Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
AD DS kann auf einem virtuellen Azure-Computer (VM) auf die gleiche Weise ausgeführt werden wie in vielen lokalen Instanzen. In diesem Artikel erfahren Sie, wie Sie eine neue AD DS-Gesamtstruktur auf zwei neuen Domänencontrollern in einer Azure-Verfügbarkeitsgruppe mithilfe des Azure-Portals und der Azure CLI bereitstellen. Viele Kunden finden diesen Leitfaden hilfreich, wenn sie ein Lab erstellen oder die Bereitstellung von Domänencontrollern in Azure vorbereiten.
Komponenten
- Eine Ressourcengruppe, in der alles abgelegt werden soll.
- Ein virtuelles Azure-Netzwerk, ein Subnetz, eine Netzwerksicherheitsgruppe und eine Regel, um den RDP-Zugriff auf VMs zuzulassen.
- Eine Verfügbarkeitsgruppe für Azure-VMs, in die zwei Active Directory Domain Services (AD DS)-Domänencontroller eingefügt werden sollen.
- Zwei virtuelle Azure-Computer zum Ausführen von AD DS und DNS.
Elemente, die nicht abgedeckt sind
- Erstellen einer Site-to-Site-VPN-Verbindung von einem lokalen Standort aus
- Sichern des Netzwerkdatenverkehrs in Azure
- Entwerfen der Standorttopologie
- Planen der Platzierung der Betriebsmasterrolle
- Bereitstellen von Microsoft Entra Connect zum Synchronisieren von Identitäten mit Microsoft Entra ID
Erstellen der Testumgebung
Wir verwenden das Azure-Portal und die Azure CLI zum Erstellen der Umgebung.
Die Azure CLI dient zum Erstellen und Verwalten von Azure-Ressourcen über die Befehlszeile oder mit Skripts. In diesem Tutorial wird die Verwendung der Azure CLI zum Bereitstellen virtueller Computer unter Windows Server 2019 beschrieben. Sobald die Bereitstellung abgeschlossen ist, stellen wir eine Verbindung mit den Servern her und installieren AD DS.
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Mithilfe der Azure CLI
Das folgende Skript automatisiert den Prozess des Erstellens von zwei Windows Server 2019-VMs, um Domänencontroller für eine neue Active Directory-Gesamtstruktur in Azure zu erstellen. Ein Administrator kann die folgenden Variablen entsprechend seinen Anforderungen ändern und dann als einen Vorgang abschließen. Das Skript erstellt die erforderliche Ressourcengruppe, die Netzwerksicherheitsgruppe mit einer Datenverkehrsregel für Remotedesktop, das virtuelle Netzwerk und Subnetz sowie die Verfügbarkeitsgruppe. Die VMs werden dann jeweils mit einem 20-GB-Datenträger erstellt, auf dem die Zwischenspeicherung für die Installation von AD DS deaktiviert ist.
Das folgende Skript kann direkt über das Azure-Portal ausgeführt werden. Wenn Sie sich für die lokale Installation und Verwendung der CLI entscheiden, müssen Sie für diese Schnellstartanleitung die Azure CLI-Version 2.0.4 oder höher ausführen. Führen Sie az --version aus, um die Version zu ermitteln. Wenn Sie Azure CLI 2.0 installieren oder aktualisieren müssen, lesen Sie " Installieren von Azure CLI 2.0".
| Variablenname | Zweck |
|---|---|
| AdminBenutzername | Benutzername, der auf jeder VM als lokaler Administrator konfiguriert werden soll. |
| AdministratorPasswort | Klartextkennwort, das auf jeder VM als lokales Administratorkennwort konfiguriert werden muss. |
| Ressourcengruppenname | Name, der für die Ressourcengruppe verwendet werden soll. Sollte einen vorhandenen Namen nicht duplizieren. |
| Standort | Name des Azure-Standorts, an dem Sie die Bereitstellung durchführen möchten. Listen Sie die unterstützten Regionen für das aktuelle Abonnement mit az account list-locationsauf. |
| VNetName | Name, der dem virtuellen Azure-Netzwerk zugewiesen werden soll Ein vorhandener Name sollte nicht dupliziert werden. |
| VNet-Adresse | IP-Bereich, der für Azure-Netzwerke verwendet werden soll. Sollte einen vorhandenen Bereich nicht duplizieren. |
| Subnetzname | Name, dem das IP-Subnetz zugewiesen werden soll. Sollte einen vorhandenen Namen nicht duplizieren. |
| Subnetz-Adresse | Subnetzadresse für die Domänencontroller. Sollte sich um ein Subnetz innerhalb des VNet handeln. |
| VerfügbarkeitSet | Name der Verfügbarkeitsgruppe, der die Domänencontroller-VMs beitreten werden. |
| VMSize (VMSize) | Die standardmäßige Azure-VM-Größe, die am Standort für die Bereitstellung verfügbar ist. |
| DataDiskSize | Größe in GB für den Datenträger, auf dem AD DS installiert wird. |
| DomainController1 | Name des ersten Domänencontrollers. |
| DC1IP | IP-Adresse für den ersten Domänencontroller. |
| DomäneController2 | Name des zweiten Domänencontrollers. |
| DC2IP | IP-Adresse für den zweiten Domänencontroller. |
#Add lines for AdminUsername and AdminPassword, and update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS und Active Directory
Wenn es sich bei den virtuellen Azure-Computern, die im Rahmen dieses Prozesses erstellt werden, um eine Erweiterung einer vorhandenen lokalen Active Directory-Infrastruktur handelt, müssen die DNS-Einstellungen im virtuellen Netzwerk vor der Bereitstellung so geändert werden, dass sie Ihre lokalen DNS-Server einschließen. Dieser Schritt ist wichtig, damit die neu erstellten Domänencontroller in Azure lokale Ressourcen auflösen und die Replikation ermöglichen kann. Weitere Informationen zu DNS, Azure und zum Konfigurieren von Einstellungen finden Sie im Abschnitt Namensauflösung, die Ihren eigenen DNS-Server verwendet.
Nach dem Heraufstufen der neuen Domänencontroller in Azure müssen sie auf die primären und sekundären DNS-Server für das virtuelle Netzwerk festgelegt werden, und alle lokalen DNS-Server werden auf tertiär und höher herabgestuft. VMs nutzen ihre aktuellen DNS-Einstellungen weiter, bis sie neu gestartet werden. Weitere Informationen zum Ändern von DNS-Servern finden Sie im Artikel Erstellen, Ändern oder Löschen eines virtuellen Netzwerks.
Informationen zum Erweitern eines lokalen Netzwerks auf Azure finden Sie im Artikel Erstellen einer Site-to-Site-VPN-Verbindung.
Konfigurieren der VMs und Installieren der Active Directory-Domänendienste
Navigieren Sie nach Abschluss des Skripts zum Azure-Portal und dann zu Virtuelle Computer.
Konfigurieren des ersten Domänencontrollers
Stellen Sie eine Verbindung mit AZDC01 her, indem Sie die Anmeldeinformationen verwenden, die Sie im Skript angegeben haben.
- Initialisieren und formatieren Sie den Datenträger als F:
- Öffnen Sie das Startmenü, und navigieren Sie zu Computerverwaltung
- Navigieren Sie zu>Storage Disk Management
- Initialisieren des Datenträgers als MBR
- Erstellen Sie ein neues einfaches Volume und weisen Sie den Laufwerksbuchstaben F zu: Wenn Sie möchten, können Sie eine Volume-Bezeichnung angeben
- Installieren von Active Directory-Domänendiensten mit dem Server-Manager
- Heraufstufen des Domänencontrollers als ersten in einer neuen Gesamtstruktur
- Lassen Sie den DNS-Server (Domain Name System) und den globalen Katalog (GC) auf der Seite "Domänencontrolleroptionen" aktiviert
- Angeben eines Kennworts für den Wiederherstellungsmodus für Verzeichnisdienste basierend auf den Anforderungen Ihrer Organisation.
- Ändern Sie die Pfade von C: so, dass sie auf das Laufwerk F: verweisen, das wir erstellt haben, als wir zur Eingabe ihres Speicherorts aufgefordert wurden
- Überprüfen Sie die im Assistenten getroffene Auswahl, und wählen Sie Weiter aus
Hinweis
Bei der Überprüfung der Voraussetzungen werden Sie gewarnt, dass dem physischen Netzwerkadapter keine statischen IP-Adressen zugewiesen sind. Sie können dies getrost ignorieren, da statische IP-Adressen im virtuellen Azure-Netzwerk zugewiesen sind.
- Wählen Sie Installieren
Wenn der Assistent den Installationsvorgang abgeschlossen hat, wird die VM neu gestartet.
Wenn der Neustart der VM abgeschlossen ist, melden Sie sich mit den zuvor verwendeten Anmeldeinformationen wieder an, diesmal jedoch als Mitglied der von Ihnen erstellten Domäne.
Hinweis
Die erste Anmeldung nach der Heraufstufung zu einem Domänencontroller kann länger als normal dauern, und das ist in Ordnung. Holen Sie sich eine Tasse Tee, Kaffee, Wasser oder ein anderes Getränk Ihrer Wahl.
Virtuelle Azure-Netzwerke unterstützen jetzt IPv6 , aber falls Sie festlegen möchten, dass Ihre VMs IPv4 gegenüber IPv6 bevorzugen, finden Sie Informationen zum Ausführen dieser Aufgabe im KB-Artikel Leitfaden zum Konfigurieren von IPv6 in Windows für fortgeschrittene Benutzer.
Konfigurieren von DNS
Nach dem Heraufstufen des ersten Servers in Azure müssen die Server auf die primären und sekundären DNS-Server für das virtuelle Netzwerk festgelegt werden, und alle lokalen DNS-Server werden auf tertiär und höher herabgestuft. Weitere Informationen zum Ändern von DNS-Servern finden Sie im Artikel Erstellen, Ändern oder Löschen eines virtuellen Netzwerks.
Konfigurieren des zweiten Domänencontrollers
Stellen Sie eine Verbindung mit AZDC02 her, indem Sie die Anmeldeinformationen verwenden, die Sie im Skript angegeben haben.
- Initialisieren und formatieren Sie den Datenträger als F:
- Öffnen Sie das Startmenü, und navigieren Sie zu Computerverwaltung
- Navigieren Sie zu>Storage Disk Management
- Initialisieren des Datenträgers als MBR
- Erstellen Sie ein neues, einfaches Volume, und weisen Sie ihm den Laufwerksbuchstaben F: zu (Sie können eine Volume-Bezeichnung angeben, wenn Sie möchten)
- Installieren von Active Directory-Domänendiensten mit dem Server-Manager
- Heraufstufen des Domänencontrollers
- Hinzufügen eines Domänencontrollers zu einer vorhandenen Domäne - CONTOSO.com
- Geben Sie die Anmeldeinformationen an, um den Vorgang auszuführen
- Ändern Sie die Pfade von C: so, dass sie auf das Laufwerk F: verweisen, das wir erstellt haben, als wir zur Eingabe ihres Speicherorts aufgefordert wurden
- Stellen Sie sicher, dass der DNS-Server (Domain Name System) und der globale Katalog (GC) auf der Seite "Domänencontrolleroptionen" aktiviert sind.
- Angeben eines Kennworts für den Wiederherstellungsmodus für Verzeichnisdienste basierend auf den Anforderungen Ihrer Organisation.
- Überprüfen Sie die im Assistenten getroffene Auswahl, und wählen Sie Weiter aus
Hinweis
Bei der Überprüfung der Voraussetzungen werden Sie gewarnt, dass dem physischen Netzwerkadapter keine statische(n) IP-Adresse(n) zugewiesen sind. Sie können dies ignorieren, da statische IP-Adressen im virtuellen Azure-Netzwerk zugewiesen werden.
- Wählen Sie Installieren
Wenn der Assistent den Installationsvorgang abgeschlossen hat, wird die VM neu gestartet.
Wenn der Neustart der VM abgeschlossen ist, melden Sie sich mit den zuvor verwendeten Anmeldeinformationen wieder an, diesmal jedoch als Mitglied der Domäne CONTOSO.com
Virtuelle Azure-Netzwerke unterstützen jetzt IPv6, aber falls Sie festlegen möchten, dass Ihre VMs IPv4 gegenüber IPv6 bevorzugen, finden Sie Informationen zum Ausführen dieser Aufgabe im KB-Artikel Leitfaden zum Konfigurieren von IPv6 in Windows für fortgeschrittene Benutzer.
Zusammenfassung
Zu diesem Zeitpunkt verfügt die Umgebung über ein Paar von Domänencontrollern, und wir haben das virtuelle Azure-Netzwerk so konfiguriert, dass der Umgebung zusätzliche Server hinzugefügt werden können. Aufgaben nach der Installation für Active Directory-Domänendienste, z. B. das Konfigurieren von Standorten und Diensten, das Überwachen, Sichern und Sichern des integrierten Administratorkontos, sollten an dieser Stelle abgeschlossen sein.
Entfernen der Umgebung
Wenn Sie die Umgebung entfernen möchten, kann die oben erstellte Ressourcengruppe nach Abschluss der Tests gelöscht werden. In diesem Schritt werden alle Komponenten entfernt, die Teil dieser Ressourcengruppe sind.
Entfernen einer Identität über das Azure-Portal
Navigieren Sie im Azure-Portal zu Ressourcengruppen , wählen Sie die von uns erstellte Ressourcengruppe aus (in diesem Beispiel ADonAzureVMs), und wählen Sie dann Ressourcengruppe löschen aus. Der Prozess fordert eine Bestätigung an, bevor alle in der Ressourcengruppe enthaltenen Ressourcen gelöscht werden.
Entfernen mit der Azure CLI
Führen Sie in der Azure CLI den folgenden Befehl aus:
az group delete --name ADonAzureVMs