Contexte
Déploiement d’un environnement Active Directory dans le homelab pour pratiquer l’administration Windows Server en conditions réelles. Le DC vit sur PVE-02 (allumé H24) dans le VLAN 10 MGMT. Le domaine corp.homelab.lan est volontairement distinct de homelab.lan (FQDN infra Proxmox) et du domaine de services NPM — aucun impact sur la résolution DNS existante.
Paramètres techniques
| Paramètre | Valeur |
|---|---|
| VM Proxmox | vm-dc-01 (VMID 502) |
| Nœud hôte | PVE-02 (HP ProDesk 600 G2, H24) |
| Hostname Windows | DC01 → FQDN DC01.corp.homelab.lan |
| OS | Windows Server 2022 Standard Core (éval 180j, sans Desktop Experience) |
| IP statique | IP fixe VLAN 10 MGMT |
| Passerelle | pfSense (VLAN 10 MGMT) |
| DNS (après promotion) | 127.0.0.1 + forwarder → AdGuard Home (VLAN 10 MGMT) |
| Domaine AD | corp.homelab.lan (nouvelle forêt, niveau fonctionnel WinThreshold/2016) |
| Ressources VM | 2 vCPU (host), 4096 Mo RAM (balloon off), 60 Go VirtIO SCSI |
| Firmware | UEFI (OVMF) + machine q35 |
Ce que j’ai fait
Chantier 1 — Création de la VM Windows Server 2022 Core
- Création de la VM via CLI
qm create 502(q35/OVMF, VirtIO SCSI, NIC VirtIO sur vmbr0 sans tag VLAN → accès VLAN 10 MGMT) - Installation Windows Server 2022 Standard Core (pas Desktop Experience — plus léger, interface CLI/PowerShell)
- Chargement des drivers VirtIO depuis le CD virtio-win (
vioscsi\2k22\amd64) pour que le disque soit détecté - Installation du QEMU Guest Agent (
virtio-win-guest-tools.exe) — Proxmox affiche l’IP de la VM - Configuration via PowerShell : hostname
DC01, IP statique VLAN 10 MGMT, DNS temporaire sur AdGuard, fuseau Europe/Paris - Activation RDP pour administration à distance (via
mstscdepuis le VLAN 10) - Éjection des ISOs et verrouillage du boot sur le disque VirtIO
Chantier 2 — Promotion AD DS + DNS corp.homelab.lan
- Installation du rôle AD DS (
Install-WindowsFeature AD-Domain-Services) - Création d’une nouvelle forêt
corp.homelab.lan(1er contrôleur de domaine) - Configuration du DNS intégré à l’AD :
- Zone autoritaire
corp.homelab.lan(AD-intégrée, réplication automatique) - Forwarder → AdGuard Home pour toute requête extérieure (préserve le filtrage et le split-horizon interne)
- Zone autoritaire
- Synchronisation horaire NTP (Kerberos exige < 5 min de décalage)
- Création de l’arborescence d’UOs : Utilisateurs, Ordinateurs, Groupes, Serveurs
Stratégies de groupe (GPO)
- GPO sécurité des mots de passe : longueur ≥ 12 caractères, complexité, expiration 90j
- GPO restrictions : désactivation du Panneau de configuration, blocage des périphériques USB
- GPO bureautique : mappage de lecteurs réseau, configuration de fond d’écran
- Vérification avec
gpresult /retgpupdate /forcedepuis les postes clients
Décisions d’architecture
| Sujet | Décision | Raison |
|---|---|---|
| Mode OS | Core (pas Desktop Experience) | ~4 Go RAM, CLI/PowerShell = pratique SISR |
| Nœud hôte | PVE-02 (H24) | Le DC doit rester disponible en permanence |
| VLAN | VLAN 10 MGMT | Pas de recâblage, uplink déjà en access VLAN 10 |
| DHCP | Aucun rôle DHCP sur le DC | Kea/pfSense reste le DHCP du VLAN 10 |
| lldap | Conservé en parallèle | Migration vers AD décidée plus tard |
| Domaine | corp.homelab.lan | Zéro collision avec homelab.lan ni le domaine de services |
Compétences mobilisées
L’Active Directory est le pilier de la gestion des identités numériques (B3.2) et du patrimoine informatique (B1.1). Les GPO permettent de sécuriser les équipements et usages de manière centralisée (B3.3). La configuration DNS intégrée couvre la mise à disposition d’un service d’annuaire (B2.2).