Instalacja nowego lasu Active Directory za pomocą Azure CLI
Usługi AD DS można uruchamiać na maszynie wirtualnej platformy Azure tak samo, jak w wielu instancjach lokalnych. W tym artykule omówiono, jak wdrożyć nowy las usług AD DS na dwóch nowych kontrolerach domeny, w zestawie dostępności Azure, korzystając z portalu Azure i Azure CLI. Wielu klientów uważa, że te wskazówki są przydatne podczas tworzenia laboratorium lub przygotowywania do wdrożenia kontrolerów domeny na platformie Azure.
Składniki
- Grupa zasobów, w której należy umieścić wszystko.
- usługi Azure Virtual Network, podsieć, sieciowa grupa zabezpieczeń oraz reguła umożliwiająca dostęp RDP do maszyn wirtualnych.
- W zestawie dostępności maszyny wirtualnej Azure należy umieścić dwa kontrolery domeny usług Active Directory Domain Services (AD DS).
- Dwie maszyny wirtualne platformy Azure do uruchamiania usług AD DS i DNS.
Elementy, które nie są objęte
- Tworzenie połączenia sieci VPN typu lokacja-lokacja z lokalizacji lokalnej
- Zabezpieczanie ruchu sieciowego w usłudze Azure
- Projektowanie topologii lokacji
- Planowanie umiejscowienia roli głównego operatora
- Wdrożenie narzędzia Microsoft Entra Connect w celu synchronizowania tożsamości z Microsoft Entra ID
Kompilowanie środowiska testowego
Do tworzenia środowiska używamy witryny Azure Portal i interfejsu wiersza polecenia platformy Azure.
Interfejs wiersza polecenia platformy Azure służy do tworzenia zasobów platformy Azure i zarządzania nimi z poziomu wiersza polecenia lub skryptów. Ten samouczek zawiera szczegółowe informacje dotyczące wdrażania maszyn wirtualnych z systemem Windows Server 2019 przy użyciu interfejsu wiersza polecenia platformy Azure. Po zakończeniu wdrażania nawiązujemy połączenie z serwerami i instalujemy usługi AD DS.
Jeśli nie masz subskrypcji Azure, utwórz bezpłatne konto przed rozpoczęciem.
Korzystanie z Azure CLI
Poniższy skrypt automatyzuje proces tworzenia dwóch maszyn wirtualnych z systemem Windows Server 2019 w celu utworzenia kontrolerów domeny dla nowego lasu usługi Active Directory na platformie Azure. Administrator może zmodyfikować poniższe zmienne zgodnie z ich potrzebami, a następnie ukończyć je jako jedną operację. Skrypt tworzy niezbędną grupę zasobów, sieciową grupę zabezpieczeń z regułą ruchu dla pulpitu zdalnego, sieci wirtualnej i podsieci oraz grupy dostępności. Maszyny wirtualne są następnie tworzone z dyskiem danych o rozmiarze 20 GB, z wyłączoną pamięcią podręczną, na którym mają zostać zainstalowane usługi AD DS.
Poniższy skrypt można uruchomić bezpośrednio w witrynie Azure Portal. Jeśli zdecydujesz się zainstalować i korzystać lokalnie z interfejsu wiersza polecenia (CLI), ten przewodnik szybkiego startu wymaga, abyś używał Azure CLI w wersji 2.0.4 lub nowszej. Uruchom az --version, aby znaleźć wersję. Jeśli musisz zainstalować lub uaktualnić, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure w wersji 2.0.
| Nazwa zmiennej | Cel |
|---|---|
| AdminUsername | Nazwa użytkownika, którą należy skonfigurować na każdej maszynie wirtualnej jako administratora lokalnego. |
| HasłoAdministratora | Hasło w postaci niezaszyfrowanej do skonfigurowania na każdej maszynie wirtualnej jako hasło administratora lokalnego. |
| ResourceGroupName (NazwaGrupyZasobów) | Nazwa, która ma być używana dla grupy zasobów. Nie należy duplikować istniejącej nazwy. |
| Lokalizacja | Nazwa lokalizacji platformy Azure, do której chcesz przeprowadzić wdrożenie. Wyświetl listę obsługiwanych regionów dla bieżącej subskrypcji przy użyciu az account list-locations. |
| Nazwa sieci wirtualnej | Nazwa do przypisania sieci wirtualnej platformy Azure nie powinna duplikować istniejącej nazwy. |
| VNetAddress | Zakres adresów IP do użycia na potrzeby sieci platformy Azure. Nie należy duplikować istniejącego zakresu. |
| Nazwa podsieci | Nazwa podsieci IP do przypisania. Nie należy duplikować istniejącej nazwy. |
| PodsiećAdres | Adres podsieci dla kontrolerów domeny. Powinna być podsiecią wewnątrz sieci wirtualnej. |
| Zestaw dostępności | Nazwa zestawu dostępności, do którego będą przyłączone maszyny wirtualne kontrolera domeny. |
| Rozmiar maszyny wirtualnej | Standardowy rozmiar maszyny wirtualnej platformy Azure dostępny w lokalizacji wdrożenia. |
| DataDiskSize | Rozmiar w GB dla dysku danych, na którym są instalowane usługi AD DS. |
| DomainController1 | Nazwa pierwszego kontrolera domeny. |
| DC1IP | Adres IP pierwszego kontrolera domeny. |
| DomainController2 | Nazwa drugiego kontrolera domeny. |
| DC2IP | Adres IP drugiego kontrolera domeny. |
#Add lines for AdminUsername and AdminPassword, and update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS i Active Directory
Jeśli maszyny wirtualne platformy Azure utworzone w ramach tego procesu będą rozszerzeniem istniejącej lokalnej infrastruktury usługi Active Directory, przed wdrożeniem należy zmienić ustawienia DNS w sieci wirtualnej w celu uwzględnienia lokalnych serwerów DNS. Ten krok jest ważny, aby umożliwić nowo utworzonym kontrolerom domeny na platformie Azure rozpoznawanie zasobów lokalnych i zezwalanie na replikację. Więcej informacji na temat systemu DNS, platformy Azure i sposobu konfigurowania ustawień można znaleźć w sekcji Rozpoznawanie nazw, które używa własnego serwera DNS.
Po awansowaniu nowych kontrolerów domeny na Azure należy je ustawić jako podstawowe i pomocnicze serwery DNS dla sieci wirtualnej, a wszystkie lokalne serwery DNS zostaną zdegradowane do roli trzeciorzędowych i dalszych. Maszyny wirtualne nadal używają bieżących ustawień DNS do czasu ponownego uruchomienia. Więcej informacji na temat zmiany serwerów DNS można znaleźć w artykule Tworzenie, zmienianie lub usuwanie sieci wirtualnej.
Informacje o rozszerzaniu sieci lokalnej na platformę Azure można znaleźć w artykule Tworzenie połączenia sieci VPN typu lokacja-lokacja.
Konfigurowanie maszyn wirtualnych i instalowanie usług Active Directory Domain Services
Po zakończeniu działania skryptu przejdź do witryny Azure Portal, a następnie maszyny wirtualne.
Konfigurowanie pierwszego kontrolera domeny
Połącz się z usługą AZDC01 przy użyciu poświadczeń podanych w skrypicie.
- Zainicjuj i sformatuj dysk danych jako F:
- Otwórz menu Start i przejdź do Zarządzanie komputerem
- Przejdź do magazynu>zarządzanie dyskami
- Zainicjuj dysk jako MBR
- Utwórz nowy wolumin prosty i przypisz literę dysku F: możesz podać etykietę woluminu, jeśli chcesz
- Instalowanie usług Active Directory Domain Services przy użyciu Menedżera serwera
- Podwyższ poziom kontrolera domeny jako pierwszy w nowym lesie
- Pozostaw pole Wyboru serwera systemu nazw domen (DNS) i wykazu globalnego (GC) zaznaczone na stronie Opcje kontrolera domeny
- Określanie hasła trybu przywracania usług katalogowych na podstawie wymagań organizacji
- Zmień ścieżki z C:, aby wskazały na dysk F:, który utworzyliśmy, gdy zostaniesz poproszony o podanie ich lokalizacji.
- Przejrzyj wybrane opcje w kreatorze i wybierz pozycję Dalej
Notatka
Sprawdzanie wymagań wstępnych wyświetli ostrzeżenie, że fizyczna karta sieciowa nie ma przypisanych statycznych adresów IP. Możesz bezpiecznie zignorować to, ponieważ statyczne adresy IP są przypisane w sieci wirtualnej platformy Azure.
- Wybierz pozycję Zainstaluj
Po zakończeniu procesu instalacji kreator powoduje ponowne uruchomienie maszyny wirtualnej.
Po zakończeniu ponownego uruchamiania maszyny wirtualnej zaloguj się ponownie przy użyciu poświadczeń użytych wcześniej, ale tym razem jako członek utworzonej domeny.
Notatka
Pierwsze logowanie po podwyższeniu poziomu do kontrolera domeny może trwać dłużej niż normalnie i jest to ok. Wybierz filiżankę herbaty, kawy, wody lub innego wybranego napoju.
sieci wirtualne platformy Azure obsługują teraz protokół IPv6 , ale jeśli chcesz ustawić maszyny wirtualne, aby preferować protokół IPv4 za pośrednictwem protokołu IPv6, informacje na temat wykonywania tego zadania można znaleźć w artykule KB Guidance for configuring IPv6 in Windows for advanced users.
Konfigurowanie systemu DNS
Po promowaniu pierwszego serwera na platformie Azure, serwery muszą być ustawione do roli serwerów podstawowego i pomocniczego DNS dla sieci wirtualnej, a wszystkie lokalne serwery DNS zostaną zdegradowane do roli serwerów trzeciorzędowego i dalszego. Więcej informacji na temat zmiany serwerów DNS można znaleźć w artykule Tworzenie, zmienianie lub usuwanie sieci wirtualnej.
Konfigurowanie drugiego kontrolera domeny
Połącz się z usługą AZDC02 przy użyciu poświadczeń podanych w skrypicie.
- Zainicjuj i sformatuj dysk danych jako F:
- Otwórz menu Start i przejdź do Zarządzanie komputerem
- Przejdź do magazynu>zarządzanie dyskami
- Inicjowanie dysku jako MBR
- Utwórz nowy wolumin prosty i przypisz literę dysku F: (jeśli chcesz, możesz podać etykietę woluminu)
- Instalowanie usług Active Directory Domain Services przy użyciu Menedżera serwera
- Podwyższanie poziomu kontrolera domeny
- Dodawanie kontrolera domeny do istniejącej domeny — CONTOSO.com
- Podawanie poświadczeń w celu wykonania operacji
- Zmień ścieżki z C: na dysk F:, który utworzyliśmy, gdy zostaniesz poproszony o ich lokalizację.
- Upewnij się, że serwer systemu nazw domen (DNS) i wykaz globalny (GC) są zaznaczone na stronie Opcje kontrolera domeny
- Określanie hasła trybu przywracania usług katalogowych na podstawie wymagań organizacji
- Przejrzyj wybrane opcje w kreatorze i wybierz pozycję Dalej
Notatka
Sprawdzanie wymagań wstępnych wyświetli ostrzeżenie, że fizyczna karta sieciowa nie ma przypisanych statycznych adresów IP. Można to bezpiecznie zignorować, ponieważ statyczne adresy IP są przypisywane w sieci wirtualnej platformy Azure.
- Wybierz pozycję Zainstaluj
Gdy kreator zakończy proces instalacji, maszyna wirtualna uruchamia się ponownie.
Po zakończeniu ponownego uruchamiania maszyny wirtualnej zaloguj się ponownie przy użyciu poświadczeń użytych wcześniej, ale tym razem jako członek domeny CONTOSO.com
sieci wirtualne platformy Azure obsługują terazIPv6, ale jeśli chcesz ustawić maszyny wirtualne, aby preferować protokół IPv4 zamiast protokołu IPv6, informacje na temat wykonywania tego zadania można znaleźć w artykule KB Poradnik konfigurowania IPv6 w systemie Windows dla zaawansowanych użytkowników.
Zakończ
W tym momencie środowisko ma parę kontrolerów domeny i skonfigurowaliśmy sieć wirtualną platformy Azure tak, aby dodatkowe serwery mogły zostać dodane do środowiska. Zadania po instalacji dla usług Active Directory Domain Services, takie jak konfigurowanie lokacji i usług, inspekcja, tworzenie kopii zapasowych i zabezpieczanie wbudowanego konta administratora, powinny zostać ukończone w tym momencie.
Usuwanie środowiska
Aby usunąć środowisko, po zakończeniu testowania można usunąć grupę zasobów utworzoną powyżej. Ten krok usuwa wszystkie składniki, które są częścią tej grupy zasobów.
Usuwanie przy użyciu witryny Azure Portal
W witrynie Azure Portal przejdź do grupy zasobów i wybierz utworzoną grupę zasobów (w tym przykładzie ADonAzureVMs), a następnie wybierz pozycję Usuń grupę zasobów. Proces prosi o potwierdzenie przed usunięciem wszystkich zasobów zawartych w grupie zasobów.
Usuwanie przy użyciu interfejsu wiersza polecenia platformy Azure
W interfejsie wiersza polecenia platformy Azure uruchom następujące polecenie:
az group delete --name ADonAzureVMs