Install a new Active Directory forest using Azure CLI (Instalación de un nuevo bosque de Active Directory en la CLI de Azure)
AD DS se ejecuta en una máquina virtual de Azure de la misma manera en la que se ejecuta en muchas instancias locales. Este artículo le guía a través de la implementación de un nuevo bosque de AD DS, en dos nuevos controladores de dominio, en un conjunto de disponibilidad de Azure mediante Azure Portal y la CLI de Azure. Muchos clientes encuentran útil esta guía al crear un laboratorio o preparar la implementación de controladores de dominio en Azure.
Componentes
- Un grupo de recursos en el que colocar todo.
- Una red virtual de Azure, una subred, un grupo de seguridad de red y una regla para permitir el acceso RDP a las máquinas virtuales.
- Un conjunto de disponibilidad de máquina virtual de Azure para colocar dos controladores de dominio de Active Directory Domain Services (AD DS).
- Dos máquinas virtuales de Azure para ejecutar AD DS y DNS.
Elementos que no están cubiertos
- Creación de una conexión VPN de sitio a sitio desde una ubicación local
- Protección del tráfico de red en Azure
- Diseño de la topología de sitio
- Planeo de la ubicación del rol de maestro de operaciones
- Implementación de Microsoft Entra Connect para sincronizar identidades con Microsoft Entra ID
Creación del entorno de prueba
Usaremos Azure Portal y la CLI de Azure para crear el entorno.
La CLI de Azure se usa para crear y administrar recursos de Azure desde la línea de comandos o en scripts. Esta guía se detalla cómo usar la CLI de Azure para implementar máquinas virtuales con Windows Server 2019. Una vez completada la implementación, nos conectaremos al servidor e instalaremos AD DS.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Uso de la CLI de Azure
El siguiente script automatiza el proceso de creación de dos máquinas virtuales con Windows Server 2019, con el fin de crear controladores de dominio para un nuevo bosque de Active Directory en Azure. Un administrador puede modificar las variables siguientes para satisfacer sus necesidades y, a continuación, completarse como una operación. El script crea el grupo de recursos necesario, el grupo de seguridad de red con una regla de tráfico para el Escritorio remoto, la red virtual y subred y el grupo de disponibilidad. Las máquinas virtuales se compilan con un disco de datos de 20 GB con el almacenamiento en caché deshabilitado para que se instale AD DS.
El siguiente script se puede ejecutar directamente desde Azure Portal. Si decide instalar y usar la CLI localmente, para esta guía de inicio rápido es preciso que ejecute la CLI de Azure versión 2.0.4 o posterior. Ejecute az --version para encontrar la versión. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure 2.0.
| Nombre de la variable | Propósito |
|---|---|
| AdminUsername | Nombre de usuario que se va a configurar en cada máquina virtual como administrador local. |
| AdminPassword | Contraseña de texto no cifrado que se va a configurar en cada máquina virtual como contraseña de administrador local. |
| ResourceGroupName | Nombre que se va a usar para el grupo de recursos. No debe duplicar un nombre que ya exista. |
| Location | Nombre de ubicación de Azure en el que desea realizar la implementación. Enumere las regiones admitidas para la suscripción actual mediante az account list-locations. |
| VNetName | Nombre para asignar la red virtual de Azure No debe duplicar un nombre que ya exista. |
| VNetAddress | Ámbito de IP que se va a usar para las redes de Azure. No debe duplicar un intervalo que ya exista. |
| SubnetName | Nombre para asignar la subred IP. No debe duplicar un nombre que ya exista. |
| SubnetAddress | Dirección de subred de los controladores de dominio. Debe ser una subred dentro de la red virtual. |
| AvailabilitySet | Nombre del conjunto de disponibilidad al que se unirán las máquinas virtuales del controlador de dominio. |
| VMSize | Tamaño de máquina virtual de Azure estándar que hay en la ubicación para llevar a cabo la implementación. |
| DataDiskSize | Tamaño en GB para el disco de datos donde se instala AD DS. |
| DomainController1 | Nombre del primer controlador de dominio. |
| DC1IP | Dirección IP del primer controlador de dominio. |
| DomainController2 | Nombre del segundo controlador de dominio. |
| DC2IP | Dirección IP del segundo controlador de dominio. |
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS y Active Directory
Si las máquinas virtuales de Azure creadas como parte de este proceso serán una extensión de una infraestructura de Active Directory local que ya exista, la configuración de DNS de la red virtual debe cambiarse para incluir los servidores DNS locales antes de la implementación. Este paso es importante para permitir que los controladores de dominio recién creados en Azure resuelvan los recursos locales y permitan que se produzca la replicación. Puede encontrar más información sobre DNS, Azure y cómo configurar las opciones en la sección Resolución de nombres que usa su propio servidor DNS.
Después de promocionar los nuevos controladores de dominio en Azure, configure los servidores DNS principal y secundario para la red virtual; de esta forma, los servidores DNS locales se degradarán a terciarios o valores inferiores. Hasta que se reinicien, las máquinas virtuales seguirán usando la configuración de DNS que consideran actual. Puede encontrar más información sobre cómo cambiar los servidores DNS en el artículo Creación, cambio o eliminación de una red virtual.
Puede encontrar información sobre cómo extender una red local a Azure en el artículo Creación de una conexión VPN de sitio a sitio.
Configuración de las máquinas virtuales e instalación de Active Directory Domain Services
Una vez completado el script, vaya a Azure Portal y, a continuación, a Máquinas virtuales.
Configuración del primer controlador de dominio
Conéctese a AZDC01 con las credenciales proporcionadas en el script.
- Inicialice y dé formato al disco de datos como F:
- Abra el menú Inicio y vaya a Administración de equipos.
- Vaya a Almacenamiento>Administración de discos.
- Inicialice el disco como MBR.
- Cree un nuevo volumen simple y asigne la letra de unidad F: (puede proporcionar una etiqueta de volumen si lo desea).
- Instale Active Directory Domain Services mediante Administrador del servidor.
- Promueva el controlador de dominio como el primer controlador de un nuevo bosque.
- Deje activados el servidor del Servicio de nombres de dominio (DNS) y el catálogo global (GC) en la página Opciones del controlador de dominio.
- Especifique una contraseña del Modo de restauración de servicios de directorio en función de los requisitos de la organización.
- Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos cuando se le solicite su ubicación
- Revise las selecciones realizadas en el asistente y elija Siguiente.
Nota
Durante la comprobación de requisitos previos se le advertirá de que el adaptador de red físico no tiene asignadas direcciones IP estáticas; puede omitir esto de forma segura, ya que las direcciones IP estáticas se asignan en la red virtual de Azure.
- Elija Instalar.
Cuando el asistente complete el proceso de instalación, la máquina virtual se reiniciará.
Cuando la máquina virtual haya terminado de reiniciarse, vuelva a iniciar sesión con las credenciales usadas antes, pero esta vez como miembro del dominio que creó.
Nota
El primer inicio de sesión después de la promoción a un controlador de dominio puede tardar más de lo normal; esto es normal. Tómese mientras una taza de té, café, agua u otra bebida que prefiera.
Las redes virtuales de Azure ahora admiten IPv6, pero, en caso de que quiera establecer las máquinas virtuales para que prefieran IPv4 en lugar de IPv6, puede encontrar información sobre cómo completar esta tarea en el artículo de Knowledge Base Guía para configurar IPv6 en Windows para usuarios avanzados.
Configurar el DNS
Después de promover el primer servidor en Azure, los servidores deberán establecerse en los servidores DNS principal y secundario de la red virtual, y los servidores DNS locales se degradarán a terciarios y posteriores. Puede encontrar más información sobre cómo cambiar los servidores DNS en el artículo Creación, cambio o eliminación de una red virtual.
Configuración del segundo controlador de dominio
Conéctese a AZDC02 con las credenciales proporcionadas en el script.
- Inicialice y dé formato al disco de datos como F:
- Abra el menú Inicio y vaya a Administración de equipos.
- Vaya a Almacenamiento>Administración de discos.
- Inicialice el disco como MBR.
- Cree un nuevo volumen simple y asigne la letra de unidad F: (puede proporcionar una etiqueta de volumen si lo desea).
- Instale Active Directory Domain Services mediante Administrador del servidor.
- Promueva el controlador de dominio
- Agregue un controlador de dominio a un dominio existente (CONTOSO.com).
- Proporcione las credenciales para realizar la operación.
- Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos cuando se le solicite su ubicación
- Asegúrese de que el servidor del Servicio de nombres de dominio (DNS) y el catálogo global (GC) estén activados en la página Opciones del controlador de dominio.
- Especifique una contraseña del Modo de restauración de servicios de directorio en función de los requisitos de la organización.
- Revise las selecciones realizadas en el asistente y elija Siguiente.
Nota
Durante la comprobación de requisitos previos se le avisará de que el adaptador de red físico no tiene direcciones IP estáticas asignadas. Puede omitir esto de forma segura, ya que se asignan direcciones IP estáticas en la red virtual de Azure.
- Elija Instalar.
Cuando el asistente complete el proceso de instalación, la máquina virtual se reiniciará.
Cuando se haya completado el reinicio de la máquina virtual, vuelva a iniciar sesión con las credenciales usadas antes, pero esta vez como miembro del dominio de CONTOSO.com.
Las redes virtuales de Azure ahora admiten IPv6, pero, en caso de que quiera establecer las máquinas virtuales para que prefieran IPv4 en lugar de IPv6, puede encontrar información sobre cómo completar esta tarea en el artículo de Knowledge Base Guía para configurar IPv6 en Windows para usuarios avanzados.
Encapsulado
En este punto, el entorno tendrá un par de controladores de dominio y habremos configurado la red virtual de Azure para que se puedan agregar servidores adicionales al entorno. Las tareas posteriores a la instalación para Active Directory Domain Services, como la configuración de sitios y servicios, la auditoría, la copia de seguridad y la protección de la cuenta de administrador integrada, deben completarse en este momento.
Eliminación del entorno
Para quitar el entorno, cuando haya completado las pruebas, se puede eliminar el grupo de recursos que hemos creado anteriormente. Este paso quita todos los componentes que forman parte de ese grupo de recursos.
Eliminación mediante Azure Portal
En Azure Portal, vaya a Grupos de recursos y elija el grupo de recursos que hemos creado (en este ejemplo, ADonAzureVMs) y, a continuación, seleccione Eliminar grupo de recursos. El proceso solicita confirmación antes de eliminar todos los recursos contenidos dentro del grupo de recursos.
Eliminación mediante la CLI de Azure
Desde la CLI de Azure, ejecute el siguiente comando:
az group delete --name ADonAzureVMs