Installieren einer neuen Active Directory-Gesamtstruktur mit der Azure CLI
AD DS kann auf einem virtuellen Azure-Computer (VM) auf dieselbe Weise ausgeführt werden wie auf vielen lokalen Instanzen. In diesem Artikel erfahren Sie, wie Sie eine neue AD DS-Gesamtstruktur auf zwei neuen Domänencontrollern in einer Azure-Verfügbarkeitsgruppe mithilfe des Azure-Portals und der Azure CLI bereitstellen. Viele Kunden finden diese Anleitung hilfreich, wenn Sie ein Lab erstellen oder die Bereitstellung von Domänencontrollern in Azure vorbereiten.
Komponenten
- Eine Ressourcengruppe zur Aufnahme von allem.
- Ein Azure-Virtual Network, ein Subnetz, eine Netzwerksicherheitsgruppe und eine Regel zum Zulassen des RDP-Zugriffs auf VMs.
- Eine Azure-VM-Verfügbarkeitsgruppe zur Aufnahme von zwei Active Directory Domain Services-Domänencontrollern (AD DS).
- Zwei virtuelle Azure-Computer zum Ausführen von AD DS und DNS.
Nicht behandelte Elemente
- Erstellen einer Site-to-Site-VPN-Verbindung von einem lokalen Standort aus
- Schützen des Netzwerkdatenverkehrs in Azure
- Entwerfen der Standorttopologie
- Planen der Platzierung der Rolle „Betriebsmaster“
- Bereitstellen von Microsoft Entra Connect zum Synchronisieren von Identitäten mit Microsoft Entra ID zu synchronisieren.
Erstellen der Testumgebung
Wir verwenden das Azure-Portal und die Azure CLI zum Erstellen der Umgebung.
Die Azure CLI dient zum Erstellen und Verwalten von Azure-Ressourcen über die Befehlszeile oder mit Skripts. In diesem Tutorial wird die Bereitstellung von VMs unter Windows Server 2019 mithilfe der Azure CLI ausführlich beschrieben. Nach Abschluss der Bereitstellung stellen wir eine Verbindung mit den Servern her und installieren AD DS.
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Verwenden der Azure-Befehlszeilenschnittstelle
Das folgende Skript automatisiert den Prozess der Erstellung von zwei Windows Server 2019-VMs zum Erstellen von Domänencontrollern für eine neue Active Directory-Gesamtstruktur in Azure. Ein Administrator kann die folgenden Variablen an seine Anforderungen anpassen und dann in einem Vorgang abschließen. Das Skript erstellt die erforderliche Ressourcengruppe, die Netzwerksicherheitsgruppe mit einer Datenverkehrsregel für Remotedesktop, ein virtuelles Netzwerk und Subnetz sowie die Verfügbarkeitsgruppe. Die VMs werden jeweils mit einem 20 GB-Datenträger erstellt, auf dem die Zwischenspeicherung deaktiviert ist und AD DS installiert werden soll.
Das folgende Skript kann direkt aus dem Azure-Portal ausgeführt werden. Wenn Sie die CLI lokal installieren und verwenden möchten, müssen Sie für diesen Schnellstart die Azure CLI-Version 2.0.4 oder höher ausführen. Führen Sie az --version aus, um die Version zu ermitteln. Wenn Sie eine Installation oder ein Upgrade ausführen müssen, finden Sie unter Installieren von Azure CLI 2.0 Informationen dazu.
| Variablenname | Zweck |
|---|---|
| AdminUsername | Benutzername, der auf jeder VM als lokaler Administrator konfiguriert werden soll. |
| AdminPassword | Klartextkennwort, das auf jeder VM als Kennwort des lokalen Administrators konfiguriert werden soll. |
| ResourceGroupName | Name, der für die Ressourcengruppe verwendet werden soll. Sollte kein Duplikat eines vorhandenen Namens sein. |
| Standort | Name des Azure-Standorts, an dem Sie bereitstellen möchten. Auflisten der unterstützten Regionen für das aktuelle Abonnement mithilfe von az account list-locations. |
| VNetName | Name, der dem virtuellen Azure-Netzwerk zugewiesen werden soll. Sollte kein Duplikat eines vorhandenen Namens sein. |
| VNetAddress | IP-Adressbereich, der für Azure-Netzwerke verwendet werden soll. Sollte kein Duplikat eines vorhandenen Bereichs sein. |
| SubnetName | Name, der dem IP-Subnetz zugewiesen werden soll. Sollte kein Duplikat eines vorhandenen Namens sein. |
| SubnetAddress | Subnetzadresse für die Domänencontroller. Sollte ein Subnetz innerhalb des VNet sein. |
| AvailabilitySet | Name der Verfügbarkeitsgruppe, der die Domänencontroller-VMs beitreten werden. |
| VMSize | Azure-VM-Standardgröße, die am Standort für die Bereitstellung verfügbar ist. |
| DataDiskSize | Größe in GB für den Datenträger, auf dem AD DS installiert wird. |
| DomainController1 | Name des ersten Domänencontrollers. |
| DC1IP | IP-Adresse des ersten Domänencontrollers. |
| DomainController2 | Name des zweiten Domänencontrollers. |
| DC2IP | IP-Adresse des zweiten Domänencontrollers. |
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS und Active Directory
Wenn die im Rahmen dieses Prozesses erstellten virtuellen Azure-Computer eine Erweiterung einer vorhandenen lokalen Active Directory-Infrastruktur sein sollen, müssen die DNS-Einstellungen im virtuellen Netzwerk vor der Bereitstellung so geändert werden, dass sie Ihre lokalen DNS-Server einschließen. Dieser Schritt ist wichtig, um es den neu erstellten Domänencontrollern in Azure zu ermöglichen, lokale Ressourcen aufzulösen und die Replikation zu ermöglichen. Weitere Informationen zu DNS, Azure und zum Konfigurieren von Einstellungen finden Sie im Abschnitt Namensauflösung, die Ihre eigenen DNS-Server verwendet.
Nachdem Sie die neuen Domänencontroller in Azure höhergestuft haben, müssen sie als primäre und sekundäre DNS-Server für das virtuelle Netzwerk festgelegt werden, und alle lokalen DNS-Server werden dann auf tertiär und weitere niedrigere Stufe tiefergestuft. VMs nutzen ihre aktuellen DNS-Einstellungen weiter, bis sie neu gestartet werden. Weitere Informationen zum Ändern von DNS-Servern finden Sie im Artikel Erstellen, Ändern oder Löschen eines virtuellen Netzwerks.
Informationen zum Erweitern eines lokalen Netzwerks auf Azure finden Sie im Artikel Erstellen einer Site-to-Site-VPN-Verbindung.
Konfigurieren der VMs und Installieren von Active Directory Domain Services
Wechseln Sie nach Abschluss des Skripts zum Azure-Portal und dann zu Virtuelle Computer.
Konfigurieren des ersten Domänencontrollers
Stellen Sie eine Verbindung mit AZDC01 her, indem Sie die Anmeldeinformationen verwenden, die Sie im Skript angegeben haben.
- Initialisieren und formatieren Sie den Datenträger als „F:“.
- Öffnen Sie das Startmenü, und wechseln Sie zur Computerverwaltung.
- Wechseln Sie zu Speicher>Datenträgerverwaltung.
- Initialisieren Sie den Datenträger als MBR.
- Erstellen Sie eine neues einfaches Volume, und weisen Sie den Laufwerkbuchstaben „F:“ zu, wobei Sie eine Volumebezeichnung angeben können, wenn Sie möchten.
- Installieren von Active Directory Domain Services mithilfe des Server-Managers
- Höherstufen des Domänencontrollers zum ersten in einer neuen Gesamtstruktur
- Lassen Sie den DNS-Server (Domain Name System) und den globalen Katalog (GC) auf der Seite „Domänencontrolleroptionen“ aktiviert.
- Geben Sie ein Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus an, basierend auf den Anforderungen Ihrer Organisation.
- Ändern Sie die Pfade von „C:“ so, dass sie auf das Laufwerk „F:“ verweisen, das wir erstellt haben, wenn sie zur Eingabe des Speicherorts aufgefordert werden.
- Überprüfen Sie die im Assistenten getroffene Auswahl, und wählen Sie Weiter aus.
Hinweis
Die Überprüfung der Voraussetzungen warnt Sie, dass dem physischen Netzwerkadapter keine statischen IP-Adressen zugewiesen sind. Sie können diese Warnung problemlos ignorieren, da statische IP-Adressen im virtuellen Azure-Netzwerk zugewiesen werden.
- Wählen Sie Installieren aus.
Wenn der Assistent den Installationsvorgang abgeschlossen hat, wird der virtuelle Computer neu gestartet.
Melden Sie sich nach Abschluss des Neustarts des virtuellen Computers wieder mit den zuvor verwendeten Anmeldeinformationen an, diesmal jedoch als Mitglied der von Ihnen erstellten Domäne.
Hinweis
Die erste Anmeldung bei einem Domänencontroller nach der Höherstufung kann länger dauern als normal, was in Ordnung ist. Holen Sie sich eine Tasse Tee, Kaffee, Wasser oder ein anderes Getränk Ihrer Wahl.
Virtuelle Azure-Netzwerke unterstützen jetzt IPv6, doch wenn Sie für ihre VMs festlegen möchten, dass sie IPv4 gegenüber IPv6 bevorzugen sollen, finden Sie Informationen zum Ausführen dieser Aufgabe im KB-Artikel Leitfaden zum Konfigurieren von IPv6 in Windows für fortgeschrittene Benutzer.
Konfigurieren des DNS
Nachdem Sie den ersten Server in Azure höhergestuft haben, müssen die Server als primäre und sekundäre DNS-Server für das virtuelle Netzwerk festgelegt werden, und alle lokalen DNS-Server werden dann auf tertiär und weitere niedrigere Stufe tiefergestuft. Weitere Informationen zum Ändern von DNS-Servern finden Sie im Artikel Erstellen, Ändern oder Löschen eines virtuellen Netzwerks.
Konfigurieren des zweiten Domänencontrollers
Stellen Sie eine Verbindung mit AZDC02 her, indem Sie die Anmeldeinformationen verwenden, die Sie im Skript angegeben haben.
- Initialisieren und formatieren Sie den Datenträger als „F:“.
- Öffnen Sie das Startmenü, und wechseln Sie zur Computerverwaltung.
- Wechseln Sie zu Speicher>Datenträgerverwaltung.
- Initialisieren Sie den Datenträger als MBR.
- Erstellen Sie eine neues einfaches Volume, und weisen Sie den Laufwerkbuchstaben „F:“ zu (Sie können eine Volumebezeichnung angeben, wenn Sie möchten).
- Installieren von Active Directory Domain Services mithilfe des Server-Managers
- Stufen Sie den Domänencontroller hoch.
- Fügen Sie einer vorhandenen Domäne (CONTOSO.com) einen Domänencontroller hinzu.
- Geben Sie die Anmeldeinformationen zum Ausführen dieses Vorgangs an.
- Ändern Sie die Pfade von „C:“ so, dass sie auf das Laufwerk „F:“ verweisen, das wir erstellt haben, wenn sie zur Eingabe des Speicherorts aufgefordert werden.
- Stellen Sie sicher, dass DNS-Server (Domain Name System) und der globale Katalog (GC) auf der Seite „Domänencontrolleroptionen“ aktiviert sind.
- Geben Sie ein Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus an, basierend auf den Anforderungen Ihrer Organisation.
- Überprüfen Sie die im Assistenten getroffene Auswahl, und wählen Sie Weiter aus.
Hinweis
Die Überprüfung der Voraussetzungen warnt Sie, dass dem physischen Netzwerkadapter keine statischen IP-Adressen zugewiesen sind. Sie können diese Warnung problemlos ignorieren, da statische IP-Adressen im virtuellen Azure-Netzwerk zugewiesen werden.
- Wählen Sie Installieren aus.
Wenn der Assistent den Installationsvorgang abgeschlossen hat, wird der virtuelle Computer neu gestartet.
Melden Sie sich nach Abschluss des Neustarts des virtuellen Computers wieder mit den zuvor verwendeten Anmeldeinformationen an, diesmal jedoch als Mitglied der Domäne „CONTOSO.com“.
Virtuelle Azure-Netzwerke unterstützen jetzt IPv6, doch wenn Sie für ihre VMs festlegen möchten, dass sie IPv4 gegenüber IPv6 bevorzugen sollen, finden Sie Informationen zum Ausführen dieser Aufgabe im KB-Artikel Leitfaden zum Konfigurieren von IPv6 in Windows für fortgeschrittene Benutzer.
Zusammenfassung
An diesem Punkt verfügt die Umgebung über ein Paar von Domänencontrollern, und wir haben das virtuelle Azure-Netzwerk so konfiguriert, dass der Umgebung weitere Server hinzugefügt werden können. Aufgaben nach der Installation für Active Directory Domain Services, z. B. das Konfigurieren von Standorten und Diensten, Überwachung, Sicherung und Schützen des integrierten Administratorkontos, sollten zu diesem Zeitpunkt abgeschlossen werden.
Entfernen der Umgebung
Um die Umgebung nach Abschluss Ihrer Tests zu entfernen, kann die weiter oben von uns erstellte Ressourcengruppe gelöscht werden. Mit diesem Schritt werden alle Komponenten entfernt, die Teil dieser Ressourcengruppe sind.
Entfernen einer Identität über das Azure-Portal
Wechseln Sie im Azure-Portal zu Ressourcengruppen, und wählen Sie die Ressourcengruppe aus, die wir erstellt haben (in diesem Beispiel „ADonAzureVMs“), und wählen Sie dann Ressourcengruppe löschen aus. Der Prozess fordert eine Bestätigung an, bevor alle Ressourcen gelöscht werden, die in der Ressourcengruppe enthalten sind.
Entfernen mithilfe der Azure CLI
Führen Sie in der Azure CLI den folgenden Befehl aus:
az group delete --name ADonAzureVMs