Partager via


Installation d’une nouvelle forêt Active Directory à l’aide d’Azure CLI

AD DS peut s’exécuter sur une machine virtuelle Azure de la même manière que sur de nombreuses instances locales. Cet article vous guide tout au long du déploiement d’une nouvelle forêt AD DS, sur deux nouveaux contrôleurs de domaine, dans un groupe à haute disponibilité Azure à l’aide du Portail Azure et d’Azure CLI. De nombreux clients trouvent ces conseils utiles lors de la création d’un lab ou de la préparation du déploiement de contrôleurs de domaine dans Azure.

Components

  • Groupe de ressources dans lequel tout placer.
  • Un Réseau virtuel Azure, un sous-réseau, un groupe de sécurité réseau et une règle pour autoriser l’accès RDP aux machines virtuelles.
  • Un groupe de machines virtuelles à haute disponibilité Azure dans lequel placer deux contrôleurs de domaine Active Directory Domain Services (AD DS).
  • Deux machines virtuelles Azure pour exécuter AD DS et DNS.

Éléments non couverts

Créer l’environnement de test

Nous utilisons le Portail Azure et Azure CLI pour créer l’environnement.

L’interface de ligne de commande (CLI) Azure permet de créer et gérer des ressources Azure à partir de la ligne de commande ou dans les scripts. Ce tutoriel détaille l’utilisation de l’interface de ligne de commande Azure pour le déploiement d’une machine virtuelle Azure exécutant Windows Server 2019. Une fois le déploiement terminé, connectez-vous au serveur et installez AD DS.

Si vous ne disposez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Utilisation de l’interface de ligne de commande Azure

Le script suivant automatise le processus de création de deux machines virtuelles Windows Server 2019, dans le but de créer des contrôleurs de domaine pour une nouvelle forêt Active Directory dans Azure. Un administrateur peut modifier les variables ci-dessous en fonction de ses besoins, sous une même une opération. Le script crée le groupe de ressources nécessaire, le groupe de sécurité réseau avec une règle de trafic pour le Bureau à distance, le réseau et le sous-réseau virtuels, et le groupe de disponibilité. Les machines virtuelles sont ensuite créées avec un disque de données de 20 Go avec la mise en cache désactivée pour l’installation d’AD DS.

Le script ci-dessous peut être exécuté directement à partir du Portail Azure. Si vous choisissez d’installer et d’utiliser l’interface de ligne de commande localement, vous devez exécuter Azure CLI version 2.0.4 ou une version ultérieure pour poursuivre la procédure décrite dans ce guide de démarrage rapide. Exécutez az --version pour trouver la version. Si vous devez installer ou mettre à niveau, consultez Installation d’Azure CLI 2.0.

Nom de la variable Objectif
AdminUsername Nom d’utilisateur à configurer sur chaque machine virtuelle en tant qu’administrateur local.
AdminPassword Texte clair du mot de passe à configurer sur chaque machine virtuelle en tant que mot de passe d’administrateur local.
ResourceGroupName Nom à utiliser pour le groupe de ressources. Ne doit pas dupliquer un nom existant.
Emplacement Nom de l’emplacement Azure sur lequel vous souhaitez déployer. Répertoriez les régions prises en charge pour l’abonnement actuel à l’aide de az account list-locations.
VNetName Nom à attribuer au réseau virtuel Azure ; ne doit pas dupliquer un nom existant.
VNetAddress Étendue d’IP à utiliser pour la mise en réseau Azure. Ne doit pas dupliquer une plage existante.
SubnetName Nom pour affecter le sous-réseau IP. Ne doit pas dupliquer un nom existant.
SubnetAddress Adresse de sous-réseau pour les contrôleurs de domaine. Doit être un sous-réseau à l’intérieur du réseau virtuel.
AvailabilitySet Nom du groupe à haute disponibilité auquel les machines virtuelles du contrôleur de domaine seront jointes.
VMSize Taille de machine virtuelle Azure standard disponible à l’emplacement pour le déploiement.
DataDiskSize Taille en Go pour le disque de données sur lequel AD DS est installé.
DomainController1 Nom du premier contrôleur de domaine.
DC1IP Adresse IP du premier contrôleur de domaine.
DomainController2 Nom du deuxième contrôleur de domaine.
DC2IP Adresse IP du deuxième contrôleur de domaine.
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS et Active Directory

Si les machines virtuelles Azure créées dans le cadre de ce processus sont une extension d’une infrastructure Active Directory local existante, les paramètres DNS sur le réseau virtuel doivent être modifiés pour inclure vos serveurs DNS locaux avant le déploiement. Cette étape est importante pour permettre aux contrôleurs de domaine nouvellement créés dans Azure de résoudre les ressources locales et de permettre la réplication. Pour plus d’informations sur DNS, Azure et la configuration des paramètres, consultez la section Résolution de noms qui utilise votre propre serveur DNS.

Après avoir promu les nouveaux contrôleurs de domaine dans Azure, définissez le serveur DNS principal et le serveur DNS secondaire du réseau virtuel, puis abaissez le niveau des serveurs DNS locaux vers un niveau tertiaire ou inférieur. Les machines virtuelles continuent d’utiliser leurs paramètres DNS actifs jusqu’à ce qu’elles soient redémarrés. Pour plus d’informations sur la modification des serveurs DNS, consultez l’article Créer, modifier ou supprimer un réseau virtuel.

Vous trouverez des informations sur l’extension d’un réseau local à Azure dans l’article Création d’une connexion VPN de site à site.

Configurer les machines virtuelles et installer Active Directory Domain Services

Une fois le script terminé, accédez au Portail Azure, puis à Machines virtuelles.

Configuration du premier contrôleur de domaine

Connectez-vous à AZDC01 à l’aide des informations d’identification que vous avez fournies dans le script.

  • Initialisez et formatez le disque de données en tant que F :
    • Ouvrez le menu Démarrer et accédez à Gestion de l’ordinateur
    • Accédez à Stockage>Gestion des disques
    • Initialiser le disque en tant que MBR
    • Créez un volume simple et affectez-lui la lettre de lecteur F : ; vous pouvez fournir une étiquette de volume si vous le souhaitez
  • Installer Active Directory Domain Services à l’aide du Gestionnaire de serveur
  • Promouvez le contrôleur de domaine en tant que premier dans une nouvelle forêt
    • Laissez le serveur DNS et le catalogue global (GC) cochés dans la page Options du contrôleur de domaine
    • Spécifier un mot de passe en mode de restauration des services d’annuaire en fonction des exigences de votre organisation
    • Modifiez les chemins d’accès de C : pour pointer vers le lecteur F : que nous avons créé lorsque vous êtes invité à indiquer leur emplacement
    • Passez en revue les sélections effectuées dans l’Assistant et choisissez Suivant

Remarque

La vérification des conditions préalables vous avertit que la carte réseau physique n’a pas d’adresses IP statiques affectées. Vous pouvez l’ignorer en toute sécurité, car les adresses IP statiques sont affectées dans le réseau virtuel Azure.

  • Choisissez Installer

Lorsque l’Assistant termine le processus d’installation, la machine virtuelle redémarre.

Lorsque la machine virtuelle a terminé le redémarrage, reconnectez-vous avec les informations d’identification utilisées auparavant, mais cette fois en tant que membre du domaine que vous avez créé.

Remarque

La première ouverture de session après la promotion à un contrôleur de domaine peut prendre plus de temps que d’habitude. Prenez une tasse de thé, café, eau ou autre boisson de votre choix.

Les réseaux virtuels Azure prennent désormais en charge IPv6, mais si vous souhaitez définir vos machines virtuelles de façon à préférer IPv4 à IPv6, vous trouverez des informations sur la façon d’effectuer cette tâche dans l’article de la Base de connaissances Conseils pour la configuration d’IPv6 dans Windows pour les utilisateurs avancés.

Configurer DNS

Après avoir promu le premier serveur dans Azure, les serveurs devront être définis sur les serveurs DNS principaux et secondaires pour le réseau virtuel, et tous les serveurs DNS locaux seront rétrogradés vers les serveurs tertiaires et au-delà. Pour plus d’informations sur la modification des serveurs DNS, consultez l’article Créer, modifier ou supprimer un réseau virtuel.

Configuration du second contrôleur de domaine

Connectez-vous à AZDC02 à l’aide des informations d’identification que vous avez fournies dans le script.

  • Initialisez et formatez le disque de données en tant que F :
    • Ouvrez le menu Démarrer et accédez à Gestion de l’ordinateur
    • Accédez à Stockage>Gestion des disques
    • Initialiser le disque en tant que MBR
    • Créez un volume simple et affectez-lui la lettre de lecteur F : (vous pouvez fournir une étiquette de volume si vous le souhaitez)
  • Installer Active Directory Domain Services à l’aide du Gestionnaire de serveur
  • Promouvoir le contrôleur de domaine
    • Ajouter un contrôleur de domaine à un domaine existant - CONTOSO.com
    • Fournir les informations d’identification pour effectuer l’opération
    • Modifiez les chemins d’accès de C : pour pointer vers le lecteur F : que nous avons créé lorsque vous êtes invité à indiquer leur emplacement
    • Vérifiez que le serveur DNS et le catalogue global (GC) sont cochés dans la page Options du contrôleur de domaine
    • Spécifier un mot de passe en mode de restauration des services d’annuaire en fonction des exigences de votre organisation
    • Passez en revue les sélections effectuées dans l’Assistant et choisissez Suivant

Remarque

La vérification des prérequis vous avertit que la carte réseau physique n’a pas d’adresses IP statiques affectées. Vous pouvez ignorer cela en toute sécurité, car les adresses IP statiques sont affectées dans le réseau virtuel Azure.

  • Choisissez Installer

Lorsque l’Assistant termine le processus d’installation, la machine virtuelle redémarre.

Lorsque la machine virtuelle a terminé le redémarrage, reconnectez-vous avec les informations d’identification utilisées auparavant, mais cette fois en tant que membre du domaine CONTOSO.com

Les réseaux virtuels Azure prennent désormais en charge IPv6, mais si vous souhaitez définir vos machines virtuelles de façon à préférer IPv4 à IPv6, vous trouverez des informations sur la façon d’effectuer cette tâche dans l’article de la Base de connaissances Conseils pour la configuration d’IPv6 dans Windows pour les utilisateurs avancés.

Conclusion

À ce stade, l’environnement dispose d’une paire de contrôleurs de domaine, et nous avons configuré le réseau virtuel Azure afin que des serveurs supplémentaires puissent être ajoutés à l’environnement. Les tâches post-installation pour Active Directory Domain Services, comme la configuration des sites et des services, l’audit, la sauvegarde et la sécurisation du compte d’administrateur intégré, doivent être effectuées à ce stade.

Suppression de l’environnement

Pour supprimer l’environnement, une fois le test terminé, le groupe de ressources que nous avons créé ci-dessus peut être supprimé. Cette étape supprime tous les composants qui font partie de ce groupe de ressources.

Supprimer à l’aide du portail Azure

À partir du Portail Azure, accédez à Groupes de ressources et choisissez le groupe de ressources que nous avons créé (dans cet exemple ADonAzureVMs), puis sélectionnez Supprimer le groupe de ressources. Le processus demande une confirmation avant de supprimer toutes les ressources contenues dans le groupe de ressources.

Suppression à l’aide d’Azure CLI

À partir d’Azure CLI, exécutez la commande suivante :

az group delete --name ADonAzureVMs

Étapes suivantes