Fase 2 dell'autenticazione federata a disponibilità elevata: configurare i controller di dominioHigh availability federated authentication Phase 2: Configure domain controllers

In questa fase di distribuzione della disponibilità elevata per Microsoft 365'autenticazione federata nei servizi infrastruttura di Azure, si configurano due controller di dominio e il server di sincronizzazione della directory nella rete virtuale di Azure.In this phase of deploying high availability for Microsoft 365 federated authentication in Azure infrastructure services, you configure two domain controllers and the directory synchronization server in the Azure virtual network. Le richieste Web client per l'autenticazione possono quindi essere autenticate nella rete virtuale di Azure, anziché inviare tale traffico di autenticazione tramite la connessione VPN da sito a sito alla rete locale.Client web requests for authentication can then be authenticated in the Azure virtual network, rather than sending that authentication traffic across the site-to-site VPN connection to your on-premises network.

Nota

Active Directory Federation Services (AD FS) non può usare Azure Active Directory (Azure AD) in sostituzione dei controller di dominio di Servizi di dominio Active Directory.Active Directory Federation Services (AD FS) cannot use Azure Active Directory (Azure AD) as a substitute for Active Directory Domain Services (AD DS) domain controllers.

È necessario completare questa fase prima di passare alla fase 3: configurare i server AD FS.You must complete this phase before moving on to Phase 3: Configure AD FS servers. Per tutte le fasi, vedere Deploy high availability federated authentication for Microsoft 365 in Azure.See Deploy high availability federated authentication for Microsoft 365 in Azure for all of the phases.

Creare le macchine virtuali dei controller di dominio in AzureCreate the domain controller virtual machines in Azure

Per prima cosa, è necessario compilare la colonna Nome macchina virtuale della tabella M e modificare le dimensioni della macchina virtuale secondo necessità nella colonna Dimensioni minime.First, you need to fill out the Virtual machine name column of Table M and modify virtual machine sizes as needed in the Minimum size column.

ElementoItem Nome macchina virtualeVirtual machine name Immagine della raccoltaGallery image Tipo di archiviazioneStorage type Dimensioni minimeMinimum size
1.1.
riga ______________ (primo controller di dominio, ad esempio DC1)(first domain controller, example DC1)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
2.2.
riga ______________ (secondo controller di dominio, ad esempio DC2)(second domain controller, example DC2)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
3.3.
riga (server di sincronizzazione della directory, esempio DS1)(directory synchronization server, example DS1)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
4.4.
riga (primo server AD FS, esempio ADFS1)(first AD FS server, example ADFS1)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
5.5.
riga (secondo server AD FS, esempio ADFS2)(second AD FS server, example ADFS2)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
6.6.
riga (primo server proxy dell'applicazione Web, esempio WEB1)(first web application proxy server, example WEB1)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
7.7.
riga (secondo server proxy dell'applicazione Web, esempio WEB2)(second web application proxy server, example WEB2)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2

Tabella M - Macchine virtuali per l'autenticazione federata a disponibilità elevata per Microsoft 365 in AzureTable M - Virtual machines for the high availability federated authentication for Microsoft 365 in Azure

Per l'elenco completo delle dimensioni delle macchine virtuali, vedere Dimensioni delle macchine virtuali.For the complete list of virtual machine sizes, see Sizes for virtual machines.

Il seguente blocco di comandi di Azure PowerShell consente di creare le macchine virtuali per i due controller di dominio.The following Azure PowerShell command block creates the virtual machines for the two domain controllers. Specificare i valori per le variabili, rimuovendo i < and > caratteri.Specify the values for the variables, removing the < and > characters. Si noti che il blocco di comandi di Azure PowerShell utilizza i valori indicati nelle tabelle riportate di seguito:Note that this Azure PowerShell command block uses values from the following tables:

  • Tabella M, per le macchine virtualiTable M, for your virtual machines

  • Tabella R, per i gruppi di risorseTable R, for your resource groups

  • Tabella V, per le impostazioni della rete virtualeTable V, for your virtual network settings

  • Tabella S, per le subnetTable S, for your subnets

  • Tabella I, per gli indirizzi IP staticiTable I, for your static IP addresses

  • Tabella A, per i set di disponibilitàTable A, for your availability sets

Tenere presente che le tabelle R, V, S, I e A sono definite nella fase 1: configurare Azure.Recall that you defined Tables R, V, S, I, and A in Phase 1: Configure Azure.

Nota

[!NOTA] I seguenti comandi consentono di utilizzare la versione più recente di Azure PowerShell.The following command sets use the latest version of Azure PowerShell. Vedi Introduzione a Azure PowerShell.See Get started with Azure PowerShell.

Una volta forniti tutti i valori corretti, eseguire il blocco risultante nel prompt di Azure PowerShell oppure in PowerShell Integrated Script Environment (ISE) nel computer locale.When you have supplied all the correct values, run the resulting block at the Azure PowerShell prompt or in the PowerShell Integrated Script Environment (ISE) on your local computer.

Suggerimento

Per generare blocchi di comandi di PowerShell pronti per l'esecuzione in base alle impostazioni personalizzate, utilizzare questa cartella di Microsoft Excel di configurazione.To generate ready-to-run PowerShell command blocks based on your custom settings, use this Microsoft Excel configuration workbook.

# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table S - Item 1 - Value column>"
$avName="<Table A - Item 1 - Availability set name column>"
$rgNameTier="<Table R - Item 1 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"

$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName

$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName 

# Create the first domain controller
$vmName="<Table M - Item 1 - Virtual machine name column>"
$vmSize="<Table M - Item 1 - Minimum size column>"
$staticIP="<Table I - Item 1 - Value column>"
$diskStorageType="<Table M - Item 1 - Storage type column>"
$diskSize=<size of the extra disk for Active Directory Domain Services (AD DS) data in GB>

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first domain controller." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the second domain controller
$vmName="<Table M - Item 2 - Virtual machine name column>"
$vmSize="<Table M - Item 2 - Minimum size column>"
$staticIP="<Table I - Item 2 - Value column>"
$diskStorageType="<Table M - Item 2 - Storage type column>"
$diskSize=<size of the extra disk for AD DS data in GB>

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second domain controller." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the directory synchronization server
$vmName="<Table M - Item 3 - Virtual machine name column>"
$vmSize="<Table M - Item 3 - Minimum size column>"
$staticIP="<Table I - Item 3 - Value column>"
$diskStorageType="<Table M - Item 3 - Storage type column>"

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the directory synchronization server." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Nota

Poiché queste macchine virtuali sono per un'applicazione Intranet, non sono assegnate a un indirizzo IP pubblico o a un'etichetta del nome di dominio DNS ed esposte a Internet. Tuttavia, ciò significa anche che non è possibile connettersi a tali macchine virtuali dal portale di Azure. L'opzione Connetti non è disponibile quando si visualizzano le proprietà della macchina virtuale. Usare l'accessorio Connessione desktop remoto o un altro strumento Desktop remoto per connettersi alla macchina virtuale usando il relativo indirizzo IP privato o il nome DNS Intranet.Because these virtual machines are for an intranet application, they are not assigned a public IP address or a DNS domain name label and exposed to the Internet. However, this also means that you cannot connect to them from the Azure portal. The Connect option is unavailable when you view the properties of the virtual machine. Use the Remote Desktop Connection accessory or another Remote Desktop tool to connect to the virtual machine using its private IP address or intranet DNS name.

Configurare il primo controller di dominioConfigure the first domain controller

Usare il client desktop remoto di propria scelta e creare una connessione desktop remoto per la macchina virtuale del primo controller di dominio. Usare il nome DNS Intranet o il nome computer e le credenziali dell'account di amministratore locale.Use the remote desktop client of your choice and create a remote desktop connection to the first domain controller virtual machine. Use its intranet DNS or computer name and the credentials of the local administrator account.

Successivamente, aggiungere il disco dati aggiuntivo al primo controller di dominio con questo comando da un prompt dei comandi di Windows PowerShell nella prima macchina virtuale controller di dominio:Next, add the extra data disk to the first domain controller with this command from a Windows PowerShell command prompt on the first domain controller virtual machine:

Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"

Successivamente, verificare la connettività del primo controller di dominio per i percorsi della rete aziendale tramite il comando ping per i nomi di ping e gli indirizzi IP delle risorse nella rete dell'organizzazione.Next, test the first domain controller's connectivity to locations on your organization network by using the ping command to ping names and IP addresses of resources on your organization network.

Questa procedura assicura che la risoluzione dei nomi DNS funziona correttamente (che la macchina virtuale è configurata correttamente con i server DNS locali) e che possono essere inviati pacchetti da e verso la rete virtuale cross-premise. Se il test ha esito negativo, contattare il proprio reparto IT per risolvere i problemi relativi alla risoluzione del nome DNS e al recapito dei pacchetti.This procedure ensures that DNS name resolution is working correctly (that the virtual machine is correctly configured with on-premises DNS servers) and that packets can be sent to and from the cross-premises virtual network. If this basic test fails, contact your IT department to troubleshoot the DNS name resolution and packet delivery issues.

Successivamente, dal prompt dei comandi di Windows PowerShell nel primo controller di dominio, eseguire i comandi seguenti:Next, from the Windows PowerShell command prompt on the first domain controller, run the following commands:

$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname  -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred

Verrà richiesto di fornire le credenziali di un account di amministratore del dominio. Il computer viene riavviato.You will be prompted to supply the credentials of a domain administrator account. The computer will restart.

Configurare il secondo controller di dominioConfigure the second domain controller

Usare il client desktop remoto di propria scelta e creare una connessione desktop remoto per la macchina virtuale del secondo controller di dominio. Usare il nome DNS Intranet o il nome computer e le credenziali dell'account di amministratore locale.Use the remote desktop client of your choice and create a remote desktop connection to the second domain controller virtual machine. Use its intranet DNS or computer name and the credentials of the local administrator account.

Successivamente, è necessario aggiungere il disco dati aggiuntivo al secondo controller di dominio con questo comando da un prompt dei comandi di Windows PowerShell nella seconda macchina virtuale controller di dominio:Next, you need to add the extra data disk to the second domain controller with this command from a Windows PowerShell command prompt on the second domain controller virtual machine:

Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"

Quindi, eseguire i seguenti comandi:Next, run the following commands:

$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname  -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred

Verrà richiesto di fornire le credenziali di un account di amministratore del dominio. Il computer viene riavviato.You will be prompted to supply the credentials of a domain administrator account. The computer will restart.

Successivamente, è necessario aggiornare i server DNS per la rete virtuale in modo che Azure assegni le macchine virtuali agli indirizzi IP dei due nuovi controller di dominio da utilizzare come server DNS.Next, you need to update the DNS servers for your virtual network so that Azure assigns virtual machines the IP addresses of the two new domain controllers to use as their DNS servers. Compilare le variabili ed eseguire questi comandi da un prompt Windows PowerShell nel computer locale:Fill in the variables and then run these commands from a Windows PowerShell command prompt on your local computer:

$rgName="<Table R - Item 4 - Resource group name column>"
$adrgName="<Table R - Item 1 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$onpremDNSIP1="<Table D - Item 1 - DNS server IP address column>"
$onpremDNSIP2="<Table D - Item 2 - DNS server IP address column>"
$staticIP1="<Table I - Item 1 - Value column>"
$staticIP2="<Table I - Item 2 - Value column>"
$firstDCName="<Table M - Item 1 - Virtual machine name column>"
$secondDCName="<Table M - Item 2 - Virtual machine name column>"

$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$vnet.DhcpOptions.DnsServers.Add($staticIP1)
$vnet.DhcpOptions.DnsServers.Add($staticIP2) 
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP1)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP2) 
Set-AzVirtualNetwork -VirtualNetwork $vnet
Restart-AzVM -ResourceGroupName $adrgName -Name $firstDCName
Restart-AzVM -ResourceGroupName $adrgName -Name $secondDCName

Si noti che i due controller di dominio vengono riavviati in modo che non siano configurati con i server DNS locali come server DNS. Trattandosi di due server DNS, sono stati configurati automaticamente con i server DNS locali come server d'inoltro quando sono stati promossi a controller di dominio.Note that we restart the two domain controllers so that they are not configured with the on-premises DNS servers as DNS servers. Because they are both DNS servers themselves, they were automatically configured with the on-premises DNS servers as DNS forwarders when they were promoted to domain controllers.

Successivamente, è necessario creare un sito di replica di Active Directory per assicurarsi che i server della rete virtuale di Azure utilizzino i controller di dominio locali. Connettersi a uno dei due controller di dominio con un account di amministratore di dominio ed eseguire i comandi seguenti dal prompt dei comandi di Windows PowerShell a livello di amministratore:Next, we need to create an Active Directory replication site to ensure that servers in the Azure virtual network use the local domain controllers. Connect to either domain controller with a domain administrator account and run the following commands from an administrator-level Windows PowerShell prompt:

$vnet="<Table V - Item 1 - Value column>"
$vnetSpace="<Table V - Item 4 - Value column>"
New-ADReplicationSite -Name $vnet 
New-ADReplicationSubnet -Name $vnetSpace -Site $vnet

Configurare il server di sincronizzazione della directoryConfigure the directory synchronization server

Utilizzare il client desktop remoto desiderato e creare una connessione desktop remoto alla macchina virtuale del server di sincronizzazione della directory.Use the remote desktop client of your choice and create a remote desktop connection to the directory synchronization server virtual machine. Usare il nome DNS Intranet o il nome computer e le credenziali dell'account di amministratore locale.Use its intranet DNS or computer name and the credentials of the local administrator account.

Successivamente, aggiungerlo al dominio di Servizi di dominio Active Directory appropriato con questi comandi al prompt Windows PowerShell locale.Next, join it to the appropriate AD DS domain with these commands at the Windows PowerShell prompt.

$domName="<AD DS domain name to join, such as corp.contoso.com>"
$cred=Get-Credential -Message "Type the name and password of a domain acccount."
Add-Computer -DomainName $domName -Credential $cred
Restart-Computer

Di seguito è riportata la configurazione risultante dal completamento corretto di questa fase, con i nomi computer segnaposto.Here is the configuration resulting from the successful completion of this phase, with placeholder computer names.

Fase 2: i controller di dominio e il server di sincronizzazione della directory per l'infrastruttura di autenticazione federata a disponibilità elevata in AzurePhase 2: The domain controllers and directory synchronization server for your high availability federated authentication infrastructure in Azure

Fase 2 dell'infrastruttura di Microsoft 365 di autenticazione federata in Azure con controller di dominio

Passaggio successivoNext step

Utilizzare La fase 3: configurare i server AD FS per continuare a configurare questo carico di lavoro.Use Phase 3: Configure AD FS servers to continue configuring this workload.

Vedere ancheSee Also

Distribuire l'autenticazione federata a disponibilità elevata per Microsoft 365 in AzureDeploy high availability federated authentication for Microsoft 365 in Azure

Identità federata per l'Microsoft 365 di sviluppo/testFederated identity for your Microsoft 365 dev/test environment

Centro soluzioni e architetture di Microsoft 365Microsoft 365 solution and architecture center