Installare una nuova foresta Active Directory usando l'interfaccia della riga di comando di Azure
Active Directory Domain Services (AD DS) può essere eseguito in una macchina virtuale (VM) di Azure nello stesso modo in cui viene eseguito in molte istanze locali. Questo articolo illustra come distribuire una nuova foresta di AD DS in due nuovi controller di dominio, in un set di disponibilità di Azure usando il portale di Azure e l'interfaccia della riga di comando di Azure. Molti clienti trovano queste indicazioni utili durante la creazione di un lab o la preparazione per la distribuzione di controller di dominio in Azure.
Componenti
- Un gruppo di risorse in cui inserire tutti gli elementi.
- Una rete virtuale di Azure, una subnet, un gruppo di sicurezza di rete e una regola per consentire l'accesso RDP alle macchine virtuali.
- Un set di disponibilità di VM di Azure in cui inserire due controller di dominio di Active Directory Domain Services.
- Due macchine virtuali di Azure per eseguire Active Directory Domain Services e DNS.
Scenari non esaminati
- Creazione di una connessione VPN da sito a sito da una posizione locale
- Protezione del traffico di rete in Azure
- Progettazione della topologia del sito
- Pianificazione del posizionamento del ruolo master operazioni
- Distribuzione di Microsoft Entra Connect per sincronizzare le identità con Microsoft Entra ID
Creare l'ambiente di test
Per creare l'ambiente verranno usati il portale di Azure e l'interfaccia della riga di comando di Azure.
L'interfaccia della riga di comando di Azure viene usata per creare e gestire le risorse di Azure dalla riga di comando o negli script. Questa esercitazione illustra in dettaglio l'uso dell'interfaccia della riga di comando di Azure per distribuire macchine virtuali che eseguono Windows Server 2019. Al termine della distribuzione, si eseguirà la connessione ai server e si installerà Active Directory Domain Services.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Utilizzare l'interfaccia della riga di comando di Azure
Lo script seguente automatizza il processo di creazione di due macchine virtuali Windows Server 2019, allo scopo di creare controller di dominio per una nuova foresta di Active Directory in Azure. Un amministratore può modificare le variabili di seguito in base alle proprie esigenze, quindi completare come un'unica operazione. Lo script crea il gruppo di risorse necessario, il gruppo di sicurezza di rete con una regola di traffico per Desktop remoto, la rete virtuale, la subnet e il gruppo di disponibilità. Vengono quindi create le macchine virtuali, ognuna con un disco dati da 20 GB e memorizzazione nella cache disabilitata per l'installazione di Active Directory Domain Services.
Lo script seguente può essere eseguito direttamente dal portale di Azure. Se si sceglie di installare e usare l'interfaccia della riga di comando in locale, per questa guida introduttiva è necessario eseguire la versione 2.0.4 o successiva dell'interfaccia della riga di comando di Azure. Eseguire az --version per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure 2.0.
| Nome variabile | Scopo |
|---|---|
| AdminUsername | Nome utente da configurare in ogni macchina virtuale come amministratore locale. |
| AdminPassword | Password in chiaro da configurare in ogni macchina virtuale come password dell'amministratore locale. |
| ResourceGroupName | Nome da usare per il gruppo di risorse. Non deve duplicare un nome esistente. |
| Titolo | Nome della posizione di Azure in cui eseguire la distribuzione. Per elencare le aree supportate per la sottoscrizione corrente, usare az account list-locations. |
| VNetName | Nome da assegnare alla rete virtuale di Azure. Non deve duplicare un nome esistente. |
| VNetAddress | Ambito IP da usare per la rete di Azure. Non deve duplicare un intervallo esistente. |
| SubnetName | Nome da assegnare alla subnet IP. Non deve duplicare un nome esistente. |
| SubnetAddress | Indirizzo della subnet per i controller di dominio. Deve essere una subnet all'interno della rete virtuale. |
| AvailabilitySet | Nome del set di disponibilità a cui verranno aggiunte le VM controller di dominio. |
| VMSize | Dimensioni standard delle VM di Azure disponibili nella posizione per la distribuzione. |
| DataDiskSize | Dimensioni in GB per il disco dati in cui installare Active Directory Domain Services. |
| DomainController1 | Nome del primo controller di dominio. |
| DC1IP | Indirizzo IP del primo controller di dominio. |
| DomainController2 | Nome del secondo controller di dominio. |
| DC2IP | Indirizzo IP del secondo controller di dominio. |
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS e Active Directory
Se le macchine virtuali di Azure create nell'ambito di questo processo saranno un'estensione di un'infrastruttura Active Directory locale esistente, prima della distribuzione è necessario modificare le impostazioni DNS nella rete virtuale in modo da includere i server DNS locali. Questo passaggio è importante per consentire ai controller di dominio appena creati in Azure di risolvere le risorse locali e per consentire la replica. Altre informazioni su DNS, Azure e su come configurare le impostazioni sono disponibili nella sezione Risoluzione dei nomi usando il proprio server DNS.
Dopo aver alzato di livello i nuovi controller di dominio in Azure, sarà necessario configurare i server DNS primario e secondario per la rete virtuale; tutti i server DNS locali verranno abbassati di livello diventando terziari e oltre. Le VM continuano a usare le impostazioni DNS correnti finché non vengono riavviate. Altre informazioni sulla modifica dei server DNS sono disponibili nell'articolo Creare, modificare o eliminare una rete virtuale.
Per informazioni sull'estensione di una rete locale ad Azure, vedere l'articolo Creazione di una connessione VPN da sito a sito.
Configurare le macchine virtuali e installare Active Directory Domain Services
Dopo il completamento dello script, passare al portale di Azure, quindi a Macchine virtuali.
Configurare il primo controller di dominio
Connettersi ad AZDC01 usando le credenziali fornite nello script.
- Inizializzare e formattare il disco dati come F:
- Aprire il menu Start e passare a Gestione computer
- Passare a Archiviazione>Gestione disco
- Inizializzare il disco come MBR
- Creare un nuovo volume semplice e assegnare la lettera di unità F: F: (volendo, è possibile specificare un'etichetta di volume)
- Installare Active Directory Domain Services usando Server Manager
- Alzare di livello il controller di dominio impostandolo come primo in una nuova foresta
- Nella pagina Opzioni controller di dominio lasciare selezionate le opzioni Server DNS (Domain Name System) e Catalogo globale
- Specificare una password per la modalità di ripristino dei servizi directory in base ai requisiti dell'organizzazione
- Quando viene richiesto di inserire il percorso, modificare i percorsi da C: in modo che puntino all'unità F: creata in precedenza
- Rivedere le selezioni effettuate nella procedura guidata e scegliere Avanti
Nota
Il controllo dei prerequisiti avviserà che la scheda di rete fisica non dispone di indirizzi IP statici assegnati; è possibile ignorare l'avviso senza problemi, perché nella rete virtuale di Azure vengono assegnati indirizzi IP statici.
- Scegliere Installa
Al termine del processo di installazione, la macchina virtuale viene riavviata.
Dopo il riavvio della VM, accedere nuovamente con le credenziali usate in precedenza, ma questa volta come membro del dominio creato.
Nota
Il primo accesso a un controller di dominio dopo l'innalzamento di livello potrebbe richiedere più tempo del normale. Si tratta di un comportamento previsto.
Le reti virtuali di Azure supportano ora IPv6, ma se si vogliono impostare le VM in modo da preferire IPv4 rispetto a IPv6, le informazioni su come completare questa attività sono disponibili nell'articolo della Knowledge Base Indicazioni per la configurazione del protocollo IPv6 in Windows per utenti avanzati.
Configurare DNS
Dopo aver alzato di livello il primo server in Azure, sarà necessario impostare i server come server DNS primario e secondario per la rete virtuale; tutti i server DNS locali verranno abbassati di livello diventando terziari e oltre. Altre informazioni sulla modifica dei server DNS sono disponibili nell'articolo Creare, modificare o eliminare una rete virtuale.
Configurare il secondo controller di dominio
Connettersi ad AZDC02 usando le credenziali fornite nello script.
- Inizializzare e formattare il disco dati come F:
- Aprire il menu Start e passare a Gestione computer
- Passare a Archiviazione>Gestione disco
- Inizializzare il disco come MBR
- Creare un nuovo volume semplice e assegnare la lettera di unità F: (volendo, è possibile specificare un'etichetta di volume)
- Installare Active Directory Domain Services usando Server Manager
- Alzare di livello il controller di dominio
- Aggiungere un controller di dominio a un dominio esistente - CONTOSO.com
- Fornire le credenziali per l'esecuzione dell'operazione
- Quando viene richiesto di inserire il percorso, modificare i percorsi da C: in modo che puntino all'unità F: creata in precedenza
- Nella pagina Opzioni controller di dominio assicurarsi che le opzioni Server DNS (Domain Name System) e Catalogo globale siano selezionate
- Specificare una password per la modalità di ripristino dei servizi directory in base ai requisiti dell'organizzazione
- Rivedere le selezioni effettuate nella procedura guidata e scegliere Avanti
Nota
Il controllo dei prerequisiti avviserà che la scheda di rete fisica non dispone di indirizzi IP statici assegnati. È possibile ignorare l'avviso senza problemi, perché nella rete virtuale di Azure vengono assegnati indirizzi IP statici.
- Scegliere Installa
Al termine del processo di installazione, la macchina virtuale viene riavviata.
Dopo il riavvio della VM, accedere nuovamente con le credenziali usate in precedenza, ma questa volta come membro del dominio CONTOSO.com.
Le reti virtuali di Azure ora supportano IPv6, ma se si vogliono impostare le VM in modo da preferire IPv4 rispetto a IPv6, le informazioni su come completare questa attività sono disponibili nell'articolo della Knowledge Base Indicazioni per la configurazione del protocollo IPv6 in Windows per utenti avanzati.
Conclusione
A questo punto, l'ambiente ha una coppia di controller di dominio e la rete virtuale di Azure è stata configurata in modo che sia possibile aggiungere altri server all'ambiente. Le attività successive all'installazione per Active Directory Domain Services, ad esempio la configurazione di siti e servizi, controllo, backup e protezione dell'account predefinito Administrator, devono essere completate in questa fase.
Rimozione dell'ambiente
Per rimuovere l'ambiente, dopo aver completato i test è possibile eliminare il gruppo di risorse creato in precedenza. Questo passaggio rimuove tutti i componenti che fanno parte del gruppo di risorse.
Rimuovere tramite il portale di Azure
Nel portale di Azure passare a Gruppi di risorse e scegliere il gruppo di risorse creato (in questo esempio ADonAzureVMs), quindi selezionare Elimina gruppo di risorse. Il processo chiede conferma prima di eliminare tutte le risorse contenute nel gruppo di risorse.
Rimuovere tramite l'interfaccia della riga di comando di Azure
Dall'interfaccia della riga di comando di Azure eseguire il comando seguente:
az group delete --name ADonAzureVMs