Установка нового леса Active Directory с помощью Azure CLI

AD DS может работать на виртуальной машине Azure так же, как и во многих локальных экземплярах. В этой статье описывается развертывание нового леса AD DS на двух новых контроллерах домена в группе доступности Azure с помощью портал Azure и Azure CLI. Многие клиенты находят это руководство полезным при создании лаборатории или подготовке к развертыванию контроллеров домена в Azure.

Компоненты

• Группа ресурсов, вложенная во все элементы.
• Azure виртуальная сеть, подсеть, группу безопасности сети и правило, чтобы разрешить доступ RDP к виртуальным машинам.
• Группа доступности виртуальных машин Azure для подключения двух контроллеров домена домен Active Directory Services (AD DS).
• Две виртуальные машины Azure для запуска AD DS и DNS.

Элементы, которые не охвачены

• Создание VPN-подключения типа "сеть — сеть" из локального расположения
• Защита сетевого трафика в Azure
• Проектирование топологии сайта
• Планирование размещения главных ролей операций
• Развертывание microsoft Entra Подключение для синхронизации удостоверений с идентификатором Microsoft Entra

Создание тестовой среды

Мы используем портал Azure и Azure CLI для создания среды.

Azure CLI используется для создания ресурсов Azure и управления ими из командной строки или с помощью скриптов. В этом руководстве описаны сведения об использовании Azure CLI для развертывания виртуальных машин под управлением Windows Server 2019. После завершения развертывания мы подключаемся к серверам и устанавливаем AD DS.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Использование Azure CLI

Следующий сценарий автоматизирует процесс создания двух виртуальных машин Windows Server 2019 для создания контроллеров домена для нового леса Active Directory в Azure. Администратор может изменить указанные ниже переменные в соответствии с потребностями, а затем выполнить одну операцию. Сценарий создает необходимую группу ресурсов, группу безопасности сети с правилом трафика для удаленного рабочего стола, виртуальной сети и подсети и группы доступности. Затем виртуальные машины создаются с диском данных размером 20 ГБ с отключенным кэшированием для установки AD DS.

Приведенный ниже скрипт можно запустить непосредственно из портал Azure. Если вы решили установить и использовать CLI локально, для выполнения инструкций в этом руководстве вам понадобится Azure CLI 2.0.4 или более поздней версии. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.

Имя переменной	Характер использования
Администратор Username	Имя пользователя для настройки на каждой виртуальной машине в качестве локального администратора.
AdminPassword	Пароль Cleartext для настройки на каждой виртуальной машине в качестве пароля локального администратора.
ResourceGroupName	Имя, используемое для группы ресурсов. Не следует дублировать существующее имя.
Расположение	Имя расположения Azure, в которое вы хотите развернуть. Список поддерживаемых регионов для текущей подписки с помощью az account list-locations.
VNetName	Имя для назначения виртуальной сети Azure не должно дублировать существующее имя.
VNetAddress	IP-область для использования для сети Azure. Не следует дублировать существующий диапазон.
SubnetName	Имя для назначения IP-подсети. Не следует дублировать существующее имя.
ПодсетьAddress	Адрес подсети для контроллеров домена. Должен быть подсетью внутри виртуальной сети.
Группа доступности	Имя группы доступности виртуальных машин контроллера домена присоединится.
VMSize	Стандартный размер виртуальной машины Azure, доступный в расположении для развертывания.
DataDiskSize	Размер в ГБ для диска данных, в котором устанавливается AD DS.
DomainController1	Имя первого контроллера домена.
DC1IP	IP-адрес для первого контроллера домена.
DomainController2	Имя второго контроллера домена.
DC2IP	IP-адрес второго контроллера домена.

#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS и Active Directory

Если виртуальные машины Azure, созданные в рамках этого процесса, будут расширением существующей инфраструктуры локальная служба Active Directory, параметры DNS в виртуальной сети необходимо изменить, чтобы включить локальные DNS-серверы перед развертыванием. Этот шаг важен, чтобы вновь созданные контроллеры домена в Azure разрешали локальные ресурсы и разрешали реплика. Дополнительные сведения о DNS, Azure и настройке параметров см. в разделе "Разрешение имен", которое использует собственный DNS-сервер.

После продвижения новых контроллеров домена в Azure они должны быть установлены на первичные и вторичные DNS-серверы для виртуальной сети, а все локальные DNS-серверы будут понижены до третичного и дополнительного. Виртуальные машины продолжают использовать свои текущие параметры DNS, пока они не будут перезагружены. Дополнительные сведения об изменении DNS-серверов можно найти в статье "Создание, изменение или удаление виртуальной сети".

Сведения о расширении локальной сети в Azure см. в статье "Создание VPN-подключения типа "сеть — сеть".

Настройка виртуальных машин и установка служб домен Active Directory

После завершения скрипта перейдите к портал Azure, а затем виртуальные машины.

Настройка первого контроллера домена

Подключение в AZDC01 с использованием учетных данных, предоставленных в скрипте.

• Инициализация и форматирование диска данных как F:
  • Откройте меню и перейдите к управлению компьютерами
  • Перейдите к управлению служба хранилища> Disk
  • Инициализация диска как МБ R
  • Создайте простой том и назначьте букву F диска: при желании можно указать метку тома.
• Установка служб домен Active Directory с помощью диспетчер сервера
• Повышение уровня контроллера домена в новом лесу
  • Оставьте сервер доменных имен (DNS) и глобальный каталог (GC) проверка на странице параметров контроллера домена
  • Указание пароля режима восстановления служб каталогов в соответствии с требованиями организации
  • Измените пути из C: на указатель на F: диск, созданный при появлении запроса на их расположение.
  • Просмотрите выбранные параметры, сделанные в мастере, и нажмите кнопку "Далее"

Примечание.

Проверка необходимых компонентов предупреждает о том, что физический сетевой адаптер не имеет статических IP-адресов, вы можете безопасно игнорировать это, так как статические IP-адреса назначаются в виртуальной сети Azure.

• Выберите " Установить"

Когда мастер завершит процесс установки, виртуальная машина перезагружается.

После завершения перезагрузки виртуальной машины войдите в систему с учетными данными, используемыми ранее, но на этот раз в качестве члена созданного домена.

Примечание.

Первый вход после повышения уровня контроллера домена может занять больше времени, чем обычно, и это нормально. Возьмите чашку чая, кофе, воды или другого напитка выбора.

Теперь виртуальные сети Azure поддерживают IPv6, но если вы хотите настроить виртуальные машины для использования IPv4 по протоколу IPv6, сведения о том, как выполнить эту задачу, можно найти в статье КБ руководство по настройке IPv6 в Windows для расширенных пользователей.

Настройка DNS

После продвижения первого сервера в Azure серверы необходимо установить на первичные и вторичные DNS-серверы для виртуальной сети, а все локальные DNS-серверы будут понижены до третичного и дополнительного. Дополнительные сведения об изменении DNS-серверов можно найти в статье "Создание, изменение или удаление виртуальной сети".

Настройка второго контроллера домена

Подключение в AZDC02 с использованием учетных данных, предоставленных в скрипте.

• Инициализация и форматирование диска данных как F:
  • Откройте меню и перейдите к управлению компьютерами
  • Перейдите к управлению служба хранилища> Disk
  • Инициализация диска как МБ R
  • Создайте новый простой том и назначьте букву F диска (при желании можно указать метку тома).
• Установка служб домен Active Directory с помощью диспетчер сервера
• Повышение уровня контроллера домена
  • Добавление контроллера домена в существующий домен — CONTOSO.com
  • Укажите учетные данные для выполнения операции
  • Измените пути из C: на указатель на F: диск, созданный при появлении запроса на их расположение.
  • Убедитесь, что сервер доменных имен (DNS) и глобальный каталог (GC) проверка на странице "Параметры контроллера домена"
  • Указание пароля режима восстановления служб каталогов в соответствии с требованиями организации
  • Просмотрите выбранные параметры, сделанные в мастере, и нажмите кнопку "Далее"

Примечание.

Проверка необходимых компонентов предупреждает о том, что физический сетевой адаптер не назначен статическим IP-адресом. Это можно игнорировать, так как статические IP-адреса назначаются в виртуальной сети Azure.

• Выберите " Установить"

Когда мастер завершит процесс установки, виртуальная машина перезагружается.

После завершения перезагрузки виртуальной машины войдите в систему с учетными данными, используемыми ранее, но на этот раз в качестве члена домена CONTOSO.com

Теперь виртуальные сети Azure поддерживают IPv6, но если вы хотите настроить виртуальные машины для использования IPv4 по протоколу IPv6, сведения о том, как выполнить эту задачу, можно найти в статье КБ руководство по настройке IPv6 в Windows для расширенных пользователей.

Заключение

На этом этапе среда имеет пару контроллеров домена, и мы настроили виртуальную сеть Azure, чтобы дополнительные серверы могли быть добавлены в среду. Задачи после установки для служб домен Active Directory, таких как настройка сайтов и служб, аудит, резервное копирование и защита встроенной учетной записи администратора, должна быть завершена на этом этапе.

Удаление среды

Чтобы удалить среду, когда вы завершили тестирование, можно удалить группу ресурсов, созданную выше. На этом шаге удаляются все компоненты, которые входят в эту группу ресурсов.

Удаление с помощью портала Azure

В портал Azure перейдите к группам ресурсов и выберите созданную группу ресурсов (в этом примере ADonAzureVMs) и выберите "Удалить группу ресурсов". Процесс запрашивает подтверждение перед удалением всех ресурсов, содержащихся в группе ресурсов.

Удаление с помощью Azure CLI

В Azure CLI выполните следующую команду:

az group delete --name ADonAzureVMs

Следующие шаги

• Сейф виртуализация служб домен Active Directory (AD DS)
• Microsoft Entra Подключение
• Резервное копирование и восстановление
• Подключение VPN типа "сеть — сеть"
• Мониторинг
• Безопасность и политика
• Обслуживание и обновления