Promouvoir le premier contrôleur de domaine Active Directory pas à pas

Vous avez maintenant une machine Windows Server 2025 propre, avec IP fixe, mises à jour et rôle AD DS installé. C’est l’étape charnière : la promotion. À la fin de ce tutoriel, vous disposez d’une forêt Active Directory neuve, d’un premier contrôleur de domaine fonctionnel et d’une zone DNS intégrée à AD. Tout le reste de l’infrastructure se branchera dessus.

La promotion est une opération irréversible dans son nommage : le DNS de la forêt, le nom NetBIOS et le niveau fonctionnel choisis ne peuvent pas être modifiés trivialement plus tard. On les arbitre donc soigneusement avant de lancer la commande.

Prérequis recommandé : avoir suivi Installer Windows Server 2025 et préparer le rôle AD DS. Vue d’ensemble : Windows Server 2025 et Active Directory pour PME.

Prérequis

• Serveur Windows Server 2025 prêt (cf. tutoriel précédent), rôle AD DS installé, snapshot pré-promotion en place.
• Le nom DNS de la forêt arbitré : ad.entreprise.com recommandé (sous-domaine d’un nom public possédé).
• Le nom NetBIOS arbitré, 15 caractères max, en majuscules : ENTREPRISE ou AD.
• Un mot de passe DSRM fort en tête (Directory Services Restore Mode) : minimum 16 caractères, à ranger dans un coffre-fort de mots de passe.
• Niveau attendu : intermédiaire. Connaître la différence entre forêt et domaine, savoir lire une trace de commande PowerShell.
• Temps estimé : 20 à 30 minutes en comptant le redémarrage.

Étape 1 — Arbitrer les noms de forêt et de domaine

Le nom de domaine choisi ici sera utilisé chaque jour par tous les utilisateurs, chaque poste, chaque GPO. Le changer plus tard coûte cher (renommer un domaine n’est plus officiellement supporté depuis Windows Server 2016 sans manipulation lourde).

Trois bonnes pratiques actuelles :

• Pas de .local. Réservé par mDNS (Bonjour, Apple, Linux), il génère des conflits subtils dès qu’on a un iPhone ou un Mac sur le réseau.
• Pas le même nom que le domaine public. Si l’entreprise possède entreprise.com, ne pas nommer la forêt entreprise.com ; les utilisateurs auraient des conflits DNS entre l’interne et l’externe.
• Sous-domaine d’un domaine public possédé : ad.entreprise.com ou corp.entreprise.com. Vous contrôlez le nom, il est unique au monde, et l’émission de certificats publics reste possible.

Pour ce tutoriel, on retient ad.entreprise.com, nom NetBIOS ENTREPRISE.

Étape 2 — Vérifier les prérequis avant la promotion

Une commande PowerShell anticipe les erreurs : Test-ADDSForestInstallation. Elle simule la promotion sans la lancer et signale les blocages.

Test-ADDSForestInstallation `
  -DomainName 'ad.entreprise.com' `
  -DomainNetbiosName 'ENTREPRISE' `
  -ForestMode 'WinThreshold' `
  -DomainMode 'WinThreshold' `
  -InstallDns:$true `
  -DatabasePath 'C:\Windows\NTDS' `
  -SysvolPath 'C:\Windows\SYSVOL' `
  -LogPath 'C:\Windows\NTDS'

La sortie liste des messages. Les warnings sur la délégation DNS (No DNS delegation) sont normaux dans un environnement déconnecté du DNS public. Le warning sur la cryptographie compatible (cryptographic algorithms compatible with Windows NT 4.0) est anodin : Windows Server 2025 utilise les algorithmes modernes par défaut.

Si une erreur bloquante apparaît (réseau, espace disque, version d’OS), corriger avant de continuer.

Étape 3 — Choisir le niveau fonctionnel

Le Forest Mode et le Domain Mode définissent les fonctionnalités AD disponibles et les versions de DC compatibles. En forêt neuve avec uniquement des DC Windows Server 2025, on a deux options :

• WinThreshold (alias Windows Server 2016) — niveau fonctionnel 7, compatible avec tous les DC 2016/2019/2022/2025.
• Niveau fonctionnel 10 (Windows Server 2025) — débloque la base 32 Ko, multi-NUMA, attributs multivalués élargis. Important : la documentation officielle du cmdlet Install-ADDSForest sur Windows Server 2025 n’accepte que les valeurs Win2008, Win2008R2, Win2012, Win2012R2, WinThreshold, Default. Le niveau 10 ne se choisit pas à la promotion : on installe avec WinThreshold puis on monte forest et domain modes après coup.

Pour ce tutoriel, on retient WinThreshold. Le passage au niveau 10 se fait dans un second temps, quand tous les DC tournent en Windows Server 2025, via Set-ADForestMode -Identity (Get-ADForest) -ForestMode Windows2025Forest et Set-ADDomainMode -Identity (Get-ADDomain) -DomainMode Windows2025Domain. L’opération est irréversible.

Aparté — Les cinq rôles FSMO

Avant de promouvoir, comprendre ce qui va être attribué automatiquement à DC01 aide à mieux gérer la suite. Active Directory distribue cinq rôles uniques (Flexible Single Master Operations) qu’aucun autre DC ne peut assumer simultanément :

• Schema Master — un par forêt. Détient l’autorisation d’étendre le schéma (ajout d’attributs, classes). Très peu sollicité.
• Domain Naming Master — un par forêt. Valide l’ajout ou la suppression de domaines dans la forêt.
• RID Master — un par domaine. Distribue des pools de RID (Relative Identifier) aux autres DC, qui les utilisent pour générer les SID des objets créés.
• PDC Emulator — un par domaine. Source d’horloge maître, gère les changements de mot de passe en priorité, détient les GPO maîtres. C’est le plus critique au quotidien.
• Infrastructure Master — un par domaine. Maintient les références d’objets inter-domaines.

Sur un premier DC, les cinq lui sont attribués. La répartition optimale sur plusieurs DC fait l’objet d’un tutoriel dédié plus loin dans la série.

Étape 4 — Promouvoir le serveur en premier contrôleur de domaine

La commande clé est Install-ADDSForest. Elle crée la forêt, le premier domaine, configure DNS et SYSVOL, écrase le mot de passe administrateur local et redémarre le serveur en contrôleur de domaine.

$dsrm = ConvertTo-SecureString 'VotreMotDePasseDSRM-Fort!2026' -AsPlainText -Force

Install-ADDSForest `
  -DomainName 'ad.entreprise.com' `
  -DomainNetbiosName 'ENTREPRISE' `
  -ForestMode 'WinThreshold' `
  -DomainMode 'WinThreshold' `
  -InstallDns:$true `
  -SafeModeAdministratorPassword $dsrm `
  -DatabasePath 'C:\Windows\NTDS' `
  -SysvolPath 'C:\Windows\SYSVOL' `
  -LogPath 'C:\Windows\NTDS' `
  -NoRebootOnCompletion:$false `
  -Force:$true

L’exécution prend 10 à 15 minutes. PowerShell affiche une succession de tâches : création de la base NTDS, configuration DNS, installation des services Kerberos, génération du keytab, configuration SYSVOL, redémarrage automatique. Ne pas interrompre.

Le mot de passe DSRM est utilisé pour démarrer le DC en mode restauration (réparation de l’AD, restauration d’un backup System State). On ne s’en sert presque jamais — d’où l’importance d’un coffre-fort.

Après reboot, le serveur est devenu un contrôleur de domaine. La session de connexion utilise désormais le compte ENTREPRISE\Administrator (et non plus le local).

Étape 5 — Premier ouverture de session sur le DC

Au premier login post-promotion, ouvrir une session avec le compte ENTREPRISE\Administrator. Le mot de passe est celui qui était défini sur l’administrateur local au moment de la promotion. PowerShell, Server Manager et les consoles MMC (ADUC, DNS, GPMC) sont désormais disponibles.

Confirmer le statut DC :

Get-ADDomain
Get-ADForest
Get-ADDomainController

Get-ADDomain doit renvoyer DNSRoot: ad.entreprise.com, NetBIOSName: ENTREPRISE. Get-ADForest doit lister le DC1 dans GlobalCatalogs. Get-ADDomainController confirme le rôle.

Étape 6 — Vérifier les enregistrements DNS critiques

Active Directory s’appuie sur des enregistrements DNS SRV pour annoncer ses services. La promotion crée la zone ad.entreprise.com et y inscrit automatiquement les SRV. Les vérifier explicitement :

Resolve-DnsName -Name '_ldap._tcp.ad.entreprise.com' -Type SRV
Resolve-DnsName -Name '_kerberos._tcp.ad.entreprise.com' -Type SRV
Resolve-DnsName -Name 'ad.entreprise.com' -Type A

Le SRV _ldap._tcp doit pointer sur DC01 avec le port 389. _kerberos._tcp sur le port 88. L’enregistrement A du domaine doit lister l’IP du DC. Si l’un manque, redémarrer netlogon :

Restart-Service netlogon
ipconfig /registerdns
dcdiag /test:registerindns /dnsdomain:ad.entreprise.com

Étape 7 — Lancer le diagnostic dcdiag

dcdiag est l’outil de diagnostic santé d’un DC. À chaque mise en service, on le lance pour valider l’état :

dcdiag /v /c /e /f:dcdiag.log
notepad dcdiag.log

Le fichier généré liste tous les tests réussis et les éventuelles erreurs. Les warnings classiques en environnement isolé : DNS test failed sur les forwarders externes (normal si pas d’accès Internet sortant pour la résolution récursive), RidManager qui n’a pas encore alloué de RID pool (normal sur un DC neuf, le pool se crée au premier compte créé). Toute autre erreur en rouge est à investiguer.

Étape 8 — Configurer le forwarder DNS

Par défaut, le serveur DNS du DC fait de la résolution récursive directe en interrogeant les root hints. C’est lent et peu fiable. On configure un forwarder vers un DNS public stable :

Add-DnsServerForwarder -IPAddress 1.1.1.1, 8.8.8.8 -PassThru

1.1.1.1 est Cloudflare, 8.8.8.8 est Google. Vérifier la résolution externe :

Resolve-DnsName -Name google.com

Si la résolution échoue, vérifier le pare-feu sortant UDP 53 vers Internet.

Étape 9 — Confirmer les rôles FSMO

Sur un premier DC, les cinq rôles FSMO sont automatiquement détenus par lui. La commande netdom les confirme :

netdom query fsmo

Les cinq lignes doivent toutes renvoyer DC01.ad.entreprise.com. La répartition des FSMO sur plusieurs DC fait l’objet d’un tutoriel séparé sur le second DC.

Étape 10 — Supprimer le snapshot pré-promotion

Le snapshot Hyper-V créé avant la promotion ne doit pas être conservé. Maintenant que le DC est sain, on l’efface :

Get-VMSnapshot -VMName 'DC01'
Remove-VMSnapshot -VMName 'DC01' -Name 'Pre-Promotion'

Garder un snapshot Hyper-V sur un DC actif risque un USN rollback si on revient en arrière par mégarde — la base AD repart avec un numéro de séquence inférieur à celui que ses pairs connaissent, ce qui peut désynchroniser toute la forêt.

Étape 11 — Vérifier la base AD et le SYSVOL

La base Active Directory est désormais sur disque. Vérifier qu’elle est cohérente et lisible. La commande ntdsutil files integrity lit chaque page de la base et signale la moindre corruption — mais elle exige que le service NTDS soit arrêté (ou que le DC ait démarré en mode DSRM). C’est donc une opération de maintenance planifiée, pas un check à chaud :

# En fenêtre de maintenance — arrêter d'abord les services dépendants
Stop-Service -Name 'Kdc','IsmServ','DNS','DFSR','NTDS' -Force

# Puis lancer ntdsutil
ntdsutil
activate instance ntds
files
integrity
quit
quit

# Redémarrer les services à la fin
Start-Service -Name 'NTDS','DNS','DFSR','IsmServ','Kdc'

Sur un DC neuf, le test passe en quelques secondes. Si une erreur apparaît, restaurer le snapshot pré-promotion et investiguer l’hôte (RAM ECC ? Disque dur ?). À noter : sur Windows Server 2003/2000, le test exigeait un démarrage en mode DSRM via F8 ; depuis Windows Server 2008, l’arrêt simple du service NTDS suffit.

Vérifier également SYSVOL, le partage qui distribue les GPO et les scripts logon :

Get-DfsrState -ComputerName DC01
robocopy 'C:\Windows\SYSVOL\sysvol\ad.entreprise.com' NUL /S /L | Out-String

SYSVOL doit contenir au minimum le dossier Policies avec deux GPO par défaut (Default Domain Policy et Default Domain Controllers Policy). DFSR doit indiquer un état Normal.

Étape 12 — Sauvegarde initiale du System State

Un DC fraîchement promu mérite une première sauvegarde. Windows Server Backup n’est pas installé par défaut :

Install-WindowsFeature -Name Windows-Server-Backup
wbadmin start systemstatebackup -backupTarget:E: -quiet

Le paramètre backupTarget doit pointer sur un volume distinct du système (par exemple un disque E:\ ajouté à la VM). La sauvegarde système d’un DC neuf prend 5 à 10 minutes et occupe 8 à 15 Go. Elle servira de point de retour si quelque chose dérape pendant les configurations suivantes.

Ce qui change concrètement après la promotion

Le passage d’un serveur Windows ordinaire à un contrôleur de domaine modifie en profondeur l’identité du serveur et son comportement. Comprendre ces changements évite des surprises lors des configurations suivantes.

Le compte Administrator local disparaît tel quel : il devient le compte Administrator du domaine, désormais membre des groupes Domain Admins, Enterprise Admins, Schema Admins et Group Policy Creator Owners. Tous les comptes locaux préexistants sont migrés mais perdent leur statut d’administrateur local privilégié. Conséquence pratique : on n’ouvre plus jamais une session sur le DC avec un compte de bureautique, on utilise des comptes dédiés Tier 0.

La base SAM locale (où Windows stocke les comptes locaux) est désactivée pour l’administration : SAM existe encore mais le seul compte qui peut s’y connecter est l’Administrateur DSRM, et uniquement quand le DC démarre en mode restauration. Toute la gestion des comptes passe désormais par l’annuaire AD.

Le service Netlogon change de mode : il devient autoritaire pour la zone DNS du domaine et inscrit dynamiquement les enregistrements SRV nécessaires aux clients pour trouver le DC. Le service Kerberos Key Distribution Center (KDC) est désormais actif et écoute en UDP/TCP 88.

Le pare-feu local applique automatiquement les règles Domain Controller : LDAP (389), LDAPS (636), Global Catalog (3268, 3269), Kerberos (88, 464), RPC dynamique (49152-65535) sont ouverts. Si le DC est exposé au-delà du LAN, prévoir un pare-feu périmétrique restrictif.

Enfin, le serveur ne peut plus être retiré du domaine par simple Remove-Computer : il doit être déprommu via Uninstall-ADDSDomainController, ce qui ne fonctionne que s’il reste au moins un autre DC dans le domaine — ou avec l’option -LastDomainControllerInDomain qui détruit le domaine entier.

Erreurs fréquentes

Vérification finale

Vous disposez maintenant d’une forêt Active Directory neuve nommée ad.entreprise.com, NetBIOS ENTREPRISE, hébergée sur un unique contrôleur de domaine DC01 avec rôle DNS intégré. dcdiag passe sans erreur rouge, les SRV sont en place, le forwarder DNS résout correctement vers l’extérieur et une première sauvegarde System State est sur le disque secondaire.

Le domaine reste fragile à ce stade : un seul DC, pas de redondance. La suite logique est la conception de l’OU et des groupes pour structurer l’annuaire, puis la mise en place du DNS et du DHCP. Plus tard, le second contrôleur de domaine apportera la redondance.

Ressources officielles

• Install Active Directory Domain Services (Level 100) — Microsoft Learn
• Install-ADDSForest cmdlet reference — Microsoft Learn PowerShell
• Use dcdiag to troubleshoot AD replication — Microsoft Learn
• FSMO roles overview — Microsoft Learn