Installare una nuova foresta Active Directory usando l'interfaccia della riga di comando di Azure

Servizi di dominio Active Directory può essere eseguito in una macchina virtuale (VM) di Azure nello stesso modo in cui viene eseguita in molte istanze locali. Questo articolo illustra la distribuzione di una nuova foresta di Servizi di dominio Active Directory, in due nuovi controller di dominio, in un set di disponibilità di Azure usando l'interfaccia della portale di Azure e l'interfaccia della riga di comando di Azure. Molti clienti trovano queste indicazioni utili quando creano un lab o si preparano a distribuire controller di dominio in Azure.

Componenti

  • Gruppo di risorse in cui inserire tutti gli elementi.
  • Una rete virtuale di Azure,una subnet, un gruppo di sicurezza di rete e una regola per consentire l'accesso RDP alle macchine virtuali.
  • Un set di disponibilità di macchine virtuali di Azure in cui inserire due Active Directory Domain Services di dominio (AD DS).
  • Due macchine virtuali di Azure per eseguire Servizi di dominio Active Directory e DNS.

Elementi non coperti

Compilare l'ambiente di test

Per creare l'ambiente portale di Azure e l'interfaccia della riga di comando di Azure.

L'interfaccia della riga di comando di Azure viene usata per creare e gestire le risorse di Azure dalla riga di comando o negli script. Questa esercitazione illustra in dettaglio l'uso dell'interfaccia della riga di comando di Azure per distribuire macchine virtuali Windows Server 2019. Al termine della distribuzione, ci si connette ai server e si installa Servizi di dominio Active Directory.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Utilizzare l'interfaccia della riga di comando di Azure

Lo script seguente automatizza il processo di creazione di due macchine virtuali Windows Server 2019, allo scopo di creare controller di dominio per una nuova foresta Active Directory in Azure. Un amministratore può modificare le variabili seguenti in base alle proprie esigenze, quindi completare come un'unica operazione. Lo script crea il gruppo di risorse necessario, il gruppo di sicurezza di rete con una regola di traffico per Desktop remoto, la rete virtuale e la subnet e il gruppo di disponibilità. Le macchine virtuali vengono quindi compilate con un disco dati da 20 GB con memorizzazione nella cache disabilitata per l'installazione di Servizi di dominio Active Directory.

Lo script seguente può essere eseguito direttamente dal portale di Azure. Se si sceglie di installare e usare l'interfaccia della riga di comando in locale, per questa guida introduttiva è necessario eseguire la versione 2.0.4 o successiva dell'interfaccia della riga di comando di Azure. Eseguire az --version per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure 2.0.

Nome variabile Scopo
AdminUsername Nome utente da configurare in ogni macchina virtuale come amministratore locale.
AdminPassword Password non crittografata da configurare in ogni macchina virtuale come password dell'amministratore locale.
ResourceGroupName Nome da usare per il gruppo di risorse. Non deve duplicare un nome esistente.
Location Nome del percorso di Azure in cui si vuole eseguire la distribuzione. Elencare le aree supportate per la sottoscrizione corrente usando az account list-locations .
VNetName Nome da assegnare alla rete virtuale di Azure Non deve duplicare un nome esistente.
VNetAddress Ambito IP da usare per la rete di Azure. Non deve duplicare un intervallo esistente.
SubnetName Nome per assegnare la subnet IP. Non deve duplicare un nome esistente.
SubnetAddress Indirizzo della subnet per i controller di dominio. Deve essere una subnet all'interno della rete virtuale.
AvailabilitySet Nome del set di disponibilità a cui verranno unite le macchine virtuali del controller di dominio.
VMSize Dimensioni standard della macchina virtuale di Azure disponibili nel percorso per la distribuzione.
DataDiskSize Dimensioni in GB per il disco dati in cui viene installato Servizi di dominio Active Directory.
DomainController1 Nome del primo controller di dominio.
DC1IP Indirizzo IP per il primo controller di dominio.
DomainController2 Nome del secondo controller di dominio.
DC2IP Indirizzo IP per il secondo controller di dominio.
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS e Active Directory

Se le macchine virtuali di Azure create come parte di questo processo saranno un'estensione di un'infrastruttura Active Directory locale esistente, le impostazioni DNS nella rete virtuale devono essere modificate per includere i server DNS locali prima della distribuzione. Questo passaggio è importante per consentire ai controller di dominio appena creati in Azure di risolvere le risorse locali e consentire l'esecuzione della replica. Altre informazioni su DNS, Azure e su come configurare le impostazioni sono disponibili nella sezione Risoluzione dei nomi che usa il proprio server DNS.

Dopo aver innalzato di livello i nuovi controller di dominio in Azure, sarà necessario impostarne i server DNS primario e secondario per la rete virtuale e tutti i server DNS locali verranno abbassati di livello a terziario e non solo. Le VM continuano a usare le impostazioni DNS correnti finché non vengono riavviate. Altre informazioni sulla modifica dei server DNS sono disponibili nell'articolo Creare, modificare o eliminare una rete virtuale.

Informazioni sull'estensione di una rete locale ad Azure sono disponibili nell'articolo Creazione di una connessione VPN da sito a sito.

Configurare le macchine virtuali e installare Active Directory Domain Services

Al termine dello script, passare al portale di Azure ,quindi a Macchine virtuali.

Configurare il primo controller di dominio

Connessione ad AZDC01 usando le credenziali specificate nello script.

  • Inizializzare e formattare il disco dati come F:
    • Aprire il menu Start e passare a Gestione computer
    • Passare a Gestione Archiviazionedisco
    • Inizializzare il disco come MBR
    • Creare un nuovo volume semplice e assegnare la lettera di unità F: è possibile specificare un'etichetta volume se si vuole
  • Installare Active Directory Domain Services usando Server Manager
  • Alzare di livello il controller di dominio come primo in una nuova foresta
    • Lasciare Domain Name System server DNS (DNS) e Catalogo globale (GC) selezionati nella pagina Opzioni controller di dominio
    • Specificare una password in modalità ripristino servizi directory in base ai requisiti dell'organizzazione
    • Modificare i percorsi da C: in modo che puntino all'unità F: creata quando viene richiesto il percorso
    • Esaminare le selezioni effettuate nella procedura guidata e scegliere Avanti

Nota

Il controllo dei prerequisiti avvisa l'utente che alla scheda di rete fisica non sono assegnati indirizzi IP statici. È possibile ignorarlo in quanto gli INDIRIZZI IP statici vengono assegnati nella rete virtuale di Azure.

  • Scegliere Installa

Al termine del processo di installazione, la macchina virtuale viene riavviata.

Al termine del riavvio della macchina virtuale, accedere di nuovo con le credenziali usate in precedenza, ma questa volta come membro del dominio creato.

Nota

Il primo accesso dopo l'innalzamento di livello a un controller di dominio può richiedere più tempo del normale e questo è OK. Prendere una tazza di tè, caffè, acqua o altra bevanda di scelta.

Le reti virtuali di Azure supportano ora IPv6, ma se si vuole impostare le macchine virtuali in modo che preferiscano IPv4 rispetto a IPv6, le informazioni su come completare questa attività sono disponibili nell'articolo della Knowledge Base Guidance for configuring IPv6 in Windows for advanced users(Linee guida per la configurazione di IPv6 in Windows per utenti avanzati).

Configurare DNS

Dopo l'innalzamento di livello del primo server in Azure, i server dovranno essere impostati sui server DNS primario e secondario per la rete virtuale e tutti i server DNS locali verranno abbassati di livello al terziario e oltre. Altre informazioni sulla modifica dei server DNS sono disponibili nell'articolo Creare, modificare o eliminare una rete virtuale.

Configurare il secondo controller di dominio

Connessione ad AZDC02 usando le credenziali specificate nello script.

  • Inizializzare e formattare il disco dati come F:
    • Aprire il menu Start e passare a Gestione computer
    • Passare a Gestione Archiviazionedisco
    • Inizializzare il disco come MBR
    • Creare un nuovo volume semplice e assegnare la lettera di unità F: (è possibile specificare un'etichetta volume se si desidera)
  • Installare Active Directory Domain Services usando Server Manager
  • Alzare di livello il controller di dominio
    • Aggiungere un controller di dominio a un dominio esistente - CONTOSO.com
    • Fornire le credenziali per eseguire l'operazione
    • Modificare i percorsi da C: in modo che puntino all'unità F: creata quando viene richiesto il percorso
    • Verificare Domain Name System server DNS (DNS) e catalogo globale (GC) siano selezionati nella pagina Opzioni controller di dominio
    • Specificare una password per la modalità ripristino servizi directory in base ai requisiti dell'organizzazione
    • Esaminare le selezioni effettuate nella procedura guidata e scegliere Avanti

Nota

Il controllo dei prerequisiti avvisa l'utente che alla scheda di rete fisica non sono assegnati indirizzi IP statici. È possibile ignorare questo problema perché gli indirizzi IP statici vengono assegnati nella rete virtuale di Azure.

  • Scegliere Installa

Al termine del processo di installazione della procedura guidata, la macchina virtuale viene riavviata.

Al termine del riavvio della macchina virtuale, accedere di nuovo con le credenziali usate in precedenza, ma questa volta come membro del CONTOSO.com dominio

Le reti virtuali di Azure supportano ora IPv6,ma se si vuole impostare le macchine virtuali in modo che preferiscano IPv4 rispetto a IPv6, le informazioni su come completare questa attività sono disponibili nell'articolo della Knowledge Base Guidance for configuring IPv6 in Windows for advanced users(Linee guida per la configurazione di IPv6 in Windows per utenti avanzati).

Eseguire il wrapping

A questo punto, l'ambiente ha una coppia di controller di dominio ed è stata configurata la rete virtuale di Azure in modo che possano essere aggiunti altri server all'ambiente. A questo punto, è necessario completare le attività di post-installazione per Active Directory Domain Services, ad esempio la configurazione di siti e servizi, il controllo, il backup e la protezione dell'account amministratore predefinito.

Rimozione dell'ambiente

Per rimuovere l'ambiente, dopo aver completato il test, è possibile eliminare il gruppo di risorse creato in precedenza. Questo passaggio rimuove tutti i componenti che fanno parte di tale gruppo di risorse.

Rimuovere usando il portale di Azure

Nell'portale di Azure passare a Gruppi di risorse e scegliere il gruppo di risorse creato (in questo esempio ADonAzureVMs), quindi selezionare Elimina gruppo di risorse. Il processo richiede la conferma prima di eliminare tutte le risorse contenute all'interno del gruppo di risorse.

Rimuovere tramite l'interfaccia della riga di comando di Azure

Dall'interfaccia della riga di comando di Azure eseguire il comando seguente:

az group delete --name ADonAzureVMs

Passaggi successivi