Autenticação federada de alta disponibilidade Fase 2: configurar controladores de domínioHigh availability federated authentication Phase 2: Configure domain controllers

Nesta fase de implantação de alta disponibilidade para Microsoft 365 autenticação federada nos serviços de infraestrutura do Azure, você configura dois controladores de domínio e o servidor de sincronização de diretórios na rede virtual do Azure.In this phase of deploying high availability for Microsoft 365 federated authentication in Azure infrastructure services, you configure two domain controllers and the directory synchronization server in the Azure virtual network. Solicitações da Web de clientes para autenticação podem então ser autenticadas na rede virtual do Azure, em vez de o tráfego de autenticação ser enviado na conexão de VPN site a site à sua rede local.Client web requests for authentication can then be authenticated in the Azure virtual network, rather than sending that authentication traffic across the site-to-site VPN connection to your on-premises network.

Observação

Os Serviços de Federação do Active Directory (AD FS) não podem usar o Azure Active Directory (Azure AD) como um substituto para controladores de domínio do Active Directory Domain Services (AD DS).Active Directory Federation Services (AD FS) cannot use Azure Active Directory (Azure AD) as a substitute for Active Directory Domain Services (AD DS) domain controllers.

Você deve concluir essa fase antes de passar para a Fase 3: Configurar servidores do AD FS.You must complete this phase before moving on to Phase 3: Configure AD FS servers. Consulte Deploy high availability federated authentication for Microsoft 365 in Azure for all of the phases.See Deploy high availability federated authentication for Microsoft 365 in Azure for all of the phases.

Criar máquinas virtuais de controlador de domínio no AzureCreate the domain controller virtual machines in Azure

Em primeiro lugar, você precisa preencher a coluna Nome da máquina virtual da Tabela M e modificar tamanhos de máquina virtual, conforme necessário, na coluna Tamanho mínimo.First, you need to fill out the Virtual machine name column of Table M and modify virtual machine sizes as needed in the Minimum size column.

ItemItem Nome da máquina virtualVirtual machine name Imagem da galeriaGallery image Tipo de armazenamentoStorage type Tamanho mínimoMinimum size
1.1.
linha (primeiro controlador de domínio, DC1 de exemplo)(first domain controller, example DC1)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
2.2.
linha (segundo controlador de domínio, DC2 de exemplo)(second domain controller, example DC2)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
3.3.
linha (servidor de sincronização de diretório, exemplo DS1)(directory synchronization server, example DS1)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
4.4.
linha (primeiro servidor do AD FS, exemplo ADFS1)(first AD FS server, example ADFS1)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
5.5.
linha (segundo servidor do AD FS, exemplo ADFS2)(second AD FS server, example ADFS2)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
6.6.
linha (primeiro servidor proxy de aplicativo Web, exemplo WEB1)(first web application proxy server, example WEB1)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2
7.7.
linha (segundo servidor proxy de aplicativo Web, exemplo WEB2)(second web application proxy server, example WEB2)
Windows Server 2016 DatacenterWindows Server 2016 Datacenter
Standard_LRSStandard_LRS
Standard_D2Standard_D2

Tabela M - Máquinas virtuais para a autenticação federada de alta disponibilidade para Microsoft 365 no AzureTable M - Virtual machines for the high availability federated authentication for Microsoft 365 in Azure

Para obter a lista completa de tamanhos de máquinas virtuais, confira Tamanhos das máquinas virtuais.For the complete list of virtual machine sizes, see Sizes for virtual machines.

O seguinte bloco de comandos do Azure PowerShell cria as máquinas virtuais para os dois controladores de domínio.The following Azure PowerShell command block creates the virtual machines for the two domain controllers. Especifique os valores das variáveis, removendo os < and > caracteres.Specify the values for the variables, removing the < and > characters. Observe que este bloco de comandos do Azure PowerShell usa valores para as tabelas a seguir:Note that this Azure PowerShell command block uses values from the following tables:

  • Tabela M, para suas máquinas virtuaisTable M, for your virtual machines

  • Tabela R, para seus grupos de recursosTable R, for your resource groups

  • Tabela V, para suas configurações de rede virtualTable V, for your virtual network settings

  • Tabela S, para suas sub-redesTable S, for your subnets

  • Tabela I, para seu endereço IP estáticoTable I, for your static IP addresses

  • Tabela A, para seus conjuntos de disponibilidadeTable A, for your availability sets

Lembre-se de que você definiu as Tabelas R, V, S, I e A na Fase 1: Configurar o Azure.Recall that you defined Tables R, V, S, I, and A in Phase 1: Configure Azure.

Observação

[!OBSERVAçãO] O comando a seguir define o uso da versão mais recente do Azure PowerShell.The following command sets use the latest version of Azure PowerShell. Consulte Get started with Azure PowerShell.See Get started with Azure PowerShell.

Quando tiver fornecido todos os valores corretos, execute o bloco resultante no prompt do Azure PowerShell ou no Ambiente de Script Integrado (ISE) do PowerShell no computador local.When you have supplied all the correct values, run the resulting block at the Azure PowerShell prompt or in the PowerShell Integrated Script Environment (ISE) on your local computer.

Dica

Para gerar blocos de comando prontos para execução do PowerShell com base em suas configurações personalizadas, use esta Microsoft Excel de trabalho de configuração.To generate ready-to-run PowerShell command blocks based on your custom settings, use this Microsoft Excel configuration workbook.

# Set up variables common to both virtual machines
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$subnetName="<Table S - Item 1 - Value column>"
$avName="<Table A - Item 1 - Availability set name column>"
$rgNameTier="<Table R - Item 1 - Resource group name column>"
$rgNameInfra="<Table R - Item 4 - Resource group name column>"

$rgName=$rgNameInfra
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnetName

$rgName=$rgNameTier
$avSet=Get-AzAvailabilitySet -Name $avName -ResourceGroupName $rgName 

# Create the first domain controller
$vmName="<Table M - Item 1 - Virtual machine name column>"
$vmSize="<Table M - Item 1 - Minimum size column>"
$staticIP="<Table I - Item 1 - Value column>"
$diskStorageType="<Table M - Item 1 - Storage type column>"
$diskSize=<size of the extra disk for Active Directory Domain Services (AD DS) data in GB>

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the first domain controller." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the second domain controller
$vmName="<Table M - Item 2 - Virtual machine name column>"
$vmSize="<Table M - Item 2 - Minimum size column>"
$staticIP="<Table I - Item 2 - Value column>"
$diskStorageType="<Table M - Item 2 - Storage type column>"
$diskSize=<size of the extra disk for AD DS data in GB>

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize -AvailabilitySetId $avset.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
$diskConfig=New-AzDiskConfig -AccountType $diskStorageType -Location $locName -CreateOption Empty -DiskSizeGB $diskSize
$dataDisk1=New-AzDisk -DiskName ($vmName + "-DataDisk1") -Disk $diskConfig -ResourceGroupName $rgName
$vm=Add-AzVMDataDisk -VM $vm -Name ($vmName + "-DataDisk1") -CreateOption Attach -ManagedDiskId $dataDisk1.Id -Lun 1
$cred=Get-Credential -Message "Type the name and password of the local administrator account for the second domain controller." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

# Create the directory synchronization server
$vmName="<Table M - Item 3 - Virtual machine name column>"
$vmSize="<Table M - Item 3 - Minimum size column>"
$staticIP="<Table I - Item 3 - Value column>"
$diskStorageType="<Table M - Item 3 - Storage type column>"

$nic=New-AzNetworkInterface -Name ($vmName +"-NIC") -ResourceGroupName $rgName -Location $locName -Subnet $subnet -PrivateIpAddress $staticIP
$vm=New-AzVMConfig -VMName $vmName -VMSize $vmSize

$cred=Get-Credential -Message "Type the name and password of the local administrator account for the directory synchronization server." 
$vm=Set-AzVMOperatingSystem -VM $vm -Windows -ComputerName $vmName -Credential $cred -ProvisionVMAgent -EnableAutoUpdate
$vm=Set-AzVMSourceImage -VM $vm -PublisherName MicrosoftWindowsServer -Offer WindowsServer -Skus 2016-Datacenter -Version "latest"
$vm=Add-AzVMNetworkInterface -VM $vm -Id $nic.Id
$vm=Set-AzVMOSDisk -VM $vm -Name ($vmName +"-OS") -DiskSizeInGB 128 -CreateOption FromImage -StorageAccountType $diskStorageType
New-AzVM -ResourceGroupName $rgName -Location $locName -VM $vm

Observação

Como essas máquinas virtuais são para um aplicativo de intranet, elas não recebem um endereço IP público ou um rótulo de nome de domínio DNS, nem estão expostas à Internet. No entanto, isso também significa que você não pode se conectar a eles no portal do Azure. A opção Conectar não está disponível quando você visualiza as propriedades da máquina virtual. Use o acessório Conexão de Área de Trabalho Remota ou outra ferramenta de Área de Trabalho Remota para se conectar à máquina virtual usando seu endereço IP privado ou o nome DNS da intranet.Because these virtual machines are for an intranet application, they are not assigned a public IP address or a DNS domain name label and exposed to the Internet. However, this also means that you cannot connect to them from the Azure portal. The Connect option is unavailable when you view the properties of the virtual machine. Use the Remote Desktop Connection accessory or another Remote Desktop tool to connect to the virtual machine using its private IP address or intranet DNS name.

Configurar o primeiro controlador de domínioConfigure the first domain controller

Use o cliente de área de trabalho remota de sua preferência e crie uma conexão de área de trabalho remota com a primeira máquina virtual de controlador de domínio. Use seu nome de computador ou DNS de intranet e as credenciais da conta de administrador local.Use the remote desktop client of your choice and create a remote desktop connection to the first domain controller virtual machine. Use its intranet DNS or computer name and the credentials of the local administrator account.

Em seguida, adicione o disco de dados extra ao primeiro controlador de domínio com este comando Windows PowerShell prompt de comando na primeira máquina virtual do controlador de domínio:Next, add the extra data disk to the first domain controller with this command from a Windows PowerShell command prompt on the first domain controller virtual machine:

Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"

Em seguida, teste a conectividade do primeiro controlador de domínio com os locais na rede da sua organização usando o comando ping para executar ping em nomes e endereços IP de recursos nessa rede.Next, test the first domain controller's connectivity to locations on your organization network by using the ping command to ping names and IP addresses of resources on your organization network.

Esse procedimento assegura que a resolução de nomes DNS esteja funcionando corretamente (que a máquina virtual esteja corretamente configurada com os servidores DNS locais) e que pacotes possam ser enviados de e para a rede virtual entre locais. Se esse teste básico falhar, entre em contato com seu departamento de TI para solucionar problemas de entrega de pacotes e resolução de nomes DNS.This procedure ensures that DNS name resolution is working correctly (that the virtual machine is correctly configured with on-premises DNS servers) and that packets can be sent to and from the cross-premises virtual network. If this basic test fails, contact your IT department to troubleshoot the DNS name resolution and packet delivery issues.

Em seguida, no prompt de comandos do Windows PowerShell no primeiro controlador de domínio, execute os seguintes comandos:Next, from the Windows PowerShell command prompt on the first domain controller, run the following commands:

$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname  -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred

Você será solicitado a fornecer as credenciais de uma conta de administrador de domínio. O computador será reiniciado.You will be prompted to supply the credentials of a domain administrator account. The computer will restart.

Configurar o segundo controlador de domínioConfigure the second domain controller

Use o cliente de área de trabalho remota de sua preferência e crie uma conexão de área de trabalho remota com a segunda máquina virtual de controlador de domínio. Use seu nome de computador ou DNS de intranet e as credenciais da conta de administrador local.Use the remote desktop client of your choice and create a remote desktop connection to the second domain controller virtual machine. Use its intranet DNS or computer name and the credentials of the local administrator account.

Em seguida, você precisa adicionar o disco de dados extra ao segundo controlador de domínio com este comando Windows PowerShell prompt de comando na segunda máquina virtual do controlador de domínio :Next, you need to add the extra data disk to the second domain controller with this command from a Windows PowerShell command prompt on the second domain controller virtual machine:

Get-Disk | Where PartitionStyle -eq "RAW" | Initialize-Disk -PartitionStyle MBR -PassThru | New-Partition -AssignDriveLetter -UseMaximumSize | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSAD Data"

Em seguida, execute os seguintes comandos:Next, run the following commands:

$domname="<DNS domain name of the domain for which this computer will be a domain controller, such as corp.contoso.com>"
$cred = Get-Credential -Message "Enter credentials of an account with permission to join a new domain controller to the domain"
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController -InstallDns -DomainName $domname  -DatabasePath "F:\NTDS" -SysvolPath "F:\SYSVOL" -LogPath "F:\Logs" -Credential $cred

Você será solicitado a fornecer as credenciais de uma conta de administrador de domínio. O computador será reiniciado.You will be prompted to supply the credentials of a domain administrator account. The computer will restart.

Em seguida, você precisará atualizar os servidores DNS da sua rede virtual, para que o Azure atribua máquinas virtuais aos endereços IP dos dois novos controladores de domínio para uso como seus servidores DNS.Next, you need to update the DNS servers for your virtual network so that Azure assigns virtual machines the IP addresses of the two new domain controllers to use as their DNS servers. Preencha as variáveis e execute esses comandos de um prompt de Windows PowerShell de comando no computador local:Fill in the variables and then run these commands from a Windows PowerShell command prompt on your local computer:

$rgName="<Table R - Item 4 - Resource group name column>"
$adrgName="<Table R - Item 1 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$onpremDNSIP1="<Table D - Item 1 - DNS server IP address column>"
$onpremDNSIP2="<Table D - Item 2 - DNS server IP address column>"
$staticIP1="<Table I - Item 1 - Value column>"
$staticIP2="<Table I - Item 2 - Value column>"
$firstDCName="<Table M - Item 1 - Virtual machine name column>"
$secondDCName="<Table M - Item 2 - Virtual machine name column>"

$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$vnet.DhcpOptions.DnsServers.Add($staticIP1)
$vnet.DhcpOptions.DnsServers.Add($staticIP2) 
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP1)
$vnet.DhcpOptions.DnsServers.Remove($onpremDNSIP2) 
Set-AzVirtualNetwork -VirtualNetwork $vnet
Restart-AzVM -ResourceGroupName $adrgName -Name $firstDCName
Restart-AzVM -ResourceGroupName $adrgName -Name $secondDCName

Observe que reiniciamos os dois controladores de domínio para que eles não sejam configurados com os servidores DNS locais como servidores DNS. Como ambos são servidores DNS, eles foram configurados automaticamente com os servidores DNS locais como encaminhadores de DNS quando foram promovidos para controladores de domínio.Note that we restart the two domain controllers so that they are not configured with the on-premises DNS servers as DNS servers. Because they are both DNS servers themselves, they were automatically configured with the on-premises DNS servers as DNS forwarders when they were promoted to domain controllers.

Em seguida, precisamos criar um site de replicação do Active Directory para garantir que os servidores na rede virtual do Azure usem os controladores de domínio locais. Conecte a um dos controlador de domínio com uma conta de administrador de domínio e execute os seguintes comandos em um prompt do Windows PowerShell em nível de administrador:Next, we need to create an Active Directory replication site to ensure that servers in the Azure virtual network use the local domain controllers. Connect to either domain controller with a domain administrator account and run the following commands from an administrator-level Windows PowerShell prompt:

$vnet="<Table V - Item 1 - Value column>"
$vnetSpace="<Table V - Item 4 - Value column>"
New-ADReplicationSite -Name $vnet 
New-ADReplicationSubnet -Name $vnetSpace -Site $vnet

Configurar o servidor de sincronização de diretóriosConfigure the directory synchronization server

Use o cliente de área de trabalho remota de sua escolha e crie uma conexão de área de trabalho remota com a máquina virtual do servidor de sincronização de diretórios.Use the remote desktop client of your choice and create a remote desktop connection to the directory synchronization server virtual machine. Use seu nome de computador ou DNS de intranet e as credenciais da conta de administrador local.Use its intranet DNS or computer name and the credentials of the local administrator account.

Em seguida, junte-o ao domínio apropriado do AD DS com esses comandos no prompt Windows PowerShell.Next, join it to the appropriate AD DS domain with these commands at the Windows PowerShell prompt.

$domName="<AD DS domain name to join, such as corp.contoso.com>"
$cred=Get-Credential -Message "Type the name and password of a domain acccount."
Add-Computer -DomainName $domName -Credential $cred
Restart-Computer

Veja a seguir a configuração resultante da conclusão bem-sucedida dessa fase, com nomes de computador de espaço reservado.Here is the configuration resulting from the successful completion of this phase, with placeholder computer names.

Fase 2: Os controladores de domínio e o servidor de sincronização de diretórios para sua infraestrutura de autenticação federada de alta disponibilidade no AzurePhase 2: The domain controllers and directory synchronization server for your high availability federated authentication infrastructure in Azure

Fase 2 da infraestrutura de autenticação Microsoft 365 de autenticação federada no Azure com controladores de domínio

Próxima etapaNext step

Use a Fase 3: Configurar servidores do AD FS para continuar configurando essa carga de trabalho.Use Phase 3: Configure AD FS servers to continue configuring this workload.

Confira tambémSee Also

Implantar a autenticação federada de alta disponibilidade para o Microsoft 365 no AzureDeploy high availability federated authentication for Microsoft 365 in Azure

Identidade federada para seu ambiente Microsoft 365 dev/testFederated identity for your Microsoft 365 dev/test environment

Centro de soluções e arquitetura do Microsoft 365Microsoft 365 solution and architecture center