Déployer un environnement Microsoft Active Directory tolérant aux pannes

Ce tutoriel constitue la première partie d'une série destinée à vous aider à déployer une architecture Windows à disponibilité élevée sur Google Cloud avec Microsoft Active Directory, SQL Server et Internet Information Services (IIS). Dans ce tutoriel, vous allez configurer une paire redondante de contrôleurs de domaine Windows avec Active Directory à l'aide d'un nouveau réseau cloud privé virtuel (VPC) et de plusieurs sous-réseaux.

La série comprend les tutoriels suivants :

Déployer un environnement Microsoft Active Directory tolérant aux pannes (ce document).
Déployer plusieurs sous-réseaux SQL Server.
Déployer des serveurs Web IIS à équilibrage de charge.

Chaque tutoriel s'appuie sur l'infrastructure que vous avez créée dans le précédent.

Vous pouvez également utiliser ce tutoriel pour apprendre à mettre au point une configuration Active Directory à utiliser dans d'autres architectures. Ce guide ne couvre pas la réplication d'un environnement Active Directory distant vers le nouvel environnement Active Directory basé sur Google Cloud, bien que cela soit possible avec Cloud VPN et une configuration Active Directory supplémentaire.

Architecture

Architecture Active Directory tolérante aux pannes sur Google Cloud.

Objectifs

Créer un réseau VPC en mode personnalisé avec deux sous-réseaux couvrant deux zones.
Créer des instances virtuelles Windows Server et activer les services de domaine Active Directory.
Configurer un nouveau domaine avec Active Directory.
Joindre les nouvelles instances Windows Server au nouveau domaine
Configurer les règles de pare-feu pour autoriser le trafic vers les machines virtuelles
Tester la configuration.

Coûts

Ce tutoriel utilise des composants facturables de Google Cloud, dont :

Le simulateur de coût estime le coût de cet environnement à environ 4 $ par jour.

Avant de commencer

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Remarque : Si vous ne comptez pas conserver les ressources créées dans cette procédure, créez un projet au lieu de sélectionner un projet existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet. Cela entraîne la suppression de toutes les ressources qui lui sont associées.

Accéder au sélecteur de projet
Vérifiez que la facturation est activée pour votre projet Google Cloud.
Activez Compute Engine API.
Activer l'API

Initialiser des variables communes

Vous devez définir plusieurs variables d'environnement qui contrôlent où les éléments de l'infrastructure sont déployés.

Allez dans Cloud Shell.

Ouvrir Cloud Shell
Dans Cloud Shell, créez les variables d'environnement suivantes pour définir les valeurs dont vous aurez besoin ultérieurement dans le tutoriel.

Les commandes définissent la région sur us-east-1. Vous pouvez utiliser une autre région, mais ne l'oubliez pas car vous devrez utiliser la même région dans les tutoriels suivants.
```
export region=us-east1
export zone_1=${region}-b
export zone_2=${region}-c
export vpc_name=webappnet
export project_id=your-project-id
```
Remplacez your-project-id par l'ID du projet Google Cloud que vous utilisez.
Exécutez les commandes suivantes pour définir la région et l'ID du projet par défaut afin d'éviter de devoir spécifier ces valeurs dans toutes les commandes ultérieures :
```
gcloud config set compute/region ${region}
gcloud config set project ${project_id}
```

Créer l'infrastructure réseau

Une fois que vous avez défini les variables d'infrastructure, créez le réseau et les sous-réseaux qu'Active Directory utilisera.

Dans Cloud Shell, exécutez la commande suivante pour créer le réseau VPC :

gcloud compute networks create ${vpc_name}  \
    --description "VPC network to deploy Active Directory" \
    --subnet-mode custom

L'avertissement suivant s'affiche. Vous pouvez l'ignorer, car vous allez créer ces règles de pare-feu dans les étapes suivantes.

Instances on this network will not be reachable until firewall rules
are created.

Ajoutez deux sous-réseaux au réseau VPC :

gcloud compute networks subnets create private-ad-zone-1 \
    --network ${vpc_name} \
    --range 10.1.0.0/24

gcloud compute networks subnets create private-ad-zone-2 \
    --network ${vpc_name} \
    --range 10.2.0.0/24

Créez une règle de pare-feu interne pour autoriser le trafic entre les sous-réseaux :
```
gcloud compute firewall-rules create allow-internal-ports-private-ad \
    --network ${vpc_name} \
    --allow tcp:1-65535,udp:1-65535,icmp \
    --source-ranges  10.1.0.0/24,10.2.0.0/24
```
Remarque : Dans un environnement de production, il est recommandé de sécuriser tous les ports que vos systèmes n'utilisent pas activement. Il est également recommandé de sécuriser l'accès à vos machines à l'aide d'un hôte bastion.

Créez une règle de pare-feu pour autoriser une connexion RDP sur le port 3389 à partir de n'importe quel emplacement :

gcloud compute firewall-rules create allow-rdp \
    --network ${vpc_name} \
    --allow tcp:3389 \
    --source-ranges 0.0.0.0/0

Créer le premier contrôleur de domaine

Vous allez ensuite créer un contrôleur de domaine avec les propriétés suivantes :

Nom : ad-dc1
Adresse IP : 10.1.0.100

Créez une instance Compute Engine de Windows Server 2016 à utiliser comme premier contrôleur de domaine :

gcloud compute instances create ad-dc1 --machine-type n1-standard-2 \
    --boot-disk-type pd-ssd \
    --boot-disk-size 50GB \
    --image-family windows-2016 --image-project windows-cloud \
    --network ${vpc_name} \
    --zone ${zone_1} --subnet private-ad-zone-1 \
    --private-network-ip=10.1.0.100

Patientez environ une minute, puis créez un mot de passe pour l'instance Windows ad-dc1 :
```
gcloud compute reset-windows-password ad-dc1 --zone ${zone_1} --quiet
```
Le nom d'utilisateur est le nom d'utilisateur de votre compte Google. Prenez note du nom d'utilisateur et du mot de passe pour une utilisation future.

Remarque : Si l'instance n'est pas prête à accepter la requête, le message d'erreur suivant s'affiche. Le cas échéant, tentez de réexécuter la commande dans quelques minutes.

ERROR: (gcloud.compute.reset-windows-password) The instance may not be ready for use. This can occur if the instance was recently created or if the instance is not running Windows. Please wait a few minutes and try again.
Utilisez RDP pour vous connecter à l'instance du contrôleur de domaine avec les identifiants créés à l'étape précédente.
Ouvrez un terminal PowerShell en tant qu'administrateur. (Cliquez sur Démarrer, saisissez PowerShell, puis appuyez sur Maj+Ctrl+Entrée).
Définissez les identifiants Windows du compte Administrateur :
```
net user Administrator *
```
]
Remarque : Pour coller des commandes dans un terminal PowerShell, appuyez sur Alt+Espace+P.

Vous êtes invité à créer un mot de passe. Utilisez un mot de passe sécurisé et stockez-le en lieu sûr pour une utilisation ultérieure.

Le compte administrateur devient un compte d'administrateur de domaine une fois que vous créez la forêt Active Directory à l'aide de celui-ci.
Activez le compte :
```
net user Administrator /active:yes
```
Installez les services de domaine Active Directory, y compris les outils de gestion :
```
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
```

Définissez les variables suivantes :

$DomainName = "example-gcp.com"
$DomainMode = "7"
$ForestMode = "7"
$DatabasePath = "C:\Windows\NTDS"
$SysvolPath = "C:\Windows\SYSVOL"
$LogPath = "C:\Logs"

Installez la nouvelle configuration de forêt Active Directory en mode Windows Server 2016 :

Install-ADDSForest -CreateDnsDelegation:$false `
    -DatabasePath $DatabasePath `
    -LogPath $LogPath `
    -SysvolPath $SysvolPath `
    -DomainName $DomainName `
    -DomainMode $DomainMode `
    -ForestMode $ForestMode `
    -InstallDNS:$true `
    -NoRebootOnCompletion:$true `
    -Force:$true

Lorsque vous y êtes invité, entrez un mot de passe administrateur en mode sans échec. Stockez le mot de passe dans un endroit sûr pour une utilisation future.

Ignorez les avertissements suivants. Chaque avertissement apparaîtra deux fois, une fois lors de la vérification des conditions préalables et une seconde fois pendant le processus d'installation.

WARNING: Windows Server 2016 domain controllers have a default for the
security setting named Allow cryptography algorithms compatible with
Windows NT 4.0 that prevents weaker cryptography algorithms when
establishing security channel sessions.

For more information about this setting, see Knowledge Base article 942564
(http://go.microsoft.com/fwlink/?LinkId=104751).

WARNING: This computer has at least one physical network adapter that does
not have static IP address(es) assigned to its IP Properties. If both IPv4
and IPv6 are enabled for a network adapter, both IPv4 and IPv6 static IP
addresses should be assigned to both IPv4 and IPv6 Properties of the
physical network adapter. Such static IP address(es) assignment should be
done to all the physical network adapters for reliable Domain Name
System (DNS) operation.

WARNING: A delegation for this DNS server cannot be created because the
authoritative parent zone cannot be found or it does not run Windows DNS
server. If you are integrating with an existing DNS infrastructure, you
should manually create a delegation to this DNS server in the parent zone
to ensure reliable name resolution from outside the domain "example-gcp.com".
Otherwise, no action is required.

Redémarrez la machine virtuelle :
```
Restart-Computer
```
Utilisez RDP pour vous connecter au contrôleur de domaine ad-dc1 avec les identifiants d'administrateur que vous avez définis lors de l'installation de la forêt Active Directory. N'oubliez pas d'ajouter le nom de domaine en tant que préfixe, comme dans EXAMPLE-GCP\Administrator.

Remarque : Si vous utilisez le client RDP pour Chrome, l'avertissement suivant concernant le certificat peut s'afficher. Suivez les instructions pour vous connecter.

WARNING Someone could be trying to intercept your communication. To connect anyway select Chrome RDP Options, select the Certificates tab, select the <Your IP address>:3389 certificate listing and press the Delete Certificate button.
Ouvrez un terminal PowerShell en tant qu'administrateur.

Définissez les variables suivantes :

$DNSPrimary = "10.2.0.100"
$DNSSecondary = "127.0.0.1"
$LocalStaticIp = "10.1.0.100"
$DefaultGateway = "10.1.0.1"

Définissez l'adresse IP et la passerelle par défaut :
```
netsh interface ip set address name=Ethernet static `
    $LocalStaticIp 255.255.255.0 $DefaultGateway 1
```
Remarque : RDP peut perdre la connectivité pendant quelques secondes ou vous obliger à vous reconnecter.
Configurez le serveur DNS principal :
```
netsh interface ip set dns Ethernet static $DNSPrimary
```
Le serveur DNS ad-dc2 ne sera disponible qu'après le déploiement du deuxième contrôleur de domaine. Vous pouvez donc ignorer le message d'erreur suivant :
```
The configured DNS server is incorrect or does not exist.
```
Remarque : Vous allez configurer les serveurs DNS après l'installation de la forêt Active Directory. L'installation de la forêt remplace les valeurs de post-installation par les adresses IP des contrôleurs de domaine ac-dc1 et ad-dc2. Vous configurerez le contrôleur de domaine ac-dc2 plus loin dans ce tutoriel.
Configurez le serveur DNS secondaire :
```
netsh interface ip add dns Ethernet $DNSSecondary index=2
```
L'entrée du serveur DNS pour ce contrôleur de domaine, ad-dc1, doit figurer en deuxième position dans la liste afin d'empêcher Active Directory de perdre fréquemment la connexion avec l'autre contrôleur. Utilisez le deuxième contrôleur de domaine, ad-dc2, en tant que serveur DNS principal. Vous allez créer le contrôleur de domaine ad-dc2 dans la section suivante. Si vous ne suivez pas ce schéma, les erreurs suivantes s'affichent sous Gestionnaire de serveur > Services de domaine Active Directory :
```
The DFS Replication service failed to update configuration in Active
Directory Domain Services. The service will retry this operation
periodically.
```
Il est possible que des erreurs s'affichent sur le serveur ad-dc1 avant que les deux serveurs ne soient entièrement configurés. Vous pouvez ignorer ces erreurs.

Créer le deuxième contrôleur de domaine

Vous allez ensuite créer un contrôleur de domaine dans une zone différente pour garantir la tolérance aux pannes. Le deuxième contrôleur de domaine comprend les propriétés suivantes :

Nom : ad-dc2
Adresse IP : 10.2.0.100

Si votre fenêtre Cloud Shell a expiré, ouvrez une nouvelle instance Cloud Shell et réinitialisez les variables que vous avez définies précédemment. Pour cela, modifiez le script suivant pour spécifier l'ID du projet et la région utilisés précédemment.
```
region=us-east1
zone_2=${region}-c
zone_1=${region}-b
vpc_name=webappnet
project_id=your-project-id

gcloud config set compute/region ${region}
gcloud config set project ${project_id}
```
Remplacez your-project-id par l'ID du projet Google Cloud que vous utilisez.
Copiez le script dans la fenêtre Cloud Shell et exécutez-le.

Utilisez Cloud Shell pour créer la deuxième instance du contrôleur de domaine :

gcloud compute instances create ad-dc2 --machine-type n1-standard-2 \
    --boot-disk-size 50GB \
    --boot-disk-type pd-ssd \
    --image-family windows-2016 --image-project windows-cloud \
    --can-ip-forward \
    --network ${vpc_name} \
    --zone ${zone_2} \
    --subnet private-ad-zone-2 \
    --private-network-ip=10.2.0.100

Patientez environ une minute, puis créez un mot de passe pour l'instance Windows ad-dc2 :
```
gcloud compute reset-windows-password ad-dc2 --zone ${zone_2} --quiet
```
Le nom d'utilisateur est le nom d'utilisateur de votre compte Google. Prenez note du nom d'utilisateur et du mot de passe pour une utilisation future.
Utilisez RDP pour vous connecter à l'instance du contrôleur de domaine avec les identifiants créés à l'étape précédente.
Ouvrez un terminal PowerShell en tant qu'administrateur.
Installez les services de domaine Active Directory, y compris les outils de gestion :
```
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
```

Définissez les variables suivantes :

$DomainName = "example-gcp.com"
$DomainPrefix = "EXAMPLE-GCP"
$DNSPrimary = "10.1.0.100"
$DNSSecondary = "127.0.0.1"
$LocalStaticIp = "10.2.0.100"
$DefaultGateway = "10.2.0.1"
$DatabasePath = "C:\Windows\NTDS"
$SysvolPath = "C:\Windows\SYSVOL"
$LogPath = "C:\Logs"

Configurez le serveur DNS principal :

netsh interface ip set dns Ethernet static $DNSPrimary

Configurez le deuxième serveur de sorte qu'il agisse comme son propre serveur DNS secondaire :
```
netsh interface ip add dns Ethernet $DNSSecondary index=2
```
Le serveur DNS ad-dc2 ne sera disponible qu'une fois que ad-dc2 aura été ajouté au domaine en tant que contrôleur de domaine. Comme le serveur n'a pas encore été joint, le message suivant s'affiche, mais vous pouvez l'ignorer :
```
The configured DNS server is incorrect or does not exist.
```
Définissez l'adresse IP et la passerelle par défaut :
```
netsh interface ip set address name=Ethernet static `
    $LocalStaticIp 255.255.255.0 $DefaultGateway 1
```
Remarque : RDP peut perdre la connectivité pendant quelques secondes ou vous obliger à vous reconnecter.

Exécutez le script PowerShell suivant qui vous indiquera quand le premier contrôleur de domaine sera opérationnel. Attendez que le message Domain controller is reachable s'affiche.

$DomainIsReady=$False
For ($i=0; $i -le 30; $i++) {
    nltest /dsgetdc:$DomainName
    if($LASTEXITCODE -ne 0) {
        Write-Host "Domain not ready, wait 1 more minute, then retry"
        Start-Sleep -s 60
    }
    else {
        $DomainIsReady=$True
        Write-Host "Domain controller is reachable"
        break
    }
}
if($DomainIsReady -eq $False) {
    Write-Host "Domain not ready. Check if it was deployed ok"
}

Ajoutez la machine virtuelle à la forêt en tant que deuxième contrôleur de domaine :

Install-ADDSDomainController `
    -Credential (Get-Credential "$DomainPrefix\Administrator") `
    -CreateDnsDelegation:$false `
    -DatabasePath $DatabasePath `
    -DomainName $DomainName `
    -InstallDns:$true `
    -LogPath $LogPath `
    -SysvolPath $SysvolPath `
    -NoGlobalCatalog:$false `
    -SiteName 'Default-First-Site-Name' `
    -NoRebootOnCompletion:$true `
    -Force:$true

Lorsque vous êtes invité à fournir un mot de passe pour le compte administrateur, utilisez les identifiants de l'administrateur que vous avez définis lors de l'installation de la forêt Active Directory. Ajoutez le nom de domaine en tant que préfixe, comme dans EXAMPLE-GCP\Administrator.
Lorsque vous êtes invité à entrer un mot de passe administrateur en mode sans échec, utilisez le même mot de passe que celui que vous avez utilisé pour le premier contrôleur de domaine.

Ignorez les avertissements suivants. Chaque avertissement apparaîtra deux fois, une fois lors de la vérification des conditions préalables et une seconde fois pendant le processus d'installation.

WARNING: Windows Server 2016 domain controllers have a default for the
security setting named "Allow cryptography algorithms compatible with
Windows NT 4.0" that prevents weaker cryptography algorithms when
establishing security channel sessions.

For more information about this setting, see Knowledge Base article
942564 (http://go.microsoft.com/fwlink/?LinkId=104751).

WARNING: A delegation for this DNS server cannot be created because the
authoritative parent zone cannot be found or it does not run Windows DNS
server. If you are integrating with an existing DNS infrastructure, you
should manually create a delegation to this DNS server in the parent zone
to ensure reliable name resolution from outside the domain
"example-gcp.com". Otherwise, no action is required.

Redémarrez la machine virtuelle :
```
Restart-Computer
```

Tester l'installation

Attendez 5 à 10 minutes pour vous assurer que les deux contrôleurs de domaine ont opérationnels et qu'ils répliquent les informations.
À l'aide de RDP, connectez-vous à la première instance de contrôleur de domaine à l'aide des identifiants d'administrateur que vous avez définis lors de l'installation du premier contrôleur de domaine. Ajoutez le nom de domaine en tant que préfixe, comme dans EXAMPLE-GCP\Administrator.
Ouvrez un terminal PowerShell en tant qu'administrateur.
Testez que la réplication fonctionne :
```
repadmin /replsum
```
Remarque : Pour en savoir plus, consultez l'article sur la gestion de la réplication et de la topologie dans Active Directory.

La sortie devrait ressembler à ce qui suit, sans erreur ni échec.

Si le contrôleur de domaine n'est pas disponible, vous recevez un message semblable à celui-ci :
```
Beginning data collection for replication summary, this may take awhile:

  ....
Source DSA          largest delta    fails/total %%   error

Destination DSA     largest delta    fails/total %%   error
```
Si ce message s'affiche, attendez quelques minutes, puis relancez la commande.

Nettoyer

Si vous souhaitez passer au tutoriel suivant de cette série (Déployer plusieurs sous-réseaux SQL Server), conservez les ressources que vous avez créées dans le cadre de ce tutoriel. Si vous n'envisagez pas d'utiliser l'environnement Active Directory que vous venez de créer, nettoyez les ressources créées sur Google Cloud pour éviter qu'elles ne vous soient facturées par la suite. Dans les sections suivantes, nous allons voir comment supprimer ou désactiver ces ressources.

Supprimer le projet

Le moyen le plus simple d'empêcher la facturation est de supprimer le projet que vous avez créé pour ce tutoriel.

Pour supprimer le projet :

Attention : La suppression d'un projet aura les effets suivants :

Tout le contenu du projet est supprimé. Si vous avez utilisé un projet existant pour les tâches de ce document, lorsque vous le supprimez, vous supprimez également tout autre travail effectué dans le projet.
Les ID de projets personnalisés sont perdus. Lorsque vous avez créé ce projet, vous avez peut-être créé un ID de projet personnalisé que vous souhaitez utiliser à l'avenir. Pour conserver les URL qui utilisent l'ID de projet, telle qu'une URL appspot.com, supprimez les ressources sélectionnées dans le projet au lieu de supprimer l'ensemble du projet.

Si vous envisagez d'explorer plusieurs architectures, tutoriels et guides de démarrage rapide, réutiliser des projets peut vous aider à ne pas dépasser les limites de quotas des projets.

Dans la console Google Cloud, accédez à la page Gérer les ressources.
Accéder à la page Gérer les ressources
Dans la liste des projets, sélectionnez le projet que vous souhaitez supprimer, puis cliquez sur Supprimer.
Dans la boîte de dialogue, saisissez l'ID du projet, puis cliquez sur Arrêter pour supprimer le projet.

Supprimer des instances

Pour supprimer une instance Compute Engine, procédez comme suit :

Dans la console Google Cloud, accédez à la page Instances de VM.
Accéder à la page Instances de VM
Cochez la case correspondant à instance que vous souhaitez supprimer.
Pour supprimer l'instance, cliquez sur Autres actions , cliquez sur Supprimer, puis suivez les instructions.

Supprimer des réseaux VPC

Pour supprimer les réseaux VPC, les sous-réseaux et les règles de pare-feu, procédez comme suit :

Dans la console Google Cloud, accédez à la page "Réseaux VPC".

Accéder à la page des réseaux VPC
Sélectionnez le réseau VPC que vous avez créé.
Cliquez sur le bouton Supprimer en haut de la page.

Étapes suivantes

Passez aux tutoriels suivants de cette série :
- Déployer plusieurs sous-réseaux SQL Server.
- Déployer des serveurs Web IIS à équilibrage de charge.
En savoir plus sur les modèles d'utilisation d'Active Directory dans un environnement hybride.
Consultez les bonnes pratiques de gestion des identités et des accès.
Découvrez des architectures de référence, des schémas et des bonnes pratiques concernant Google Cloud. Consultez notre Centre d'architecture cloud.