Configurer une infrastructure Active Directory multi-sites sous Windows Server 2022 et 2016

  • Windows Server
  • 10 novembre 2025 à 18:31
  • 10/11

12.5. Autoriser les serveurs DHCP dans l'infrastructure Active Directory

12.5.1. Autoriser le serveur DHCP du site 1 (Bruxelles) dans l'infrastructure Active Directory

Pour rappel, les serveurs DHCP sont installés sur les mêmes serveurs que vos serveurs VPN.
Nous avons donc un serveur DHCP sur le serveur "brux-vpn" (sur le site 1 (Bruxelles)) et un autre serveur DHCP sur le serveur "paris-vpn" (sur le site 2 (Paris)).

Attention : comme vous pourrez le constater en ouvrant la console DHCP sur un de vos serveurs DHCP, un serveur DHCP doit être autorisé dans Active Directory pour pouvoir distribuer des adresses IP.
Autrement dit, depuis que vos serveurs VPN (où sont aussi installés vos serveurs DHCP) ont été joints à votre domaine Active Directory, vos serveurs DHCP ont été désactivés automatiquement.
D'où l'apparition de l'icône rouge pour les options "IPv4" et "IPv6" et l'apparition du message concernant l'autorisation requise pour le fonctionnement avec Active Directory.

Plain Text

Un serveur DHCP doit être autorisé dans Active Directory avant de pouvoir assigner des adresses IP. L'autorisation est une précaution de sécurité qui assure que seuls les serveurs DHCP autorisés fonctionnent sur le réseau.

Important : vous devez être connecté avec un compte d'utilisateur du domaine pour que l'option "Autoriser" apparaisse.
Autrement dit, si l'option "Autoriser" n'apparait pas dans cette console DHCP, c'est que vous êtes connecté avec un compte d'utilisateur local ou que votre compte d'utilisateur AD ne possède pas les droits nécessaires pour autoriser un serveur DHCP dans l'AD.

Plain Text

Vous devez ouvrir une session en tant qu'utilisateur de domaine disposant des privilèges nécessaires pour autoriser le serveur.

Pour régler ce problème, il suffit de faire un clic droit "Autoriser" sur le nom de votre serveur DHCP (dans notre cas "brux-vpn.informatiweb.lan").

Les icônes pour les options "IPv4" et "IPv6" devraient devenir vertes.

Note : si ce n'est pas le cas, référez-vous à la solution expliquée dans l'étape suivante de ce tutoriel.

12.5.2. Autoriser le serveur DHCP du site 2 (Paris) dans l'infrastructure Active Directory

De façon similaire, allez sur le serveur DHCP du site distant (Paris) et sélectionnez l'option "IPv4".
A nouveau, vous voyez que ce serveur DHCP est désactivé (icône rouge) et que le message "Autoriser le serveur DHCP" apparait.

A nouveau, faites un clic droit "Autoriser" sur le nom de votre serveur DHCP distant (dans notre cas : paris-vpn.informatiweb.lan).

Dans certains cas, il est possible que cette action "Autoriser" semble ne pas fonctionner et que les icônes restent rouges dans cette console DHCP.
Ce qui signifie que ce serveur DHCP refuse toujours (temporairement) de fonctionner, car il pense que l'autorisation n'a pas été rajoutée dans votre infrastructure Active Directory.

Si vous tentez à nouveau d'effectuer cette action "Autoriser" sur ce serveur DHCP, vous recevrez l'avertissement ci-dessous et les icônes resteront rouges.

Plain Text

Les serveurs spécifiés sont déjà présents dans le service d'annuaire.

Donc ce serveur DHCP ne peut pas être autorisé dans l'AD parce qu'il pense qu'il s'y trouve déjà.
Mais la console "DHCP" continue d'afficher votre serveur DHCP comme désactivé, car l'autorisation pour celui-ci doit être ajoutée dans Active Directory.
En résumé, ceci est dû au délai de réplication entre vos contrôleurs de domaine Active Directory (comme vous le verrez dans la suite de ce tutoriel).

12.5.3. Forcer la réplication des données DHCP dans une infrastructure Active Directory multi-sites

Pour comprendre d'où vient le problème étrange ci-dessus et le résoudre rapidement, vous devrez utiliser la console "Sites et services Active Directory" sur vos contrôleurs de domaine Active Directory.
Le but est de trouver sur quels contrôleurs de domaine AD les autorisations de serveurs DHCP ont été ajoutées.

Dans notre cas, nous avons ouvert la console "Sites et services Active Directory" sur notre contrôleur de domaine AD "brux-dc1".

Pour voir les données de l'AD concernant les serveurs DHCP présents dans votre infrastructure, vous devez d'abord aller dans le menu "Affichage -> Afficher le noeud des services".

Ensuite, allez dans le dossier "Services -> NetServices" et vous verrez des données DHCP apparaitre.
Dans notre cas :

  • brux-vpn.informatiweb.lan : signifie que notre serveur DHCP "brux-vpn.informatiweb.lan" a effectivement été autorisé dans l'Active Directory.
  • DhcpRoot : un objet requis pour autoriser au moins un serveur DHCP dans l'Active Directory.

Sources :

Au même moment, si nous ouvrons la même console Active Directory sur notre contrôleur de domaine distant "paris-dc1" du site distant (Paris), nous pouvons voir que les objets présents sont différents.
En effet, on retrouve bien le fichier "DhcpRoot" de base. Mais on ne voit que l'autorisation pour notre serveur "paris-vpn.informatiweb.lan" sur le site de Paris.

Note : ceci est plutôt logique au début, étant donné que chaque serveur DHCP ("brux-vpn" et "paris-vpn" dans notre cas) utilise de préférence un contrôleur de domaine AD local (sur le même site qu'eux).

Important : cela explique pourquoi la console "DHCP" d'un de vos serveurs DHCP (comme c'est le cas pour notre serveur DHCP de Paris) peut vous indiquer qu'il est désactivé et également vous afficher un avertissement concernant l'autorisation déjà stockée dans l'AD.
L'autorisation pour votre serveur DHCP se trouvant seulement sur certains contrôleurs de domaine AD et pas d'autres, ce problème peut apparaitre temporairement.

Pour régler ce problème rapidement, utilisez la commande ci-dessous sur au moins un contrôleur de domaine possédant l'autorisation DHCP à répliquer vers tous les autres contrôleurs de domaine AD de votre infrastructure Active Directory.

Batch

repadmin /syncall /A /e /P

Donc, dans notre cas, nous avons exécuté cette commande sur notre contrôleur de domaine AD "brux-dc1" qui possède l'autorisation pour notre serveur DHCP "brux-vpn.informatiweb.lan" (visible via la console "Sites et services Active Directory").

Puis, nous avons exécuté cette même commande sur notre contrôleur de domaine AD distant "paris-dc1" qui possède l'autorisation pour notre serveur DHCP distant "paris-vpn.informatiweb.lan" (visible aussi via la console "Sites et services Active Directory").

Une fois ces commandes terminées, actualisez la console "Sites et services Active Directory" sur vos contrôleurs de domaine (ou fermez cette console et ouvrez-la à nouveau) et vous verrez que les autorisations DHCP pour vos 2 serveurs DHCP apparaitront (peu importe le contrôleur de domaine sur lequel vous ouvrez cette console "Sites et services Active Directory".

Dans notre cas, nous pouvons voir les objets :

  • brux-vpn.informatiweb.lan : l'autorisation pour le serveur DHCP "brux-vpn.informatiweb.lan".
  • DhcpRoot : l'objet de base requis pour autoriser au moins un serveur DHCP dans l'Active Directory.
  • DhcpRootCNF:... : probablement dû à la réplication de l'objet "DhcpRoot" répliqué depuis le site physique distant.
  • paris-vpn.informatiweb.lan : l'autorisation pour le serveur DHCP "paris-vpn.informatiweb.lan".

12.5.4. Redémarrer le serveur DHCP problématique pour l'autorisation dans l'AD

Maintenant que les autorisations pour vos 2 serveurs DHCP se trouvent sur tous les contrôleurs de domaine AD de votre infrastructure Active Directory, faites un clic droit "Toutes les tâches -> Redémarrer" sur le serveur DHCP qui est resté désactivé (malgré son autorisation dans l'AD précédente).

Patientez un peu pendant le redémarrage de votre serveur DHCP.

Comme vous pouvez le voir, les icônes pour "IPv4" et "IPv6" redeviennent vertes.

De plus, si vous sélectionnez l'option "IPv4", vous pouvez voir que le statut de votre étendue DHCP "Etendue LAN" est de nouveau "** Actif **".
Ce qui confirme que le problème est résolu.

13. Créer et lier des objets de stratégie de groupe (GPOs) à un site Active Directory

Grâce à la console "Gestion des stratégies de groupe", vous pouvez créer et gérer des objets de stratégies de groupe (GPOs).
Néanmoins, habituellement, vous les liez directement à votre domaine Active Directory ou à une ou plusieurs "OU" (Unités d'organisation).

Néanmoins, saviez-vous qu'il était aussi possible de lier un objet de stratégie de groupe à un site Active Directory spécifique (sans devoir créer vous-mêmes des conditions pour tenter de cibler les bons ordinateurs ou serveurs) ?

Pour cela, commencez par afficher les sites souhaités dans la console "Gestion de stratégie de groupe".
Pour cela, faites un clic droit "Afficher les sites" sur le dossier "Sites".

Dans la fenêtre "Afficher les sites" qui apparait, cochez les cases pour les sites que vous voulez voir apparaitre dans la console "Gestion de stratégie de groupe".

Dans notre cas, nos sites Active Directory physiques :

  • Bruxelles.
  • Paris.

Ensuite, allez dans le dossier "[votre domaine Active Directory] -> Objets de stratégies de groupe" et faites un clic droit "Nouveau" sur ce dossier "Objets de stratégies de groupe".
Le but étant de créer un objet GPO qui ne sera pas utilisé dans un 1er temps.

Dans la petite fenêtre "Nouvel objet GPO" qui s'affiche, tapez le nom que vous voulez pour cet objet GPO, puis cliquez sur OK.
Dans notre cas : GpoSiteBrux.

En sélectionnant l'objet GPO que vous venez de créer, vous pourrez voir à droite qu'il n'y a aucune liaison pour celui-ci.
Ce qui signifie qu'il a été créé, mais qu'il n'est pas encore utilisé par l'Active Directory.

Maintenant, faites un clic droit sur le site Active Directory souhaité et cliquez sur "Lier un objet de stratégie de groupe existant".

Note : comme vous pouvez le voir, vous ne pouvez lier que des objets de stratégies de groupe (GPO) déjà existants.
Il n'y a pas d'option ici pour créer un objet GPO et le lier directement à un site Active Directory (comme c'est le cas lors d'un clic droit sur votre domaine AD ou une "OU" (Unité d'organisation) spécifique).

Dans la fenêtre "Sélectionner un objet GPO" qui s'affiche, sélectionnez l'objet de stratégie de groupe (GPO) créé précédemment (dans notre cas : GpoSiteBrux) et cliquez sur OK.

Comme prévu, en sélectionnant cet objet de stratégie de groupe "GpoSiteBrux", vous verrez que celui-ci est lié au site Active Directory souhaité.

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.