Avant de promouvoir un contrôleur de domaine Active Directory, il faut un serveur Windows propre, à jour, doté d’une configuration réseau stable et préparé à recevoir le rôle AD DS. Cette étape est apparemment triviale et c’est précisément pour ça qu’elle est la première source de problèmes en PME : une heure mal investie sur la base d’installation coûte des journées de dépannage plus tard.
Ce tutoriel décrit, pas à pas, comment installer Windows Server 2025 Standard sur une machine physique ou une VM, comment le configurer correctement (nom, IP fixe, mises à jour) et comment ajouter le rôle Active Directory Domain Services sans encore le promouvoir. La promotion proprement dite fait l’objet du tutoriel suivant sur la promotion du premier contrôleur de domaine.
Pour la vue d’ensemble, lire d’abord Windows Server 2025 et Active Directory pour PME.
Prérequis
- Une machine cible : VM Hyper-V/Proxmox/VMware avec 4 vCPU et 8 Go de RAM, ou un serveur physique récent. Les minimums officiels Microsoft sont bas (1.4 GHz x64, 2 Go pour Desktop Experience, 32 Go de disque) mais en production on vise plus large.
- Un ISO Windows Server 2025 — évaluation 180 jours gratuite chez Microsoft pour les tests, ou ISO de la licence VLSC pour la production.
- Une IP statique réservée dans votre plan d’adressage (par exemple
10.10.0.10/24pour le futur DC1). - Le nom DNS interne déjà arbitré (
ad.entreprise.comrecommandé plutôt queentreprise.local). - Accès admin local sur la VM ou le serveur.
- Niveau attendu : intermédiaire — vous êtes à l’aise avec Hyper-V/VMware et avec PowerShell.
- Temps estimé : 45 à 60 minutes en comptant les redémarrages et les mises à jour.
Étape 1 — Préparer le support d’installation et la VM
L’objectif de cette étape est d’arriver à un écran de démarrage Windows Server 2025 avec un disque vierge prêt à recevoir l’OS. Sur Hyper-V comme sur VMware, on attache l’ISO en lecteur DVD virtuel, on alloue un disque dur de au moins 80 Go (32 Go suffisent pour l’OS, mais les journaux, la base AD et les éventuels téléchargements Windows Update saturent vite un disque petit), et on règle le firmware en UEFI Secure Boot (génération 2 sur Hyper-V, ce qui est aujourd’hui le défaut).
Sur Hyper-V Manager, la création de la VM se fait en PowerShell pour la reproductibilité :
New-VM -Name 'DC01' -Generation 2 -MemoryStartupBytes 8GB `
-NewVHDPath 'D:\VMs\DC01\DC01-OS.vhdx' -NewVHDSizeBytes 100GB `
-SwitchName 'vSwitch-LAN' -Path 'D:\VMs\DC01'
Set-VMProcessor -VMName 'DC01' -Count 4
Set-VMMemory -VMName 'DC01' -DynamicMemoryEnabled $false
Set-VMDvdDrive -VMName 'DC01' -Path 'D:\ISO\WindowsServer2025.iso'
Start-VM -Name 'DC01'La mémoire dynamique est désactivée sur un DC : Microsoft documente explicitement que la mémoire dynamique sur un DC peut causer des incohérences de réplication, notamment avec les snapshots. Allouer fixe 8 Go résout définitivement la question pour une PME.
Étape 2 — Installer Windows Server 2025 Standard avec Desktop Experience
L’installation classique se déroule en trois écrans de l’assistant. Quatre points méritent attention : le choix de l’édition, l’acceptation des termes, le type d’installation, et le partitionnement.
Au moment du choix de l’édition, sélectionner Windows Server 2025 Standard (Desktop Experience). L’édition Standard couvre les besoins d’une PME (deux VM Windows incluses par licence physique). Le mode Desktop Experience ajoute l’interface graphique : indispensable si l’équipe IT n’a pas une maîtrise totale de PowerShell. Server Core est plus léger mais réservé aux administrateurs aguerris.
À l’écran de partitionnement, supprimer toute partition résiduelle, puis cliquer sur Nouveau sans préciser de taille — Windows allouera tout l’espace. Le programme crée automatiquement les partitions EFI, MSR, OS et de récupération. L’installation copie les fichiers, redémarre deux fois, puis demande le mot de passe administrateur local.
Ce mot de passe administrateur local sera écrasé par AD DS lors de la promotion ; néanmoins on le choisit fort (minimum 15 caractères) car il reste le mot de passe DSRM par défaut tant qu’on ne le change pas via ntdsutil.
Une fois le bureau Windows accessible, ouvrir une session avec ce compte administrateur.
Étape 3 — Renommer la machine
Par défaut, Windows attribue un nom du type WIN-XXXXX. Pour une infrastructure propre, on impose une convention dès le départ : DC01 pour le premier contrôleur, DC02 pour le second. Le renommage se fait en une ligne PowerShell, suivie d’un redémarrage :
Rename-Computer -NewName 'DC01' -Force -RestartAprès reboot, vérifier avec hostname. Si le nom est désormais DC01, c’est bon. Important : ne jamais renommer un serveur après l’avoir promu comme DC. Le nom du DC est ancré dans la base AD et la procédure de renommage post-promotion (netdom renamecomputer) est lourde et risquée.
Étape 4 — Configurer le réseau avec une IP statique
Un contrôleur de domaine doit avoir une IP fixe, jamais en DHCP. Sa résolution DNS doit pointer vers lui-même (loopback) ou vers le futur second DC. Cette configuration sera affinée à l’étape de promotion, mais on pose dès maintenant l’IP statique.
Repérer l’adaptateur via PowerShell :
Get-NetAdapter | Format-Table Name,Status,LinkSpeedL’adaptateur principal s’appelle typiquement Ethernet. On y attache l’adressage cible :
New-NetIPAddress -InterfaceAlias 'Ethernet' `
-IPAddress 10.10.0.10 -PrefixLength 24 -DefaultGateway 10.10.0.1
Set-DnsClientServerAddress -InterfaceAlias 'Ethernet' `
-ServerAddresses 127.0.0.1, 10.10.0.11L’IP 10.10.0.10 est celle de DC01. Le DNS primaire pointe sur lui-même (sera servi par AD après promotion). Le DNS secondaire 10.10.0.11 est l’IP réservée au futur DC02 — on l’inscrit dès maintenant, même si le serveur n’existe pas encore. Tester avec :
ipconfig /all
Test-NetConnection -ComputerName 10.10.0.1 -Port 80Le ping doit passer. Si Test-NetConnection renvoie TcpTestSucceeded: False sur la passerelle, vérifier la VLAN, le vSwitch Hyper-V ou le pare-feu hyperviseur avant d’aller plus loin.
Étape 5 — Appliquer toutes les mises à jour Windows
Un serveur de production doit partir d’une base à jour. Windows Update sur Server 2025 fonctionne par défaut. On force la recherche et l’installation via PowerShell pour gagner du temps :
Install-Module -Name PSWindowsUpdate -Force -SkipPublisherCheck
Import-Module PSWindowsUpdate
Get-WindowsUpdate -MicrosoftUpdate
Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoRebootLe module PSWindowsUpdate est maintenu par la communauté et largement adopté dans les pipelines d’administration. Il peut redémarrer la machine automatiquement (-AutoReboot). Après reboot, relancer Get-WindowsUpdate jusqu’à obtenir une liste vide.
Avant d’aller plus loin, vérifier la version exacte :
[System.Environment]::OSVersion.Version
Get-ComputerInfo | Select-Object OsName, OsVersion, OsBuildNumberL’OsBuildNumber doit être 26100.x ou supérieur — c’est la branche Windows Server 2025 GA. Si la version affiche encore l’ISO d’installation (26100 sans mises à jour), il manque les patchs cumulatifs.
Étape 6 — Désactiver l’IPv6 si vous ne l’utilisez pas
Cette étape est controversée. Microsoft recommande de laisser IPv6 activé sur les DC. En pratique, si votre LAN est IPv4-only, IPv6 génère du bruit (route de lien local, traffic Teredo, registrations DNS supplémentaires) sans bénéfice. Compromis raisonnable : laisser IPv6 sur les cartes mais désactiver les composants de transition (Teredo, ISATAP, 6to4) :
Set-NetTeredoConfiguration -Type Disabled
Set-Net6to4Configuration -State Disabled
Set-NetIsatapConfiguration -State DisabledSi vous décidez de désactiver complètement IPv6 sur l’adaptateur, faites-le via la GUI (Centre Réseau et partage → Propriétés de l’adaptateur → décocher IPv6), pas par registre — Microsoft a documenté que la désactivation par DisabledComponents entraîne des effets de bord sur AD.
Étape 7 — Activer le pare-feu et les règles de management
Windows Defender Firewall est activé par défaut sur Windows Server 2025. Vérifier que les trois profils (Domain, Private, Public) sont actifs :
Get-NetFirewallProfile | Select-Object Name, EnabledLes trois doivent afficher True. Activer les règles de management Windows pour permettre WinRM et l’administration à distance :
Enable-PSRemoting -Force
Get-NetFirewallRule -DisplayGroup 'Windows Remote Management' | `
Set-NetFirewallRule -Enabled TrueWinRM permettra ensuite d’administrer DC01 depuis un poste d’administration sans ouvrir de session console. Test rapide depuis un autre poste : Enter-PSSession -ComputerName 10.10.0.10 -Credential (Get-Credential).
Étape 8 — Installer le rôle AD DS (sans promotion)
On installe enfin le rôle Active Directory Domain Services et ses outils d’administration. La promotion proprement dite — qui transforme le serveur en contrôleur de domaine — se fait dans le tutoriel suivant. À ce stade, on prépare uniquement les binaires.
Install-WindowsFeature -Name AD-Domain-Services `
-IncludeManagementToolsL’installation dure 2 à 5 minutes selon la rapidité du disque. À la fin, la sortie indique Success: True, RestartNeeded: No. Aucun redémarrage n’est requis à cette étape — c’est la promotion qui en demandera un.
Vérifier l’installation :
Get-WindowsFeature -Name AD-Domain-Services
Get-WindowsFeature -Name RSAT-AD-ToolsLes deux doivent afficher Installed dans la colonne Install State.
Étape 9 — Configurer le fuseau horaire et NTP
Kerberos est intolérant aux dérives d’horloge — par défaut, plus de 5 minutes de décalage entre client et DC empêchent l’authentification. Régler le fuseau et la synchronisation NTP avant la promotion évite des heures de débogage plus tard.
Set-TimeZone -Name 'Romance Standard Time'
w32tm /config /manualpeerlist:"pool.ntp.org,0x9" /syncfromflags:manual /reliable:yes /update
Restart-Service w32time
w32tm /resync /forceLe fuseau Romance Standard Time correspond à UTC+1/UTC+2 (Paris). Adapter selon votre localisation : Get-TimeZone -ListAvailable | Where-Object Id -like '*Africa*' liste les fuseaux africains. Une fois la forêt promue, c’est le PDC Emulator qui devra synchroniser avec un NTP externe, et tous les autres DC se synchroniseront sur lui.
Étape 10 — Vérifier l’état du serveur
Avant de passer à la promotion, valider que tout est en place. Un script de check rapide :
Write-Host '=== Identité ==='
hostname
[System.Environment]::OSVersion
Write-Host '=== Réseau ==='
Get-NetIPAddress -AddressFamily IPv4 | Where-Object InterfaceAlias -eq 'Ethernet'
Get-DnsClientServerAddress -InterfaceAlias 'Ethernet' -AddressFamily IPv4
Write-Host '=== AD DS ==='
Get-WindowsFeature -Name AD-Domain-Services | Select-Object Name, InstallState
Write-Host '=== Mises à jour ==='
Get-HotFix | Select-Object -Last 5 HotFixID, InstalledOn
Write-Host '=== Pare-feu ==='
Get-NetFirewallProfile | Select-Object Name, EnabledLe résultat attendu : hostname DC01, IP 10.10.0.10, DNS 127.0.0.1, 10.10.0.11, AD DS Installed, hotfixes récents, pare-feu activé sur les trois profils. Si l’un de ces points est rouge, corriger avant la promotion.
Étape 11 — Créer un snapshot ou une sauvegarde avant la promotion
Dernière étape, et la plus importante en cas de pépin. Avant de lancer Install-ADDSForest dans le tutoriel suivant, on prend une image cohérente de la VM. Cela permet, si la promotion échoue ou produit une forêt mal nommée, de revenir en deux clics au serveur prêt-mais-pas-encore-DC.
Sur Hyper-V :
Checkpoint-VM -Name 'DC01' -SnapshotName 'Pre-Promotion'Sur Proxmox/VMware/ESXi, créer un snapshot équivalent depuis l’interface. Important : ce snapshot est destiné à être supprimé dès que la promotion réussit. Garder un snapshot Hyper-V plus de quelques heures sur un DC est explicitement contre-indiqué par Microsoft (USN rollback, divergences NTDS).
Erreurs fréquentes
| Symptôme | Cause | Solution |
|---|---|---|
Install-WindowsFeature échoue avec The source files could not be found |
WIM source incomplet, image Server Core en lieu et place de Desktop Experience | Ajouter -Source 'D:\sources\sxs' pointant vers l’ISO monté, ou désactiver Windows Update temporairement et réessayer. |
| Pas de connectivité depuis la VM | vSwitch externe non lié à la carte physique, VLAN mal taggée | Sur Hyper-V Manager, vérifier le vSwitch ; sur Proxmox, vérifier le bridge ; tester avec une seconde VM sur le même switch. |
| PSWindowsUpdate refuse de s’installer | NuGet provider absent, TLS 1.2 désactivé sur ancienne ISO | [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 puis Install-PackageProvider -Name NuGet -Force. |
| Erreur Cannot bind argument sur Rename-Computer | Nom contient un trait d’union, plus de 15 caractères ou caractères Unicode | Respecter le format NetBIOS : ASCII, ≤ 15 caractères, sans espaces ni accents. |
| Heure dérive après reboot | Hyper-V Time Synchronization service activé en plus de w32time | Désactiver le service d’intégration Time synchronization sur la VM (Settings → Integration Services). |
Vérification finale
Vous devez maintenant disposer d’un serveur Windows Server 2025 nommé DC01, avec IP fixe 10.10.0.10, DNS pointant vers lui-même, mises à jour appliquées, rôle AD DS installé mais non promu, NTP synchronisé et snapshot pré-promotion en place. Le serveur est prêt à devenir le premier contrôleur de domaine de votre forêt.
La suite logique est l’enchaînement Promouvoir le premier contrôleur de domaine Active Directory, puis DNS intégré à Active Directory. Pour les concepts globaux, retour à Windows Server 2025 et Active Directory pour PME.