Установка нового леса Active Directory с помощью Azure CLI
AD DS может работать на виртуальной машине Azure так же, как и во многих локальных экземплярах. В этой статье описывается развертывание нового леса AD DS на двух новых контроллерах домена в группе доступности Azure с помощью портала Azure и Azure CLI. Многие клиенты находят это руководство полезным при создании лаборатории или подготовке к развертыванию контроллеров домена в Azure.
Компоненты
- Группа ресурсов, в которую можно поместить все.
- Виртуальная сеть Azure, подсеть, группа безопасности сети и правило, чтобы разрешить доступ по протоколу RDP к виртуальным машинам.
- Набор доступности для виртуальной машины Azure , предназначенный для размещения двух контроллеров домена служб домена Active Directory (AD DS).
- Две виртуальные машины Azure для запуска AD DS и DNS.
Элементы, которые не охватываются
- Создание межсетевого VPN-подключения из локальной сети
- защита сетевого трафика в Azure
- проектирование топологии сайта
- Позиционирование роли главного планировщика операций
- Развертывание Microsoft Entra Connect для синхронизации удостоверений с идентификатором Microsoft Entra ID
Создание тестовой среды
Мы используем портал Azure и Azure CLI для создания среды.
Azure CLI используется для создания ресурсов Azure и управления ими из командной строки или скриптов. В этом руководстве описаны сведения об использовании Azure CLI для развертывания виртуальных машин под управлением Windows Server 2019. После завершения развертывания мы подключаемся к серверам и устанавливаем AD DS.
Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы.
Использование Azure CLI
Следующий сценарий автоматизирует процесс создания двух виртуальных машин Windows Server 2019 для создания контроллеров домена для нового леса Active Directory в Azure. Администратор может изменить указанные ниже переменные в соответствии с потребностями, а затем выполнить одну операцию. Сценарий создает необходимую группу ресурсов, группу безопасности сети с правилом трафика для удаленного рабочего стола, виртуальной сети и подсети и группы доступности. Затем виртуальные машины создаются с диском данных размером 20 ГБ с отключенным кэшированием для установки AD DS.
Приведенный ниже скрипт можно запустить непосредственно на портале Azure. Если вы решили установить и использовать интерфейс командной строки локально, в этом кратком руководстве требуется, чтобы вы работали с Azure CLI версии 2.0.4 или более поздней. Выполните az --version, чтобы найти версию. Если вам нужно установить или обновить, см. информацию о установке Azure CLI 2.0.
| Имя переменной | Цель |
|---|---|
| ИмяПользователяАдминистратора | Имя пользователя для настройки на каждой виртуальной машине в качестве локального администратора. |
| Пароль администратора | Пароль в открытом виде необходимо настроить на каждой виртуальной машине в качестве пароля локального администратора. |
| Имя_группы_ресурсов | Имя, используемое для группы ресурсов. Не следует дублировать существующее имя. |
| Местоположение | Имя расположения Azure, в которое вы хотите развернуть. Перечислите поддерживаемые регионы для текущей подписки при помощи команды az account list-locations. |
| Имя виртуальной сети | Имя для назначения виртуальной сети Azure не должно дублировать существующее имя. |
| VNetAddress | Область IP-адресов, используемая для сети Azure. Не следует дублировать существующий диапазон. |
| Название подсети | Имя для назначения IP-подсети. Не следует дублировать существующее имя. |
| АдресПодсети | Адрес подсети для контроллеров домена. Должен быть подсетью внутри виртуальной сети. |
| Набор доступности | Имя группы доступности, к которой присоединятся виртуальные машины контроллера домена. |
| VmSize | Стандартный размер виртуальной машины Azure, доступный в расположении для развертывания. |
| РазмерДискаДанных | Размер в ГБ для диска данных, в котором устанавливается AD DS. |
| DomainController1 | Имя первого контроллера домена. |
| DC1IP | IP-адрес для первого контроллера домена. |
| DomainController2 | Имя второго контроллера домена. |
| DC2IP | IP-адрес второго контроллера домена. |
#Add lines for AdminUsername and AdminPassword, and update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS и Active Directory
Если виртуальные машины Azure, созданные в рамках этого процесса, будут расширением существующей локальной инфраструктуры Active Directory, параметры DNS в виртуальной сети необходимо изменить, чтобы включить локальные DNS-серверы перед развертыванием. Этот шаг важен, чтобы вновь созданные контроллеры домена в Azure могли разрешать ресурсы локальной инфраструктуры и инициировать репликацию. Дополнительные сведения о DNS, Azure и о том, как настроить параметры, см. в разделе Резолюция имен, который использует собственный DNS-сервер.
После продвижения новых контроллеров домена в Azure их необходимо настроить в качестве первичных и вторичных DNS-серверов для виртуальной сети, а все локальные DNS-серверы будут понижены до уровня третичных и более поздних. Виртуальные машины продолжают использовать текущие параметры DNS, пока они не будут перезапущены. Дополнительные сведения об изменении DNS-серверов см. в статье Создание, изменение или удалениевиртуальной сети.
Сведения о расширении локальной сети в Azure можно найти в статье о создании VPN-подключения типа "сеть — сеть" .
Настройка виртуальных машин и установка доменных служб Active Directory
После завершения скрипта перейдите к порталу Azure, затем к виртуальным машинам.
Настройка первого контроллера домена
Подключитесь к AZDC01 с помощью учетных данных, предоставленных в скрипте.
- Инициализация и форматирование диска данных как F:
- Откройте меню «Пуск» и перейдите в Управление компьютером
- Перейдите к хранилищу>управлению дисками
- Инициализация диска как MBR
- Создайте простой том и назначьте букву F для диска: вы можете указать метку тома, если хотите.
- Установка доменных служб Active Directory с помощью диспетчера серверов
- Назначить контроллер домена первым в новом лесу
- Оставьте флажки для сервера доменных имен (DNS) и глобального каталога (GC) установленными на странице "Параметры контроллера домена".
- Указание пароля режима восстановления служб каталогов в соответствии с требованиями организации
- Измените пути с диска C: на диск F:, который мы создали, когда будет предложено указать их расположение.
- Просмотрите выбранные в мастере элементы и нажмите Далее
Заметка
Проверка необходимых компонентов предупредит вас о том, что физический сетевой адаптер не имеет назначенных статических IP-адресов, но вы можете безопасно игнорировать это предупреждение, так как статические IP-адреса назначаются в виртуальной сети Azure.
- Выберите Установить
Когда мастер завершит процесс установки, виртуальная машина перезагружается.
После завершения перезагрузки виртуальной машины войдите в систему с учетными данными, используемыми ранее, но на этот раз в качестве члена созданного домена.
Заметка
Первый вход после повышения уровня контроллера домена может занять больше времени, чем обычно, и это нормально. Возьмите чашку чая, кофе, воды или другого напитка выбора.
виртуальные сети Azure теперь поддерживают IPv6, но если вы хотите настроить виртуальные машины, чтобы предпочитать IPv4 по протоколу IPv6, сведения о том, как выполнить эту задачу, можно найти в статье базы знаний Руководство по настройке IPv6 в Windows для расширенных пользователей.
Настройка DNS
После продвижения первого сервера в Azure серверы необходимо установить на первичные и вторичные DNS-серверы для виртуальной сети, а все локальные DNS-серверы будут понижены до третичного и дополнительного. Дополнительные сведения об изменении DNS-серверов см. в статье Создание, изменение или удалениевиртуальной сети.
Настройка второго контроллера домена
Подключитесь к AZDC02 с помощью учетных данных, предоставленных в скрипте.
- Инициализация и форматирование диска данных как F:
- Откройте меню "Пуск" и перейдите к Управление компьютером
- Перейдите к хранилища>управление дисками
- Инициализация диска как MBR
- Создайте новый простой том и назначьте букву диска F (при желании можно указать метку тома).
- Установка доменных служб Active Directory с помощью диспетчера серверов
- Повышение уровня контроллера домена
- Добавление контроллера домена в существующий домен — CONTOSO.com
- Укажите учетные данные для выполнения операции
- Измените пути с C: на F: диск, когда вам будет предложено указать их расположение.
- Убедитесь, что сервер доменных имен (DNS) и глобальный каталог (GC) проверяются на странице "Параметры контроллера домена"
- Указание пароля режима восстановления служб каталогов в соответствии с требованиями организации
- Просмотрите выбранные в мастере элементы и нажмите кнопку Далее
Заметка
Проверка предварительных условий предупредит вас о том, что на физическом сетевом адаптере не назначены статические IP-адреса. Это можно игнорировать, так как статические IP-адреса назначаются в виртуальной сети Azure.
- Выберите Установить
Когда мастер завершит процесс установки, виртуальная машина перезагружается.
После завершения перезагрузки виртуальной машины войдите в систему с учетными данными, используемыми ранее, но на этот раз в качестве члена домена CONTOSO.com
виртуальные сети Azure теперь поддерживают IPv6, но если вы хотите настроить виртуальные машины, чтобы предпочитать IPv4 по протоколу IPv6, сведения о том, как выполнить эту задачу, можно найти в статье базы знаний Руководство по настройке IPv6 в Windows для расширенных пользователей.
Завершать
На этом этапе среда имеет пару контроллеров домена, и мы настроили виртуальную сеть Azure, чтобы дополнительные серверы могли быть добавлены в среду. Задачи после установки доменных служб Active Directory, такие как настройка сайтов и служб, аудит, резервное копирование и защита встроенной учетной записи администратора, должны быть выполнены на этом этапе.
Удаление среды
Чтобы удалить среду, когда вы завершили тестирование, можно удалить группу ресурсов, созданную выше. На этом шаге удаляются все компоненты, которые входят в эту группу ресурсов.
Удаление с помощью портала Azure
На портале Azure перейдите к групп ресурсов и выберите созданную группу ресурсов (в этом примере ADonAzureVMs), а затем выберите Удалить группу ресурсов. Процесс запрашивает подтверждение перед удалением всех ресурсов, содержащихся в группе ресурсов.
Удаление с помощью Azure CLI
В Azure CLI выполните следующую команду:
az group delete --name ADonAzureVMs