Install a new Active Directory forest using Azure CLI (Instalación de un nuevo bosque de Active Directory en la CLI de Azure)
AD DS se puede ejecutar en una máquina virtual (VM) de Azure de la misma manera que se ejecuta en muchas instancias locales. Este artículo le guiará a través de la implementación de un nuevo bosque de AD DS, en dos nuevos controladores de dominio, en un conjunto de disponibilidad de Azure mediante el Azure Portal y la CLI de Azure. Muchos clientes encuentran esta guía útil al crear un laboratorio o preparar la implementación de controladores de dominio en Azure.
Componentes
- Un grupo de recursos en el que se va a colocar todo.
- Una Virtual Network de Azure, una subred, un grupo de seguridad de red y una regla para permitir el acceso RDP a las máquinas virtuales.
- Un conjunto de disponibilidad de máquina virtual de Azure para colocar dos controladores de dominio de Servicios de dominio de Active Directory (AD DS).
- Dos máquinas virtuales de Azure para ejecutar AD DS y DNS.
Elementos que no están cubiertos
- Creación de una conexión VPN de sitio a sitio desde una ubicación local
- Protección del tráfico de red en Azure
- Diseño de la topología de sitio
- Planeación de la selección de ubicación de roles maestros de operaciones
- Implementación de Azure AD Connect para sincronizar identidades con Azure AD
Compilación del entorno de prueba
Usamos el Azure Portal y la CLI de Azure para crear el entorno.
La CLI de Azure se usa para crear y administrar recursos de Azure desde la línea de comandos o en scripts. En este tutorial se detalla el uso de la CLI de Azure para implementar máquinas virtuales que ejecutan Windows Server 2019. Una vez completada la implementación, nos conectamos a los servidores e instalamos AD DS.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Uso de la CLI de Azure
El siguiente script automatiza el proceso de creación de dos máquinas virtuales de Windows Server 2019, con el fin de crear controladores de dominio para un nuevo bosque de Active Directory en Azure. Un administrador puede modificar las variables siguientes para satisfacer sus necesidades y, a continuación, completarse como una operación. El script crea el grupo de recursos necesario, el grupo de seguridad de red con una regla de tráfico para Escritorio remoto, red virtual y subred y grupo de disponibilidad. Cada una de las máquinas virtuales se compila con un disco de datos de 20 GB con almacenamiento en caché deshabilitado para que se instale AD DS.
El siguiente script se puede ejecutar directamente desde el Azure Portal. Si decide instalar y usar la CLI localmente, para esta guía de inicio rápido es preciso que ejecute la CLI de Azure versión 2.0.4 o posterior. Ejecute az --version para encontrar la versión. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure 2.0.
| Nombre de la variable | Propósito |
|---|---|
| AdminUsername | Nombre de usuario que se va a configurar en cada máquina virtual como administrador local. |
| AdminPassword | Contraseña de texto no cifrado que se va a configurar en cada máquina virtual como contraseña de administrador local. |
| ResourceGroupName | Nombre que se va a usar para el grupo de recursos. No debe duplicar un nombre existente. |
| Location | Nombre de ubicación de Azure en el que desea realizar la implementación. Enumere las regiones admitidas para la suscripción actual mediante az account list-locations. |
| VNetName | Nombre para asignar la red virtual de Azure No debe duplicar un nombre existente. |
| VNetAddress | Ámbito de IP que se va a usar para las redes de Azure. No debe duplicar un intervalo existente. |
| SubnetName | Nombre para asignar la subred IP. No debe duplicar un nombre existente. |
| SubnetAddress | Dirección de subred de los controladores de dominio. Debe ser una subred dentro de la red virtual. |
| AvailabilitySet | Nombre del conjunto de disponibilidad al que se unirán las máquinas virtuales del controlador de dominio. |
| VMSize | Tamaño de máquina virtual de Azure estándar disponible en la ubicación para la implementación. |
| DataDiskSize | Tamaño en GB para el disco de datos donde se instala AD DS. |
| DomainController1 | Nombre del primer controlador de dominio. |
| DC1IP | Dirección IP del primer controlador de dominio. |
| DomainController2 | Nombre del segundo controlador de dominio. |
| DC2IP | Dirección IP del segundo controlador de dominio. |
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS y Active Directory
Si las máquinas virtuales de Azure creadas como parte de este proceso serán una extensión de una infraestructura de Active Directory local existente, la configuración de DNS de la red virtual debe cambiarse para incluir los servidores DNS locales antes de la implementación. Este paso es importante para permitir que los controladores de dominio recién creados en Azure resuelvan los recursos locales y permitan que se produzca la replicación. Puede encontrar más información sobre DNS, Azure y cómo configurar las opciones en la sección Resolución de nombres que usa su propio servidor DNS.
Después de promover los nuevos controladores de dominio en Azure, tendrán que establecerse en los servidores DNS principal y secundario de la red virtual, y los servidores DNS locales se degradarán a terciarios y posteriores. Hasta que se reinicien, las máquinas virtuales seguirán usando la configuración de DNS que consideran actual. Puede encontrar más información sobre cómo cambiar los servidores DNS en el artículo Creación, cambio o eliminación de una red virtual.
Puede encontrar información sobre cómo extender una red local a Azure en el artículo Creación de una conexión VPN de sitio a sitio.
Configuración de las máquinas virtuales e instalación de Servicios de dominio de Active Directory
Una vez completado el script, vaya al Azure Portal y, después, a Máquinas virtuales.
Configuración del primer controlador de dominio
Conéctese a AZDC01 con las credenciales proporcionadas en el script.
- Inicialice y dé formato al disco de datos como F:
- Abra el menú Inicio y vaya a Administración de equipos.
- Vaya a Administraciónde discosde almacenamiento>.
- Inicialización del disco como MBR
- Cree un nuevo volumen simple y asigne la letra de unidad F: puede proporcionar una etiqueta volumen si lo desea.
- Instalación de Servicios de dominio de Active Directory mediante Administrador del servidor
- Promover el controlador de dominio como el primero en un nuevo bosque
- Deje activado el servidor del Sistema de nombres de dominio (DNS) y el Catálogo global (GC) en la página Opciones del controlador de dominio.
- Especificar una contraseña del modo de restauración de servicios de directorio según los requisitos de la organización
- Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos cuando se le solicite su ubicación.
- Revise las selecciones realizadas en el asistente y elija Siguiente.
Nota:
La comprobación de requisitos previos le avisará de que el adaptador de red físico no tiene asignadas direcciones IP estáticas, puede omitir esto de forma segura, ya que se asignan direcciones IP estáticas en la red virtual de Azure.
- Elija Instalar.
Cuando el asistente complete el proceso de instalación, se reiniciará la máquina virtual.
Cuando la máquina virtual haya terminado de reiniciarse, vuelva a iniciar sesión con las credenciales usadas antes, pero esta vez como miembro del dominio que creó.
Nota:
El primer inicio de sesión después de la promoción a un controlador de dominio puede tardar más de lo normal y esto es correcto. Toma una taza de té, café, agua u otra bebida que prefieras.
Las redes virtuales de Azure ahora admiten IPv6 , pero en caso de que quiera establecer las máquinas virtuales para que prefieran IPv4 a través de IPv6, puede encontrar información sobre cómo completar esta tarea en el artículo de KB Guía para configurar IPv6 en Windows para usuarios avanzados.
Configurar el DNS
Después de promover el primer servidor en Azure, los servidores deberán establecerse en los servidores DNS principal y secundario de la red virtual, y los servidores DNS locales se degradarán a terciarios y posteriores. Puede encontrar más información sobre cómo cambiar los servidores DNS en el artículo Creación, cambio o eliminación de una red virtual.
Configuración del segundo controlador de dominio
Conéctese a AZDC02 con las credenciales proporcionadas en el script.
- Inicialice y dé formato al disco de datos como F:
- Abra el menú Inicio y vaya a Administración de equipos.
- Vaya a Administración de discos de almacenamiento>.
- Inicialización del disco como MBR
- Cree un nuevo volumen simple y asigne la letra de unidad F: (puede proporcionar una etiqueta de volumen si lo desea)
- Instalación de Servicios de dominio de Active Directory mediante Administrador del servidor
- Promover el controlador de dominio
- Agregar un controlador de dominio a un dominio existente: CONTOSO.com
- Proporcionar credenciales para realizar la operación
- Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos cuando se le solicite su ubicación
- Asegúrese de que el servidor del Sistema de nombres de dominio (DNS) y el catálogo global (GC) estén activados en la página Opciones del controlador de dominio.
- Especificar una contraseña del modo de restauración de servicios de directorio en función de los requisitos de la organización
- Revise las selecciones realizadas en el asistente y elija Siguiente.
Nota:
La comprobación de requisitos previos le advertirá de que el adaptador de red físico no tiene asignadas direcciones IP estáticas. Puede omitir esto de forma segura, ya que las direcciones IP estáticas se asignan en la red virtual de Azure.
- Elija Instalar.
Cuando el asistente complete el proceso de instalación, la máquina virtual se reinicia.
Cuando la máquina virtual haya completado el reinicio, vuelva a iniciar sesión con las credenciales usadas antes, pero esta vez como miembro del dominio de CONTOSO.com
Las redes virtuales de Azure ahora admiten IPv6, pero en caso de que quiera establecer las máquinas virtuales para que prefieran IPv4 a través de IPv6, puede encontrar información sobre cómo completar esta tarea en el artículo de KB Guía para configurar IPv6 en Windows para usuarios avanzados.
Encapsulado
En este momento, el entorno tiene un par de controladores de dominio y hemos configurado la red virtual de Azure para que se puedan agregar servidores adicionales al entorno. Las tareas posteriores a la instalación para Servicios de dominio de Active Directory, como la configuración de sitios y servicios, la auditoría, la copia de seguridad y la protección de la cuenta de administrador integrada, deben completarse en este momento.
Eliminación del entorno
Para quitar el entorno, cuando haya completado las pruebas, se puede eliminar el grupo de recursos que hemos creado anteriormente. En este paso se quitan todos los componentes que forman parte de ese grupo de recursos.
Eliminación mediante Azure Portal
En el Azure Portal, vaya a Grupos de recursos y elija el grupo de recursos que creamos (en este ejemplo ADonAzureVMs) y seleccione Eliminar grupo de recursos. El proceso solicita confirmación antes de eliminar todos los recursos contenidos dentro del grupo de recursos.
Eliminación mediante la CLI de Azure
En la CLI de Azure, ejecute el siguiente comando:
az group delete --name ADonAzureVMs