Een nieuw Active Directory-forest installeren met behulp van Azure CLI

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

AD DS kan op een virtuele Azure-machine (VM) op dezelfde manier worden uitgevoerd als in veel on-premises exemplaren. Dit artikel begeleidt u bij het implementeren van een nieuw AD DS-forest, op twee nieuwe domeincontrollers, in een Azure-beschikbaarheidsset met behulp van Azure Portal en Azure CLI. Veel klanten vinden deze richtlijnen nuttig bij het maken van een lab of het voorbereiden van het implementeren van domeincontrollers in Azure.

Onderdelen

• Een resourcegroep om alles in te zetten.
• Een Azure Virtual Network, subnet, een netwerkbeveiligingsgroep en een regel voor het toestaan van RDP-toegang tot VM's.
• Een beschikbaarheidsset voor een virtuele Azure-machine om twee domeincontrollers voor Active Directory Domain Services (AD DS) in te plaatsen.
• Twee virtuele Azure-machines om AD DS en DNS uit te voeren.

Items die niet worden gedekt

• Een site-naar-site-VPN-verbinding maken vanaf een on-premises locatie
• netwerkverkeer beveiligen in Azure
• de sitetopologie ontwerpen
• plaatsing van operations-masterrollen plannen
• Microsoft Entra Connect implementeren om identiteiten te synchroniseren met Microsoft Entra ID

De testomgeving bouwen

We gebruiken de Azure Portal en Azure CLI- voor het maken van de omgeving.

De Azure CLI wordt gebruikt voor het maken en beheren van Azure-resources vanaf de command line of in scripts. In deze zelfstudie wordt beschreven hoe je de Azure CLI kunt gebruiken voor het uitrollen van virtuele machines waarop Windows Server 2019 draait. Zodra de implementatie is voltooid, maken we verbinding met de servers en installeren we AD DS.

Als u geen Azure-abonnement hebt, maak een gratis account voordat u begint.

Azure CLI gebruiken

Met het volgende script wordt het proces voor het bouwen van twee Windows Server 2019-VM's geautomatiseerd voor het bouwen van domeincontrollers voor een nieuw Active Directory-forest in Azure. Een beheerder kan de onderstaande variabelen aanpassen aan hun behoeften en vervolgens als één bewerking voltooien. Het script maakt de benodigde resourcegroep, netwerkbeveiligingsgroep met een verkeersregel voor Remote Desktop, virtueel netwerk en subnet, en beschikbaarheidsgroep aan. De VM's worden vervolgens gebouwd met een gegevensschijf van 20 GB waarvoor caching is uitgeschakeld, zodat AD DS kan worden geïnstalleerd.

Het onderstaande script kan rechtstreeks vanuit Azure Portal worden uitgevoerd. Als u ervoor kiest om de CLI lokaal te installeren en te gebruiken, moet u voor deze quickstart versie 2.0.4 of hoger van Azure CLI uitvoeren. Voer az --version uit om de versie te vinden. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.

Variabelenaam	Doel
BeheerderGebruikersnaam	Gebruikersnaam die geconfigureerd moet worden op elke VM als lokale beheerder.
AdminPassword	Wistekstwachtwoord dat op elke virtuele machine moet worden geconfigureerd als het lokale beheerderswachtwoord.
Naam van Resourcegroep	De naam die moet worden gebruikt voor de resourcegroep. Een bestaande naam mag niet worden gedupliceerd.
Plaats	Azure-locatienaam waarnaar u wilt implementeren. Geef ondersteunde regio's voor het huidige abonnement weer met behulp van az account list-locations.
VNetName	De naam voor het toewijzen van het virtuele Azure-netwerk mag geen bestaande naam dupliceren.
VNetAdres	IP-bereik dat moet worden gebruikt voor Azure-netwerken. Een bestaand bereik mag niet worden gedupliceerd.
SubnetName	Naam voor het toewijzen van het IP-subnet. Een bestaande naam mag niet worden gedupliceerd.
SubnetAdres	Subnetadres voor de domeincontrollers. Moet een subnet binnen het VNet zijn.
Beschikbaarheidsset	De naam van de beschikbaarheidsset waarbij de domeincontroller-VM's zich zullen aansluiten.
VMSize	Standaard azure VM-grootte beschikbaar op de locatie voor implementatie.
DataDiskSize	Grootte in GB voor de gegevensschijf waarop AD DS wordt geïnstalleerd.
DomainController1	Naam van de eerste domeincontroller.
DC1IP	IP-adres voor de eerste domeincontroller.
DomainController2	De naam van de tweede domeincontroller.
DC2IP	IP-adres voor tweede domeincontroller.

#Add lines for AdminUsername and AdminPassword, and update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS en Active Directory

Als de virtuele Azure-machines die als onderdeel van dit proces zijn gemaakt, een uitbreiding zijn van een bestaande on-premises Active Directory-infrastructuur, moeten de DNS-instellingen in het virtuele netwerk worden gewijzigd om uw on-premises DNS-servers op te nemen vóór de implementatie. Deze stap is belangrijk om de zojuist gemaakte domeincontrollers in Azure toe te staan om on-premises resources op te lossen en replicatie mogelijk te maken. Meer informatie over DNS, Azure en het configureren van instellingen vindt u in de sectie Naamomzetting die gebruikmaakt van uw eigen DNS-server.

Nadat de nieuwe domeincontrollers in Azure zijn gepromoot, moeten ze worden ingesteld op de primaire en secundaire DNS-servers voor het virtuele netwerk en worden alle on-premises DNS-servers gedegradeerd tot tertiaire en verder. VM's blijven hun huidige DNS-instellingen gebruiken totdat ze opnieuw worden opgestart. Meer informatie over het wijzigen van DNS-servers vindt u in het artikel Een virtueel netwerkmaken, wijzigen of verwijderen.

Informatie over het uitbreiden van een on-premises netwerk naar Azure vindt u in het artikel Een site-naar-site-VPN-verbinding maken.

De VM's configureren en Active Directory Domain Services installeren

Nadat het script is voltooid, gaat u naar de Azure Portalen vervolgens naar virtuele machines.

De eerste domeincontroller configureren

Maak verbinding met AZDC01 met behulp van de referenties die u hebt opgegeven in het script.

• Initialiseer en formatteer de gegevensschijf als F:
  • Open het menu Start en blader naar Computerbeheer
  • Blader naar Storage>Schijfbeheer
  • De schijf initialiseren als MBR
  • Maak een nieuw eenvoudig volume en wijs de stationsletter F toe: u kunt desgewenst een volumelabel opgeven
• Active Directory Domain Services installeren met Serverbeheer
• De domeincontroller promoveren als de eerste in een nieuw forest
  • Laat de DNS-server (Domain Name System) en GC (Global Catalog) ingeschakeld op de pagina Opties voor domeincontroller
  • Geef een wachtwoord voor de herstelmodus van Directory Services op op basis van de vereisten van uw organisatie
  • Wijzig de paden van C: zodat deze verwijzen naar de schijf F: die we hebben gemaakt wanneer er om hun locatie wordt gevraagd.
  • Controleer de selecties in de wizard en kies Volgende

Notitie

Met de controle van vereisten wordt u gewaarschuwd dat aan de fysieke netwerkadapter geen statisch IP-adres(en) is toegewezen. U kunt dit negeren omdat statische IP-adressen zijn toegewezen in het virtuele Azure-netwerk.

• Kies Installeren

Wanneer de wizard het installatieproces voltooit, wordt de VIRTUELE machine opnieuw opgestart.

Wanneer de VIRTUELE machine opnieuw is opgestart, meldt u zich opnieuw aan met de referenties die u eerder hebt gebruikt, maar deze keer als lid van het domein dat u hebt gemaakt.

Notitie

De eerste aanmelding na promotie naar een domeincontroller kan langer duren dan normaal en dit is OK. Pak een kopje thee, koffie, water of andere drank naar keuze.

virtuele Netwerken van Azure bieden nu ondersteuning voor IPv6-, maar als u uw VM's wilt instellen op IPv4 via IPv6, vindt u informatie over het voltooien van deze taak in het KB-artikel Richtlijnen voor het configureren van IPv6 in Windows voor geavanceerde gebruikers.

DNS configureren

Nadat de eerste server in Azure is gepromoot, moeten de servers worden ingesteld op de primaire en secundaire DNS-servers voor het virtuele netwerk en worden alle on-premises DNS-servers gedegradeerd tot tertiair en verder. Meer informatie over het wijzigen van DNS-servers vindt u in het artikel Een virtueel netwerkmaken, wijzigen of verwijderen.

De tweede domeincontroller configureren

Maak verbinding met AZDC02 met behulp van de referenties die u hebt opgegeven in het script.

• Initialiseer en formatteer de gegevensschijf als F:
  • Open het menu Start en blader naar Computerbeheer
  • Blader naar Opslag>Schijfbeheer
  • De schijf initialiseren als MBR
  • Maak een nieuw eenvoudig volume en wijs de schijfletter F: toe (u kunt desgewenst een volumelabel opgeven)
• Active Directory Domain Services installeren met Serverbeheer
• De domeincontroller promoveren
  • Een domeincontroller toevoegen aan een bestaand domein - CONTOSO.com
  • Referenties opgeven om de bewerking uit te voeren
  • Wijzig de paden van C: zodat deze verwijzen naar het station F: dat we hebben gemaakt wanneer u om hun locatie wordt gevraagd
  • Controleren of de DNS-server (Domain Name System) en GC (Global Catalog) zijn ingeschakeld op de pagina Opties voor domeincontrollers
  • Geef een wachtwoord voor de herstelmodus van Directory Services op op basis van de vereisten van uw organisatie
  • Controleer de selecties in de wizard en kies Volgende

Notitie

Met de controle van vereisten wordt u gewaarschuwd dat aan de fysieke netwerkadapter geen statisch IP-adres(en) is toegewezen. U kunt dit veilig negeren, omdat statische IP-adressen zijn toegewezen in het virtuele Azure-netwerk.

• Kies Installeren

Wanneer de wizard het installatieproces voltooit, wordt de VIRTUELE machine opnieuw opgestart.

Wanneer de VM opnieuw is opgestart, meldt u zich opnieuw aan met de referenties die u eerder hebt gebruikt, maar deze keer als lid van het CONTOSO.com-domein

virtuele Azure-netwerken bieden nu ondersteuning voor IPv6-, maar als u uw VM's wilt instellen op IPv4 via IPv6, vindt u informatie over het voltooien van deze taak in het KB-artikel Richtlijnen voor het configureren van IPv6 in Windows voor geavanceerde gebruikers.

Afronden

Op dit moment heeft de omgeving een paar domeincontrollers en we hebben het virtuele Azure-netwerk geconfigureerd, zodat extra servers kunnen worden toegevoegd aan de omgeving. Taken na installatie voor Active Directory Domain Services, zoals het configureren van sites en services, controle, back-up en beveiliging van het ingebouwde beheerdersaccount, moeten op dit moment worden voltooid.

De omgeving verwijderen

Als u de omgeving wilt verwijderen, kan de resourcegroep die we hierboven hebben gemaakt, worden verwijderd wanneer u klaar bent met testen. Met deze stap verwijdert u alle onderdelen die deel uitmaken van die resourcegroep.

Verwijderen met behulp van Azure Portal

Blader in Azure Portal naar Resourcegroepen en kies de resourcegroep die we hebben gemaakt (in dit voorbeeld ADonAzureVM's) en selecteer vervolgens Resourcegroep verwijderen. Het proces vraagt om bevestiging voordat alle resources in de resourcegroep worden verwijderd.

Verwijderen met behulp van de Azure CLI

Voer vanuit Azure CLI de volgende opdracht uit:

az group delete --name ADonAzureVMs

Volgende stappen

• Active Directory Domain Services (AD DS) veilig virtualiseren
• Microsoft Entra Connect
• back-up en herstel
• site-naar-site-VPN-connectiviteit
• bewaking
• beveiliging en beleid
• onderhoud en updates