Install a new Active Directory forest using Azure CLI (Instalación de un nuevo bosque de Active Directory en la CLI de Azure)

AD DS se puede ejecutar en una máquina virtual (VM) de Azure de la misma manera que se ejecuta en muchas instancias locales. En este artículo se explica cómo implementar un nuevo bosque de AD DS, en dos controladores de dominio nuevos, en un conjunto de disponibilidad de Azure mediante Azure Portal y CLI de Azure. Muchos clientes encuentran esta guía útil al crear un laboratorio o prepararse para implementar controladores de dominio en Azure.

Componentes

  • Un grupo de recursos en el que colocar todo.
  • Una instancia de Azure Virtual Network,subred, grupo de seguridad de red y regla para permitir el acceso RDP a las máquinas virtuales.
  • Un conjunto de disponibilidad de máquina virtual de Azure en el que colocar dos Active Directory Domain Services (AD DS) de dominio.
  • Dos máquinas virtuales de Azure para ejecutar AD DS y DNS.

Elementos que no están cubiertos

Compilación del entorno de prueba

Usamos las Azure Portal y CLI de Azure para crear el entorno.

La CLI de Azure se usa para crear y administrar recursos de Azure desde la línea de comandos o en scripts. En este tutorial se detalla el uso CLI de Azure para implementar máquinas virtuales que ejecutan Windows Server 2019. Una vez completada la implementación, nos conectamos a los servidores e instalamos AD DS.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Uso de la CLI de Azure

El siguiente script automatiza el proceso de creación de dos máquinas virtuales de Windows Server 2019, con el fin de compilar controladores de dominio para un nuevo bosque de Active Directory en Azure. Un administrador puede modificar las variables siguientes para satisfacer sus necesidades y, a continuación, completarlas como una operación. El script crea el grupo de recursos necesario, el grupo de seguridad de red con una regla de tráfico para Escritorio remoto, la red virtual y la subred, y el grupo de disponibilidad. Cada una de las máquinas virtuales se construye con un disco de datos de 20 GB con el almacenamiento en caché deshabilitado AD DS en el que se instalarán las máquinas virtuales.

El script siguiente se puede ejecutar directamente desde el Azure Portal. Si decide instalar y usar la CLI localmente, para esta guía de inicio rápido es preciso que ejecute la CLI de Azure versión 2.0.4 o posterior. Ejecute az --version para encontrar la versión. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure 2.0.

Nombre de la variable Finalidad
AdminUsername Nombre de usuario que se va a configurar en cada máquina virtual como administrador local.
AdminPassword Contraseña de texto no cifrado que se va a configurar en cada máquina virtual como contraseña de administrador local.
ResourceGroupName Nombre que se va a usar para el grupo de recursos. No debe duplicar un nombre existente.
Location Nombre de ubicación de Azure en el que desea realizar la implementación. Enumera las regiones admitidas para la suscripción actual mediante az account list-locations .
VNetName Nombre para asignar la red virtual de Azure No debe duplicar un nombre existente.
VNetAddress Ámbito ip que se usará para las redes de Azure. No debe duplicar un intervalo existente.
SubnetName Nombre para asignar la subred IP. No debe duplicar un nombre existente.
SubnetAddress Dirección de subred para los controladores de dominio. Debe ser una subred dentro de la red virtual.
AvailabilitySet Nombre del conjunto de disponibilidad al que se unirán las máquinas virtuales del controlador de dominio.
VMSize Tamaño estándar de máquina virtual de Azure disponible en la ubicación para la implementación.
DataDiskSize Tamaño en GB para el disco de datos donde AD DS instalación.
DomainController1 Nombre del primer controlador de dominio.
DC1IP Dirección IP del primer controlador de dominio.
DomainController2 Nombre del segundo controlador de dominio.
DC2IP Dirección IP del segundo controlador de dominio.
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS y Active Directory

Si las máquinas virtuales de Azure creadas como parte de este proceso serán una extensión de una infraestructura de Active Directory local existente, la configuración de DNS de la red virtual debe cambiarse para incluir los servidores DNS locales antes de la implementación. Este paso es importante para permitir que los controladores de dominio recién creados en Azure resuelvan los recursos locales y permitan que se produzca la replicación. Puede encontrar más información sobre DNS, Azure y cómo configurar opciones en la sección Resolución de nombres que usa su propio servidor DNS.

Después de promover los nuevos controladores de dominio en Azure, deben establecerse en los servidores DNS principal y secundario de la red virtual, y los servidores DNS locales se degradarán a terciarios y posteriores. Hasta que se reinicien, las máquinas virtuales seguirán usando la configuración de DNS que consideran actual. Puede encontrar más información sobre cómo cambiar los servidores DNS en el artículo Creación, cambio o eliminación de una red virtual.

Puede encontrar información sobre cómo extender una red local a Azure en el artículo Creación de una conexión VPN de sitio a sitio.

Configure las máquinas virtuales e instale Active Directory Domain Services

Una vez completado el script, vaya ala Azure Portal y, a continuación, a Máquinas virtuales.

Configuración del primer controlador de dominio

Conectar a AZDC01 con las credenciales proporcionadas en el script.

  • Inicialice y formatee el disco de datos como F:
    • Abra el menú Inicio y vaya a Administración de equipos.
    • Vaya aStorage Administración de discos
    • Inicialización del disco como MBR
    • Cree un nuevo volumen simple y asigne la letra de unidad F: puede proporcionar una etiqueta de volumen si lo desea.
  • Instalación Active Directory Domain Services mediante Administrador del servidor
  • Promover el controlador de dominio como el primero en un bosque nuevo
    • Deje activados el servidor del Sistema de nombres de dominio (DNS) y el Catálogo global (GC) en la página Opciones del controlador de dominio.
    • Especificar una contraseña Modo de restauración de servicios de directorio en función de los requisitos de la organización
    • Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos cuando se le pide su ubicación.
    • Revise las selecciones realizadas en el asistente y elija Siguiente.

Nota

La comprobación de requisitos previos le advertirá de que el adaptador de red físico no tiene asignadas direcciones IP estáticas; puede omitir esto de forma segura, ya que las direcciones IP estáticas se asignan en la red virtual de Azure.

  • Elija Instalar.

Cuando el asistente completa el proceso de instalación, la máquina virtual se reinicia.

Cuando la máquina virtual haya finalizado el reinicio, vuelva a iniciar sesión con las credenciales usadas anteriormente, pero esta vez como miembro del dominio que creó.

Nota

El primer inicio de sesión después de la promoción a un controlador de dominio puede tardar más de lo normal y esto es correcto. Tome una taza de té, café, agua u otras bebidas de su elección.

Las redes virtuales de Azure ahora admiten IPv6, pero en caso de que quiera establecer las máquinas virtuales para que prefieran IPv4 en lugar de IPv6, puede encontrar información sobre cómo completar esta tarea en el artículo de KB Guía para configurar IPv6en Windows para usuarios avanzados.

Configurar el DNS

Después de promover el primer servidor en Azure, los servidores de deben establecerse en los servidores DNS principal y secundario para la red virtual, y los servidores DNS locales se degradarán a terciarios y posteriores. Puede encontrar más información sobre cómo cambiar los servidores DNS en el artículo Creación, cambio o eliminación de una red virtual.

Configuración del segundo controlador de dominio

Conectar a AZDC02 con las credenciales proporcionadas en el script.

  • Inicialice y formatee el disco de datos como F:
    • Abra el menú Inicio y vaya a Administración de equipos.
    • Vaya aStorage Administración de discos
    • Inicialización del disco como MBR
    • Cree un nuevo volumen simple y asigne la letra de unidad F: (puede proporcionar una etiqueta volumen si lo desea)
  • Instalación Active Directory Domain Services mediante Administrador del servidor
  • Promoción del controlador de dominio
    • Agregar un controlador de dominio a un dominio existente: CONTOSO.com
    • Proporcionar credenciales para realizar la operación
    • Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos cuando se le pide su ubicación.
    • Asegúrese de que el servidor del Sistema de nombres de dominio (DNS) y el Catálogo global (GC) están activados en la página Opciones del controlador de dominio.
    • Especificar una contraseña Modo de restauración de servicios de directorio en función de los requisitos de la organización
    • Revise las selecciones realizadas en el asistente y elija Siguiente.

Nota

La comprobación de requisitos previos le advertirá de que el adaptador de red físico no tiene asignadas direcciones IP estáticas. Puede omitir esto de forma segura, ya que las direcciones IP estáticas se asignan en la red virtual de Azure.

  • Elija Instalar.

Cuando el asistente completa el proceso de instalación, la máquina virtual se reinicia.

Cuando la máquina virtual haya finalizado el reinicio, vuelva a iniciar sesión con las credenciales usadas antes, pero esta vez como miembro del dominio CONTOSO.com.

Las redes virtuales de Azure ahora admiten IPv6,pero en caso de que quiera establecer las máquinas virtuales para que prefieran IPv4 en lugar de IPv6, puede encontrar información sobre cómo completar esta tarea en el artículo de KB Guía para configurar IPv6 en Windows para usuarios avanzados.

Encapsulado

En este momento, el entorno tiene un par de controladores de dominio y hemos configurado la red virtual de Azure para que se puedan agregar servidores adicionales al entorno. Las tareas posteriores a la instalación de Active Directory Domain Services, como la configuración de sitios y servicios, la auditoría, la copia de seguridad y la protección de la cuenta de administrador integrada, deben completarse en este momento.

Eliminación del entorno

Para quitar el entorno, cuando haya completado las pruebas, se puede eliminar el grupo de recursos que creamos anteriormente. Este paso quita todos los componentes que forman parte de ese grupo de recursos.

Eliminación mediante Azure Portal

En la Azure Portal, vaya a Grupos de recursos y elija el grupo de recursos que hemos creado (en este ejemplo, ADoAzureVMs) y, a continuación, seleccione Eliminar grupo de recursos. El proceso solicita confirmación antes de eliminar todos los recursos incluidos en el grupo de recursos.

Quitar mediante el CLI de Azure

Desde CLI de Azure ejecute el siguiente comando:

az group delete --name ADonAzureVMs

Pasos siguientes