Instalar uma nova floresta do Active Directory usando a CLI do Azure

AD DS pode ser executado em uma VM (máquina virtual) do Azure da mesma maneira que é executado em muitas instâncias locais. Este artigo explica como implantar uma nova floresta AD DS, em dois novos controladores de domínio, em um conjunto de disponibilidade do Azure usando o portal do Azure e CLI do Azure. Muitos clientes acham essas diretrizes úteis ao criar um laboratório ou se preparar para implantar controladores de domínio no Azure.

Componentes

  • Um grupo de recursos para colocar tudo.
  • Uma rede virtual do Azure,sub-rede, grupo de segurança de rede e regra para permitir o acesso RDP às VMs.
  • Um conjunto de disponibilidade de máquina virtual do Azure para colocar dois controladores de domínio Active Directory Domain Services (AD DS) .
  • Duas máquinas virtuais do Azure para executar AD DS e DNS.

Itens que não são cobertos

Criar o ambiente de teste

Usamos os portal do Azure e CLI do Azure para criar o ambiente.

A CLI do Azure é usada para criar e gerenciar recursos do Azure da linha de comando ou em scripts. Este tutorial detalha o uso do CLI do Azure para implantar máquinas virtuais que executam Windows Server 2019. Quando a implantação for concluída, nos conectaremos aos servidores e instalaremos AD DS.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Usando a CLI do Azure

O script a seguir automatiza o processo de criação de duas VMs do Windows Server 2019, com a finalidade de criar controladores de domínio para uma nova floresta do Active Directory no Azure. Um administrador pode modificar as variáveis abaixo para atender às suas necessidades e, em seguida, concluir como uma operação. O script cria o grupo de recursos necessário, o grupo de segurança de rede com uma regra de tráfego para Área de Trabalho Remota, rede virtual e sub-rede e grupo de disponibilidade. As VMs são criadas com um disco de dados de 20 GB com cache desabilitado para AD DS ser instalado.

O script abaixo pode ser executado diretamente do portal do Azure. Se você optar por instalar e usar a CLI localmente, este guia de início rápido exigirá a execução da CLI do Azure versão 2.0.4 ou posterior. Execute az --version para encontrar a versão. Se você precisa instalar ou atualizar, consulte Instalar a CLI 2.0 do Azure.

Nome da variável Finalidade
AdminUsername Nome de usuário a ser configurado em cada VM como o administrador local.
AdminPassword Senha de texto não criptografado a ser configurada em cada VM como a senha de administrador local.
ResourceGroupName Nome a ser usado para o grupo de recursos. Não deve duplicar um nome existente.
Localização Nome do local do Azure no que você gostaria de implantar. Liste as regiões com suporte para a assinatura atual usando az account list-locations .
VNetName Nome para atribuir a rede virtual do Azure Não deve duplicar um nome existente.
VNetAddress Escopo de IP a ser usado para a rede do Azure. Não deve duplicar um intervalo existente.
SubnetName Nome para atribuir a sub-rede IP. Não deve duplicar um nome existente.
SubnetAddress Endereço de sub-rede para os controladores de domínio. Deve ser uma sub-rede dentro da VNet.
AvailabilitySet Nome do conjunto de disponibilidade que as VMs do controlador de domínio ingressarão.
VMSize Tamanho padrão da VM do Azure disponível no local para implantação.
DataDiskSize Tamanho em GB para o disco de dados AD DS instalado.
DomainController1 Nome do primeiro controlador de domínio.
DC1IP Endereço IP do primeiro controlador de domínio.
DomainController2 Nome do segundo controlador de domínio.
DC2IP Endereço IP do segundo controlador de domínio.
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS e Active Directory

Se as máquinas virtuais do Azure criadas como parte desse processo serão uma extensão de uma infraestrutura de Active Directory local existente, as configurações de DNS na rede virtual deverão ser alteradas para incluir seus servidores DNS locais antes da implantação. Essa etapa é importante para permitir que os Controladores de Domínio recém-criados no Azure resolvam recursos locais e permitam que a replicação ocorra. Mais informações sobre DNS, Azure e como definir configurações podem ser encontradas na seção Resolução de nomes que usa seu próprio servidor DNS.

Depois de promover os novos controladores de domínio no Azure, eles precisarão ser definidos como servidores DNS primários e secundários para a rede virtual, e qualquer Servidor DNS local será rebaixado para terciário e superior. As VMs continuam a usar suas configurações de DNS atuais até que elas sejam reiniciadas. Mais informações sobre como alterar servidores DNS podem ser encontradas no artigo Criar, alterar ou excluir uma rede virtual.

Informações sobre como estender uma rede local para o Azure podem ser encontradas no artigo Criando uma conexão VPN site a site.

Configurar as VMs e instalar Active Directory Domain Services

Após a conclusão do script, navegue até o portal do Azure , emseguida, Máquinas virtuais.

Configurar o primeiro controlador de domínio

Conexão AZDC01 usando as credenciais fornecidas no script.

  • Inicialize e formate o disco de dados como F:
    • Abra o menu Iniciar e navegue até Gerenciamento do Computador
    • Navegue até ArmazenamentoGerenciamento de Disco
    • Inicializar o disco como MBR
    • Criar um novo volume simples e atribuir a letra da unidade F: você pode fornecer um rótulo de volume, se desejar
  • Instalar Active Directory Domain Services usando Gerenciador do Servidor
  • Promover o controlador de domínio como o primeiro em uma nova floresta
    • Deixe o servidor DNS (Sistema de Nomes de Domínio) e o GC (Catálogo Global) marcados na página Opções do Controlador de Domínio
    • Especificar uma Modo de Restauração dos Serviços de Diretório com base em seus requisitos organizacionais
    • Altere os caminhos de C: para apontar para a unidade F: que criamos quando solicitado a localização
    • Revise as seleções feitas no assistente e escolha Próximo

Observação

A Verificação de Pré-requisitos avisará você de que o adaptador de rede física não tem endereços IP estáticos atribuídos, você pode ignorar isso com segurança, pois os IPs estáticos são atribuídos na rede virtual do Azure.

  • Escolha Instalar

Quando o assistente conclui o processo de instalação, a VM é reinicializada.

Quando a VM tiver concluído a reinicialização, faça logoff novamente com as credenciais usadas antes, mas desta vez como um membro do domínio que você criou.

Observação

O primeiro logon após a promoção para um controlador de domínio pode levar mais tempo do que o normal e isso é OK. Pegue uma xícara de café, café, água ou outras bebidas de sua escolha.

As redes virtuais do Azure agora são suportadas por IPv6, mas caso você queira definir suas VMs para preferir IPv4 em vez de IPv6, as informações sobre como concluir essa tarefa podem ser encontradas no artigo KB Diretrizes para configurar o IPv6no Windows para usuários avançados.

Configurar DNS

Depois de promover o primeiro servidor no Azure, os servidores precisarão ser definidos como os Servidores DNS primários e secundários para a rede virtual, e qualquer Servidor DNS local será rebaixado para terciário e superior. Mais informações sobre como alterar servidores DNS podem ser encontradas no artigo Criar, alterar ou excluir uma rede virtual.

Configurar o segundo Controlador de Domínio

Conexão AZDC02 usando as credenciais fornecidas no script.

  • Inicialize e formate o disco de dados como F:
    • Abra o menu Iniciar e navegue até Gerenciamento do Computador
    • Navegue até ArmazenamentoGerenciamento de Disco
    • Inicializar o disco como MBR
    • Crie um novo volume simples e atribua a letra da unidade F: (você pode fornecer um rótulo de volume, se desejar)
  • Instalar Active Directory Domain Services usando Gerenciador do Servidor
  • Promover o controlador de domínio
    • Adicionar um controlador de domínio a um domínio existente – CONTOSO.com
    • Fornecer credenciais para executar a operação
    • Altere os caminhos de C: para apontar para a unidade F: que criamos quando solicitado a localização
    • Verifique se o servidor DNS (Sistema de Nomes de Domínio) e o GC (Catálogo Global) estão marcados na página Opções do Controlador de Domínio
    • Especifique Modo de Restauração dos Serviços de Diretório senha baseada em seus requisitos organizacionais
    • Revise as seleções feitas no assistente e escolha Próximo

Observação

A Verificação de Pré-requisitos avisará você de que o adaptador de rede física não tem endereços IP estáticos atribuídos. Você pode ignorar isso com segurança, pois os IPs estáticos são atribuídos na rede virtual do Azure.

  • Escolha Instalar

Quando o assistente conclui o processo de instalação, a VM é reinicializada.

Quando a VM tiver concluído a reinicialização, faça logoff novamente com as credenciais usadas antes, mas desta vez como membro do CONTOSO.com domínio

As redes virtuais do Azure agora são suportadas por IPv6,mas caso você queira definir suas VMs para preferir IPv4 em vez de IPv6, as informações sobre como concluir essa tarefa podem ser encontradas no artigo KB Diretrizes para configurar o IPv6no Windows para usuários avançados.

Conclusão

Neste ponto, o ambiente tem um par de controladores de domínio e configuramos a rede virtual do Azure para que servidores adicionais possam ser adicionados ao ambiente. Tarefas pós-instalação para Active Directory Domain Services, como configurar sites e serviços, auditoria, backup e proteger a conta de administrador interna, devem ser concluídas neste ponto.

Removendo o ambiente

Para remover o ambiente, quando você concluir o teste, o grupo de recursos que criamos acima poderá ser excluído. Esta etapa remove todos os componentes que fazem parte desse grupo de recursos.

Remover usando o portal do Azure

No portal do Azure, navegue até Grupos de recursos e escolha o grupo de recursos que criamos (neste exemplo ADonAzureVMs) e selecione Excluir grupo de recursos. O processo solicita confirmação antes de excluir todos os recursos contidos dentro do grupo de recursos.

Remover usando o CLI do Azure

De CLI do Azure execute o seguinte comando:

az group delete --name ADonAzureVMs

Próximas etapas