometimes referred to as "glue chasing."

Vous pouvez configurer l’Assistant Configuration des services de domaine Active Directory de manière à ce qu’il les crée automatiquement.You can have the Active Directory Domain Services Configuration Wizard create them automatically. L’Assistant vérifie que les enregistrements appropriés existent dans la zone DNS parente une fois que vous avez cliqué sur Suivant dans la page Options du contrôleur de domaine.The wizard verifies that the appropriate records exist in the parent DNS zone after you click Next on the Domain Controller Options page. Si l’Assistant ne peut pas vérifier que les enregistrements existent dans le domaine parent, l’Assistant vous donne l’option de créer automatiquement une délégation DNS pour un nouveau domaine (ou de mettre à jour la délégation existante) avant de poursuivre l’installation du nouveau contrôleur de domaine.If the wizard cannot verify that the records exist in the parent domain, the wizard provides you with the option to create a new DNS delegation for a new domain (or update the existing delegation) automatically and continue with the new domain controller installation.

Vous pouvez également créer ces enregistrements de délégation DNS avant d’installer le serveur DNS.Alternatively, you can create these DNS delegation records before you install DNS server. Pour créer une délégation de zone, ouvrez le Gestionnaire DNS, cliquez avec le bouton droit sur le domaine parent, puis cliquez sur Nouvelle délégation.To create a zone delegation, open DNS Manager, right-click the parent domain, and then click New Delegation. Suivez les étapes de l’Assistant Nouvelle délégation pour créer la délégation.Follow the steps in the New Delegation Wizard to create the delegation.

Le processus d’installation tente de créer la délégation pour vérifier que les ordinateurs des autres domaines peuvent résoudre les requêtes DNS pour les hôtes, notamment les contrôleurs de domaine et les ordinateurs membres, dans le sous-domaine DNS.The installation process tries to create the delegation to ensure that computers in other domains can resolve DNS queries for hosts, including domain controllers and member computers, in the DNS subdomain. Notez que les enregistrements de délégation ne peuvent être automatiquement créés que sur des serveurs DNS Microsoft.Note that the delegation records can be automatically created only on Microsoft DNS servers. Si la zone de domaine DNS parente réside sur des serveurs DNS tiers tels que BIND, un avertissement vous informant de l’impossibilité de créer les enregistrements de délégation DNS apparaît sur la page Vérification de la configuration requise.If the parent DNS domain zone resides on third party DNS servers such as BIND, a warning about the failure to create DNS delegation records appears on the Prerequisites check page. Pour plus d’informations sur l’avertissement, voir Problèmes connus liés à l’installation des services de domaine Active Directory (AD DS).For more information about the warning, see Known issues for installing AD DS.

Il est possible de créer et de valider des délégations entre le domaine parent et le sous-domaine qui est promu avant ou après l’installation.Delegations between the parent domain and the subdomain being promoted can be created and validated before or after the installation. Il n’y a aucune raison de différer l’installation d’un nouveau contrôleur de domaine si vous ne pouvez pas créer ou mettre à jour la délégation DNS.There is no reason to delay the installation of a new domain controller because you cannot create or update the DNS delegation.

Pour plus d’informations sur la délégation, voir présentation de la délégation de zone (https://go.microsoft.com/fwlink/?LinkId=164773).For more information about delegation, see Understanding Zone Delegation (https://go.microsoft.com/fwlink/?LinkId=164773). Si la délégation de zone n’est pas possible dans votre situation, vous pouvez envisager d’autres méthodes pour assurer la résolution de noms à partir d’autres domaines aux hôtes de votre domaine.If zone delegation is not possible in your situation, you might consider other methods for providing name resolution from other domains to the hosts in your domain. Par exemple, l’administrateur DNS d’un autre domaine pourrait configurer des zones de stub de transfert conditionnel, ou des zones secondaires pour résoudre des noms dans votre domaine.For example, the DNS administrator of another domain could configure conditional forwarding, stub-zones, or secondary zones in order to resolve names in your domain. Pour plus d’informations, consultez les rubriques suivantes :For more information, see the following topics:

Options RODCRODC Options

Les options suivantes apparaissent lorsque vous installez un contrôleur de domaine en lecture seule (RODC).The following options appear when you install a read-only domain controller (RODC).

AD DS installer

  • Les comptes d’administrateurs délégués se voient octroyer des autorisations administratives locales au contrôleur de domaine en lecture seule.Delegated administrator accounts gain local administrative permissions to the RODC. Ces utilisateurs peuvent utiliser des privilèges équivalents au groupe administrateurs de l’ordinateur local.These users can operate with privileges equivalent to the local computer's Administrators group. Ils ne sont membres ni du groupe Admins du domaine ni du groupe Administrateurs intégré au domaine.They are not members of the Domain Admins or the domain built-in Administrators groups. Cette option est utile pour déléguer l’administration de filiales sans octroyer d’autorisations administratives au domaine.This option is useful for delegating branch office administration without giving out domain administrative permissions. La configuration de la délégation de l’administration n’est pas requise.Configuring delegation of administration is not required. Pour plus d’informations, voir Séparation des rôles d’administrateur.For more information, see Administrator Role Separation.

  • La stratégie de réplication de mot de passe joue le rôle de liste de contrôle d’accès.The Password Replication Policy acts as an access control list (ACL). Elle détermine si un contrôleur de domaine en lecture seule est autorisé à mettre en cache un mot de passe.It determines if an RODC should be permitted to cache a password. Lorsque le contrôleur de domaine en lecture seule reçoit une demande d’ouverture de session d’un utilisateur ou d’un d’ordinateur authentifié, il se rapporte à la Stratégie de réplication de mot de passe pour déterminer si le mot de passe pour le compte doit être mis en cache.After the RODC receives an authenticated user or computer logon request, it refers to the Password Replication Policy to determine if the password for the account should be cached. Lors des ouvertures de session suivantes, le même compte peut alors opérer plus efficacement.The same account can then perform subsequent logons more efficiently.

    La Stratégie de réplication de mot de passe (PRP) répertorie les comptes dont les mots de passe sont autorisés à être mis en cache et les comptes pour lesquels la mise en cache des mots de passe est explicitement refusée.The Password Replication Policy (PRP) lists the accounts whose passwords are allowed to be cached, and accounts whose passwords are explicitly denied from being cached. Même si des comptes d’utilisateurs et d’ordinateurs étant autorisés à être mis en cache figurent dans la liste, cela ne signifie pas nécessairement que le contrôleur de domaine en lecture seule a mis en cache les mots de passe pour ces comptes.The list of user and computer accounts that are permitted to be cached does not imply that the RODC has necessarily cached the passwords for those accounts. Un administrateur peut, par exemple, spécifier à l’avance les comptes qu’un contrôleur de domaine en lecture seule mettra en cache.An administrator can, for example, specify in advance any accounts that an RODC will cache. De cette façon, le contrôleur de domaine en lecture seule peut authentifier ces comptes, même si le lien WAN vers le site hub est hors connexion.This way, the RODC can authenticate those accounts, even if the WAN link to the hub site is offline.

    Les utilisateurs ou ordinateurs qui ne sont pas autorisés (même implicitement) ou qui font l’objet d’un refus ne mettent pas en cache leur mot de passe.Any users or computers who are not allowed (including implicit) or denied do not cache their password. Si ces utilisateurs ou ordinateurs n’ont pas accès à un contrôleur de domaine accessible en écriture, ils ne peuvent pas accéder aux ressources ou aux fonctionnalités fournies par les services AD DS.If those users or computers do not have access to a writable domain controller, they cannot access AD DS-provided resources or functionality. Pour plus d’informations sur la stratégie de réplication de mot de passe, voir Stratégie de réplication de mot de passe.For more information about the PRP, see Password Replication Policy. Pour plus d’informations sur la gestion de la stratégie de réplication de mot de passe, voir Administration de la stratégie de réplication de mot de passe.For more information about managing the PRP, see Administering the Password Replication Policy.

Pour plus d’informations sur l’installation des contrôleurs de domaine en lecture seule, consultez Installation d' (un) (contrôleur de)domaine Windows Server 2012 Active Directory niveau de contrôleur de domaine en lecture seule 200.For more information about installing RODCs, see Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200).

Options supplémentairesAdditional Options

L’option suivante apparaît dans la page Options supplémentaires lorsque vous créez un domaine :The following option appears on the Additional Options page if you are creating a new domain:

AD DS installer

Les options suivantes apparaissent dans la page Options supplémentaires lorsque vous installez un contrôleur de domaine supplémentaire dans un domaine existant :The following options appear on the Additional Options page if you install an additional domain controller in an existing domain:

AD DS installer

  • Vous pouvez soit spécifier un contrôleur de domaine comme source de réplication, soit autoriser l’Assistant à choisir n’importe quel contrôleur de domaine comme source de réplication.You can either specify a domain controller as the replication source, or allow the wizard to choose any domain controller as the replication source.

  • Vous pouvez également choisir d’installer le contrôleur de domaine à partir d’un support sauvegardé à l’aide de l’option Installation à partir du support (IFM).You can also choose to install the domain controller using backed up media using the Install from media (IFM) option. Si le support d’installation est stocké localement, l’option Installation à partir du support vous permet d’accéder à l’emplacement du fichier.If the installation media is stored locally, the Install from media Path option allows you to browse to the file location. L’option Parcourir n’est pas disponible dans le cadre d’une installation à distance.The browse option is not available for a remote installation. Vous pouvez cliquer sur Vérifier pour vous assurer que le chemin d’accès fourni pointe vers un support valide.You can click Verify to ensure the provided path is valid media. Le support utilisé par l’option IFM doit être créé avec Sauvegarde Windows Server ou Ntdsutil. exe à partir d’un autre ordinateur Windows Server 2012 existant uniquement ; vous ne pouvez pas utiliser un système d’exploitation Windows Server 2008 R2 ou antérieur pour créer un média pour un contrôleur de domaine Windows Server 2012.Media used by the IFM option must be created with Windows Server Backup or Ntdsutil.exe from another existing Windows Server 2012 computer only; you cannot use a Windows Server 2008 R2 or previous operating system to create media for a Windows Server 2012 domain controller. Si le support est protégé avec SYSKEY, le Gestionnaire de serveur vous invite à entrer le mot de passe de l’image pendant la vérification.If the media is protected with a SYSKEY, Server Manager prompts for the image's password during verification.

Pour plus d’informations sur la création d’un domaine, voir installer un nouveau Windows Server 2012 Active Directory niveau de domaine (enfant ou)d’arborescence 200.For more information about how to create a domain, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200). Pour plus d’informations sur l’ajout d’un contrôleur de domaine à un domaine existant, voir installer un contrôleur de domaine Windows Server 2012 de réplication dans un domaine (existant au niveau 200).For more information about how to add a domain controller to an existing domain, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).

TrajetPaths

Les options suivantes apparaissent dans la page Chemins d’accès.The following options appear on the Paths page.

AD DS installer

  • La page Chemins d’accès vous permet de remplacer les emplacements de dossier par défaut de la base de données AD DS, des journaux de transaction de base de données et du partage SYSVOL.The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Les emplacements par défaut sont toujours dans %systemroot%.The default locations are always in %systemroot%.

Spécifiez l’emplacement de la base de données AD DS (NTDS.DIT), des fichiers journaux et de SYSVOL.Specify the location for the AD DS database (NTDS.DIT), log files, and SYSVOL. Pour une installation locale, vous pouvez accéder à l’emplacement où vous voulez stocker les fichiers.For a local installation, you can browse to the location where you want to store the files.

Options de préparationPreparation Options

AD DS installer

Si vous n’êtes pas actuellement connecté avec des informations d’identification suffisantes pour exécuter les commandes adprep.exe et que l’exécution d’adprep est requise afin d’effectuer l’installation des services AD DS, vous êtes invité à entrer des informations d’identification pour exécuter adprep.exe.If you are not currently logged on with sufficient credentials to run adprep.exe commands and adprep is required to run in order to complete the AD DS installation, you are prompted to supply credentials to run adprep.exe. Adprep doit être exécuté pour ajouter le premier contrôleur de domaine qui exécute Windows Server 2012 à un domaine ou une forêt existant.Adprep is required to run in order to add the first domain controller that runs Windows Server 2012 to an existing domain or forest. Plus spécifiquement :More specifically:

  • Adprep/forestprep doit être exécuté pour ajouter le premier contrôleur de domaine qui exécute Windows Server 2012 à une forêt existante.Adprep /forestprep must be run to add the first domain controller that runs Windows Server 2012 to an existing forest. Cette commande doit être exécutée par un membre du groupe Administrateurs de l’entreprise, du groupe Administrateurs du schéma et du groupe Admins du domaine dans le domaine qui héberge le contrôleur de schéma.This command must be run by a member of the Enterprise Admins group, the Schema Admins group, and the Domain Admins group of the domain that hosts the schema master. Pour que cette commande s’exécute correctement, une connectivité doit être établie entre l’ordinateur sur lequel vous exécutez la commande et le contrôleur de schéma pour la forêt.For this command to complete successfully, there must be connectivity between the computer where you run the command and the schema master for the forest.

  • Adprep/domainprep doit être exécuté pour ajouter le premier contrôleur de domaine qui exécute Windows Server 2012 à un domaine existant.Adprep /domainprep must be run to add the first domain controller that runs Windows Server 2012 to an existing domain. Cette commande doit être exécutée par un membre du groupe Admins du domaine du domaine dans lequel vous installez le contrôleur de domaine qui exécute Windows Server 2012.This command must be run by a member of the Domain Admins group of the domain where you are installing the domain controller that runs Windows Server 2012 . Pour que cette commande s’exécute correctement, une connectivité doit être établie entre l’ordinateur sur lequel vous exécutez la commande et le maître d’infrastructure pour le domaine.For this command to complete successfully, there must be connectivity between the computer where you run the command and the infrastructure master for the domain.

  • Vous devez exécuter la commande adprep /rodcprep pour ajouter le premier contrôleur de domaine en lecture seule à une forêt existante.Adprep /rodcprep must be run to add the first RODC to an existing forest. Cette commande doit être exécutée par un membre du groupe Administrateurs de l’entreprise.This command must be run by a member of the Enterprise Admins group. Pour que cette commande s’exécute correctement, une connectivité doit être établie entre l’ordinateur sur lequel vous exécutez la commande et le maître d’infrastructure pour chaque partition de l’annuaire d’applications dans la forêt.For this command to complete successfully, there must be connectivity between the computer where you run the command and the infrastructure master for each application directory partition in the forest.

Pour plus d’informations sur adprep. exe, voir intégration d’Adprep. exe et exécution d’Adprep . exe.For more information about Adprep.exe, see Adprep.exe integration and see Running Adprep.exe.

Options de révisionReview Options

AD DS installer

  • La page Examiner les options vous permet de valider vos paramètres et de vérifier qu’ils répondent à vos exigences avant le démarrage de l’installation.The Review Options page enables you to validate your settings and ensure that they meet your requirements before you start the installation. Notez que vous avez encore la possibilité d’arrêter l’installation à l’aide du Gestionnaire de serveur.This is not the last opportunity to stop the installation using Server Manager. Cette page vous permet simplement d’examiner et de confirmer vos paramètres avant de poursuivre la configuration.This page simply enables you to review and confirm your settings before continuing the configuration.

  • La page Examiner les options du Gestionnaire de serveur offre également un bouton Afficher le script facultatif pour créer un fichier texte Unicode qui contient la configuration ADDSDeployment actuelle sous forme d’un script Windows PowerShell unique.The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Vous pouvez ainsi utiliser l’interface graphique Gestionnaire de serveur sous forme d’un studio de déploiement Windows PowerShell.This enables you to use the Server Manager graphical interface as a Windows PowerShell deployment studio. Utilisez l’Assistant Configuration des services de domaine Active Directory pour configurer les options, exportez la configuration, puis annulez l’Assistant.Use the Active Directory Domain Services Configuration Wizard to configure options, export the configuration, and then cancel the wizard. Ce processus crée un exemple valide et correct du point de vue syntaxique pour permettre des modifications ultérieures ou une utilisation directe.This process creates a valid and syntactically correct sample for further modification or direct use.

Vérification de la configuration requisePrerequisites Check

AD DS installer

Parmi les avertissements qui apparaissent sur cette page, citons les suivants :Some of the warnings that appear on this page include:

  • Les contrôleurs de domaine qui exécutent Windows Server 2008 ou une version ultérieure ont un paramètre par défaut « autoriser les algorithmes de chiffrement compatibles avec Windows NT 4 » qui empêche les algorithmes de chiffrement plus faibles lors de l’établissement de sessions de canal sécurisé.Domain controllers that run Windows Server 2008 or later have a default setting for "Allow cryptography algorithms compatible with Windows NT 4" that prevents weaker cryptography algorithms when establishing secure channel sessions. Pour plus d’informations sur l’impact potentiel et une solution de contournement, voir l’article 942564 de la Base de connaissances.For more information about the potential impact and a workaround, see KB article 942564.

  • Impossible de créer ou de mettre à jour la délégation DNS.DNS delegation could not be created or updated. Pour plus d’informations, voir Options DNS.For more information, see DNS Options.

  • La vérification de la configuration requise nécessite des appels WMI.The prerequisite check requires WMI calls. Ceux-ci peuvent échouer s’ils sont bloqués par un bloc de règles de pare-feu et retourner une erreur indiquant l’indisponibilité du serveur RPC.They can fail if they are blocked firewall rules block, and return an RPC server unavailable error.

Pour plus d’informations sur les vérifications spécifiques de la configuration requise qui sont effectuées pour l’installation des services de domaine Active Directory, voir Tests de configuration requise.For more information about the specific prerequisite checks that are performed for AD DS installation, see Prerequisite Tests.

AboutResults

AD DS installer

Dans cette page, vous pouvez examiner les résultats de l’installation.On this page, you can review the results of the installation.

Vous pouvez également choisir de redémarrer le serveur cible une fois l’Assistant terminé ; toutefois, si l’installation réussit, le serveur redémarre toujours, et ce quel que soit l’état de cette option.You can also select to restart the target server after the wizard completes, but if the installation succeeds, the server will always restart regardless of whether you select that option. Dans certains cas, lorsque l’Assistant se termine sur un serveur cible qui n’a pas été joint au domaine avant l’installation, l’état du système du serveur cible peut rendre le serveur inaccessible sur le réseau ou l’état du système peut vous empêcher d’avoir les autorisations nécessaires pour gérer le serveur distant.In some cases after the wizard completes on a target server that was not joined to the domain before the installation, the system state of the target server can make the server unreachable on the network, or the system state can prevent you from having permissions to manage the remote server.

Si le serveur cible ne parvient pas à redémarrer dans ce cas, vous devez le redémarrer manuellement.If the target server fails to restart in this case, you must manually restart it. Il est impossible de le redémarrer à l’aide d’outils tels que shutdown.exe ou Windows PowerShell.Tools such as shutdown.exe or Windows PowerShell cannot restart it. Vous pouvez utiliser les services Bureau à distance pour ouvrir une session et arrêter à distance le serveur cible.You can use Remote Desktop Services to log on and remotely shut down the target server.

Informations d’identification de suppression de rôleRole Removal credentials

AD DS installer

La page Informations d’identification vous permet de configurer des options de rétrogradation.You configure demotion options on the Credentials page. Entrez les informations d’identification nécessaires pour effectuer la rétrogradation à partir de la liste suivante :Provide the credentials necessary to perform the demotion from the following list:

  • La rétrogradation d’un contrôleur de domaine supplémentaire nécessite des informations d’identification d’administrateur de domaine.Demoting an additional domain controller requires Domain Admin credentials. Le fait de sélectionner forcer la suppression du contrôleur de domaine rétrograde le contrôleur de domaine sans supprimer les métadonnées de l’objet contrôleur de domaine de Active Directory.Selecting Force removal of the domain controller demotes the domain controller without removing the domain controller object's metadata from Active Directory.

    Important

    Sélectionnez cette option uniquement si le contrôleur de domaine ne parvient pas à contacter d’autres contrôleurs de domaine et qu’aucun moyen raisonnable ne permet de résoudre ce problème réseau.Do not select this option unless the domain controller cannot contact other domain controllers and there is no reasonable way to resolve that network issue. La rétrogradation forcée laisse des métadonnées orphelines dans Active Directory sur les contrôleurs de domaine restants dans la forêt.Forced demotion leaves orphaned metadata in Active Directory on the remaining domain controllers in the forest. Par ailleurs, toutes les modifications non répliquées sur ce contrôleur de domaine, notamment les mots de passe ou les nouveaux comptes d’utilisateur, sont définitivement perdues.In addition, all un-replicated changes on that domain controller, such as passwords or new user accounts, are lost forever. Les métadonnées orphelines sont la cause première d’un grand nombre de problèmes soumis au support technique Microsoft pour AD DS, Exchange, SQL et d’autres logiciels.Orphaned metadata is the root cause in a significant percentage of Microsoft Customer Support cases for AD DS, Exchange, SQL, and other software. Si vous rétrogradez de force un contrôleur de domaine, vous devez immédiatement effectuer un nettoyage manuel des métadonnées.If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Pour la procédure à suivre, voir Nettoyage des métadonnées du serveur.For steps, review Clean Up Server Metadata.

  • La rétrogradation du dernier contrôleur de domaine dans un domaine nécessite l’appartenance au groupe Administrateurs de l’entreprise, cette opération entraînant la suppression du domaine à proprement parler (s’il s’agit du dernier domaine dans la forêt, la forêt est supprimée).Demoting the last domain controller in a domain requires Enterprise Admins group membership, as this removes the domain itself (if this is the last domain in the forest, this removes the forest). Le Gestionnaire de serveur vous informe si le contrôleur de domaine actuel est le dernier contrôleur de domaine dans le domaine.Server Manager informs you if the current domain controller is the last domain controller in the domain. Sélectionnez Dernier contrôleur de domaine du domaine pour confirmer que le contrôleur de domaine est bien le dernier contrôleur de domaine dans le domaine.Select Last domain controller in the domain to confirm the domain controller is the last domain controller in the domain.

Pour plus d’informations sur la suppression des AD DS, consultez supprimer des Active Directory Domain Services (niveau 100) et rétrograder les contrôleurs de domaine et les domaines (au niveau 200).For more information about removing AD DS, see Remove Active Directory Domain Services (Level 100) and Demoting Domain Controllers and Domains (Level 200).

AD DS les options de suppression et les avertissementsAD DS Removal Options and Warnings

Si vous avez besoin d’aide au sujet de la page Examiner les options, voir Examiner les options.If you need help with the Review Options page, see Review Options

Si le contrôleur de domaine héberge des rôles supplémentaires, tels que le rôle Serveur DNS ou le serveur de catalogue global, la page d’avertissement suivante apparaît :If the domain controller hosts additional roles, such as DNS server role or global catalog server, the following Warning page appears:

AD DS installer

Avant de cliquer sur Suivant pour continuer, vous devez cliquer sur Procéder à la suppression pour confirmer que les rôles supplémentaires ne seront plus disponibles.You must click Proceed with removal in order to acknowledge that the additional roles will no longer be available before you can click Next to continue.

Si vous forcez la suppression d’un contrôleur de domaine, toutes les modifications apportées à un objet Active Directory qui n’ont pas été répliquées vers d’autres contrôleurs de domaine dans le domaine seront perdues.If you force the removal of a domain controller, any Active Directory object changes that have not replicated to other domain controllers in the domain will be lost. Par ailleurs, si le contrôleur de domaine héberge des rôles de maître d’opérations, le catalogue global ou le rôle Serveur DNS, des opérations critiques dans le domaine et la forêt peuvent être touchées de la manière suivante.Additionally, if the domain controller hosts operation master roles, the global catalog, or DNS server role, critical operations in the domain and forest may be impacted as follows. Avant de supprimer un contrôleur de domaine qui héberge un rôle quelconque de maître d’opérations, essayez de transférer le rôle vers un autre contrôleur de domaine.Before you remove a domain controller that hosts any operations master role, try to transfer the role to another domain controller. S’il n’est pas possible de transférer le rôle, supprimez d’abord les services de domaine Active Directory de cet ordinateur, puis utilisez Ntdsutil.exe pour prendre le rôle.If it is not possible to transfer the role, first remove Active Directory Domain Services from this computer, and then use Ntdsutil.exe to seize the role. Utilisez Ntdsutil sur le contrôleur de domaine auquel vous envisagez de prendre le rôle ; si possible, utilisez un partenaire de réplication récent dans le même site que ce contrôleur de domaine.Use Ntdsutil on the domain controller that you plan to seize the role to; if possible, use a recent replication partner in the same site as this domain controller. Pour plus d’informations sur le transfert et la prise des rôles de maître d’opérations, voir l’article 255504 de la Base de connaissances Microsoft.For more information about transferring and seizing operations master roles, see article 255504 in the Microsoft Knowledge Base. Si l’Assistant n’est pas en mesure de déterminer si le contrôleur de domaine héberge un rôle de maître d’opérations, exécutez la commande netdom.exe pour déterminer si ce contrôleur de domaine effectue des rôles de maître d’opérations.If the wizard cannot determine if the domain controller host an operations master role, run netdom.exe command to determine whether this domain controller performs any operations master roles.

  • Catalogue global : Les utilisateurs peuvent rencontrer des problèmes de connexion aux domaines de la forêt.Global catalog: Users might have trouble logging on to domains in the forest. Avant de supprimer un serveur de catalogue global, assurez-vous qu’il y a suffisamment de serveurs de ce type dans cette forêt et ce site pour traiter les ouvertures de session utilisateur.Before you remove a global catalog server, ensure that enough global catalog servers are in this forest and site to service user logons. Au besoin, désignez un autre serveur de catalogue global et mettez à jour les clients et les applications avec les nouvelles informations.If necessary, designate another global catalog server and update clients and applications with the new information.

  • Serveur DNS : Toutes les données DNS stockées dans des zones intégrées à Active Directory seront perdues.DNS server: All of the DNS data that is stored in Active Directory-integrated zones will be lost. Une fois les services AD DS supprimés, ce serveur DNS n’est plus en mesure d’effectuer la résolution de noms pour les zones DNS précédemment intégrées à Active Directory.After you remove AD DS, this DNS server will not be able to perform name resolution for the DNS zones that were Active Directory-integrated. Par conséquent, nous vous recommandons de mettre à jour la configuration DNS de tous les ordinateurs qui se rapportent actuellement à l’adresse IP de ce serveur DNS à des fins de résolution de noms avec l’adresse IP d’un nouveau serveur DNS.Therefore, we recommend that you update the DNS configuration of all computers that currently refer to the IP address of this DNS server for name resolution with the IP address of a new DNS server.

  • Maître d’infrastructure : les clients du domaine peuvent avoir des difficultés à localiser des objets dans d’autres domaines.Infrastructure master: clients in the domain might have difficulty locating objects in other domains. Avant de continuer, transférez le rôle de maître d’infrastructure à un contrôleur de domaine qui n’est pas un serveur de catalogue global.Before you continue, transfer the infrastructure master role to a domain controller that is not a global catalog server.

  • Maître RID : des problèmes peuvent se produire lors de la création de nouveaux comptes d’utilisateur, comptes d’ordinateur et groupes de sécurité.RID master: you might have problems creating new user accounts, computer accounts, and security groups. Avant de continuer, transférez le rôle maître RID à un contrôleur de domaine dans le même domaine que ce contrôleur de domaine.Before you continue, transfer the RID master role to a domain controller in the same domain as this domain controller.

  • Émulateur de contrôleur de domaine principal : les opérations qui sont effectuées par l’émulateur de contrôleur de domaine principal, notamment les mises à jour de stratégie de groupe et les réinitialisations du mot de passe pour les comptes non-AD DS, ne fonctionnent pas correctement.Primary domain controller (PDC) emulator: operations that are performed by the PDC emulator, such as Group Policy updates and password resets for non-AD DS accounts, will not function properly. Avant de continuer, transférez le rôle maître d’émulateur de contrôleur de domaine principal à un contrôleur de domaine qui se trouve dans le même domaine que ce contrôleur de domaine.Before you continue, transfer the PDC emulator master role to a domain controller that is in the same domain as this domain controller.

  • Contrôleur de schéma : vous ne pouvez plus modifier le schéma pour cette forêt.Schema master: you will no longer be able to modify the schema for this forest. Avant de continuer, transférez le rôle de contrôleur de schéma à un contrôleur de domaine dans le domaine racine de la forêt.Before you continue, transfer the schema master role to a domain controller in the root domain in the forest.

  • Maître d’opérations des noms de domaine : vous ne pouvez plus ajouter de domaines à cette forêt ni en supprimer.Domain naming master: you will no longer be able to add domains to or remove domains from this forest. Avant de continuer, transférez le rôle de maître d’opérations des noms de domaine à un contrôleur de domaine dans le domaine racine de la forêt.Before you continue, transfer the domain naming master role to a domain controller in the root domain in the forest.

  • Toutes les partitions de l’annuaire d’applications sur ce contrôleur de domaine Active Directory seront supprimées.All application directory partitions on this Active Directory domain controller will be removed. Si un contrôleur de domaine contient le dernier réplica d’une ou plusieurs partitions de répertoire d’application, ces partitions n’existeront plus au terme de l’opération de suppression.If a domain controller holds the last replica of one or more application directory partitions, when the removal operation is complete, those partitions will no longer exist.

Sachez que le domaine n’existera plus à l’issue de la désinstallation des services de domaine Active Directory du dernier contrôleur de domaine dans le domaine.Be aware that the domain will no longer exist after you uninstall Active Directory Domain Services from the last domain controller in the domain.

Si le contrôleur de domaine est un serveur DNS qui est délégué pour héberger la zone DNS, la page suivante vous donne l’option de supprimer le serveur DNS de la délégation de zone DNS.If the domain controller is a DNS server that is delegated to host the DNS zone, the following page will provide the option to remove the DNS server from the DNS zone delegation.

AD DS installer

Pour plus d’informations sur la suppression des AD DS, consultez supprimer des Active Directory Domain Services (niveau 100) et rétrograder les contrôleurs de domaine et les domaines (au niveau 200).For more information about removing AD DS, see Remove Active Directory Domain Services (Level 100) and Demoting Domain Controllers and Domains (Level 200).

Nouveau mot de passe administrateurNew Administrator Password

La page nouveau mot de passe d’administrateur vous oblige à fournir un mot de passe pour le compte administrateur de l’ordinateur local intégré, une fois que la rétrogradation est terminée et que l’ordinateur devient un serveur membre de domaine ou un ordinateur de groupe de travail.The New Administrator Password page requires you to provide a password for the built-in local computer's Administrator account, once the demotion completes and the computer becomes a domain member server or workgroup computer.

AD DS installer

Pour plus d’informations sur la suppression des AD DS, consultez supprimer des Active Directory Domain Services (niveau 100) et rétrograder les contrôleurs de domaine et les domaines (au niveau 200).For more information about removing AD DS, see Remove Active Directory Domain Services (Level 100) and Demoting Domain Controllers and Domains (Level 200).

Options de révisionReview Options

La page Examiner les options vous donne la possibilité d’exporter les paramètres de configuration pour la rétrogradation vers un script Windows PowerShell de manière à automatiser des rétrogradations supplémentaires.The Review Options page provides you the chance to export the configuration settings for demotion to a Windows PowerShell script so you can automate additional demotions. Cliquez sur Rétrograder pour supprimer les services AD DS.Click Demote to remove AD DS.

AD DS installer