Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
AD DS se puede ejecutar en una máquina virtual (VM) de Azure de la misma manera que se ejecuta en muchas instancias locales. Este artículo le guía a través de la implementación de un nuevo bosque de AD DS, en dos nuevos controladores de dominio, en un conjunto de disponibilidad de Azure mediante Azure Portal y la CLI de Azure. Muchos clientes encuentran esta guía útil al crear un laboratorio o preparar la implementación de controladores de dominio en Azure.
Componentes
- Un grupo de recursos en el que colocar todo.
- Una red virtual de Azure, una subred, un grupo de seguridad de red y una regla para permitir el acceso RDP a las máquinas virtuales.
- Un conjunto de disponibilidad de máquina virtual de Azure para colocar dos controladores de dominio de Active Directory Domain Services (AD DS).
- Dos máquinas virtuales de Azure para ejecutar AD DS y DNS.
Elementos que no están cubiertos
- Creación de una conexión VPN de sitio a sitio desde una ubicación local
- Protección del tráfico de red en Azure
- Diseño de la topología de sitio
- Planear la ubicación del rol de maestro de operaciones
- Implementación de Microsoft Entra Connect para sincronizar identidades con el identificador de Microsoft Entra
Compilación del entorno de prueba
Usaremos Azure Portal y la CLI de Azure para crear el entorno.
La CLI de Azure se usa para crear y administrar recursos de Azure desde la línea de comandos o en scripts. En este tutorial se detalla el uso de la CLI de Azure para implementar máquinas virtuales que ejecutan Windows Server 2019. Una vez completada la implementación, nos conectamos a los servidores e instalamos AD DS.
Si no tiene una suscripción de Azure, cree una cuenta gratuita antes de comenzar.
Uso de la CLI de Azure
El siguiente script automatiza el proceso de creación de dos máquinas virtuales de Windows Server 2019, con el fin de crear controladores de dominio para un nuevo bosque de Active Directory en Azure. Un administrador puede modificar las variables siguientes para satisfacer sus necesidades y, después, completar todo el proceso de una sola vez. El script crea el grupo de recursos necesario, el grupo de seguridad de red con una regla de tráfico para Escritorio remoto, red virtual y subred y grupo de disponibilidad. Cada una de las máquinas virtuales se compila con un disco de datos de 20 GB con el almacenamiento en caché deshabilitado para que AD DS se instale.
El script siguiente se puede ejecutar directamente desde Azure Portal. Si decide instalar y usar la CLI localmente, esta guía de inicio rápido requiere que ejecute la VERSIÓN 2.0.4 o posterior de la CLI de Azure. Ejecute az --version para buscar la versión. Si necesita instalar o actualizar, consulte Instalación de la CLI de Azure 2.0.
| Nombre de variable | Propósito |
|---|---|
| AdminNombre de usuario | Nombre de usuario que se va a configurar en cada máquina virtual como administrador local. |
| Contraseña de administrador | Contraseña de texto no cifrado que se va a configurar en cada máquina virtual como contraseña de administrador local. |
| NombreDelGrupoDeRecursos | Nombre que se va a usar para el grupo de recursos. No debe duplicar un nombre existente. |
| Ubicación | Nombre de ubicación de Azure en el que desea realizar la implementación. Enumere las regiones admitidas para la suscripción actual mediante az account list-locations. |
| VNetName | Nombre para asignar la red virtual de Azure No debe duplicar un nombre existente. |
| VNetAddress | Ámbito de IP que se va a usar para las redes de Azure. No debe duplicar un intervalo existente. |
| Nombre de subred | Nombre para asignar la subred IP. No debe duplicar un nombre existente. |
| Dirección de subred | Dirección de subred de los controladores de dominio. Debe ser una subred dentro de la red virtual. |
| AvailabilitySet | Nombre del conjunto de disponibilidad al que se unirán las máquinas virtuales del controlador de dominio. |
| VMSize | Tamaño estándar de máquina virtual de Azure disponible en la ubicación para la implementación. |
| TamañoDelDiscoDeDatos | Tamaño en GB para el disco de datos donde se instala AD DS. |
| DomainController1 | Nombre del primer controlador de dominio. |
| DC1IP | Dirección IP del primer controlador de dominio. |
| DomainController2 | Nombre del segundo controlador de dominio. |
| DC2IP | Dirección IP del segundo controlador de dominio. |
#Add lines for AdminUsername and AdminPassword, and update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS y Active Directory
Si las máquinas virtuales de Azure creadas como parte de este proceso serán una extensión de una infraestructura de Active Directory local existente, la configuración dns de la red virtual debe cambiarse para incluir los servidores DNS locales antes de la implementación. Este paso es importante para permitir que los controladores de dominio recién creados en Azure resuelvan los recursos locales y permitan que se produzca la replicación. Puede encontrar más información sobre DNS, Azure y cómo configurar las opciones en la sección Resolución de nombres que usa su propio servidor DNS.
Después de promocionar los nuevos controladores de dominio en Azure, tendrán que configurarse con los servidores DNS principal y secundario para la red virtual, y los servidores DNS locales se degradarán a terciarios o valores inferiores. Las máquinas virtuales siguen usando la configuración de DNS actual hasta que se reinicien. Puede encontrar más información sobre cómo cambiar los servidores DNS en el artículo Crear, cambiar o eliminar una red virtual.
Puede encontrar información sobre cómo extender una red local a Azure en el artículo Creación de una conexión VPN de sitio a sitio.
Configuración de las máquinas virtuales e instalación de Active Directory Domain Services
Una vez completado el script, vaya a Azure Portal y, a continuación, a Máquinas virtuales.
Configurar el primer controlador de dominio
Conéctese a AZDC01 con las credenciales proporcionadas en el script.
- Inicialice y dé formato al disco de datos como F:
- Abra el menú Inicio y vaya a administración de equipos
- Vaya a Almacenamiento>Administración de discos
- Inicialización del disco como MBR
- Cree un nuevo volumen simple y asigne la letra de unidad F: (puede proporcionar una etiqueta de volumen si lo desea).
- Instalación de Active Directory Domain Services mediante el Administrador del servidor
- Promueva el controlador de dominio como el primer controlador de un nuevo bosque.
- Deje activado el servidor del Sistema de nombres de dominio (DNS) y el catálogo global (GC) en la página Opciones del controlador de dominio.
- Especificar una contraseña del modo de restauración de servicios de directorio en función de los requisitos de la organización
- Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos cuando se le solicite su ubicación
- Revise las selecciones realizadas en el asistente y elija Siguiente.
Nota
La comprobación de requisitos previos le avisará de que el adaptador de red físico no tiene asignadas direcciones IP estáticas, puede omitir esto de forma segura, ya que las direcciones IP estáticas se asignan en la red virtual de Azure.
- Elija Instalar
Cuando el asistente complete el proceso de instalación, la máquina virtual se reinicia.
Cuando se haya completado el reinicio de la máquina virtual, vuelva a iniciar sesión con las credenciales usadas antes, pero esta vez como miembro del dominio que creó.
Nota
El primer inicio de sesión después de la promoción a un controlador de dominio puede tardar más de lo normal y esto es Correcto. Tome una taza de té, café, agua u otra bebida que prefiera.
las redes virtuales de Azure ahora admiten IPv6, pero en caso de que quiera establecer las máquinas virtuales para que prefieran IPv4 a través de IPv6, puede encontrar información sobre cómo completar esta tarea en el artículo de KB Guía para configurar IPv6 en Windows para usuarios avanzados.
Configuración de DNS
Después de promover el primer servidor de Azure, los servidores deberán establecerse en los servidores DNS principal y secundario de la red virtual, y los servidores DNS locales se degradarán a terciarios y posteriores. Puede encontrar más información sobre cómo cambiar los servidores DNS en el artículo Crear, cambiar o eliminar una red virtual.
Configurar el segundo controlador de dominio
Conéctese a AZDC02 con las credenciales proporcionadas en el script.
- Inicialice y dé formato al disco de datos como F:
- Abra el menú Inicio y vaya a administración de equipos
- Vaya a Almacenamiento>Administración de discos
- Inicialización del disco como MBR
- Cree un nuevo volumen simple y asigne la letra de unidad F: (puede proporcionar una etiqueta de volumen si lo desea).
- Instalación de Active Directory Domain Services mediante el Administrador del servidor
- Promoción del controlador de dominio
- Agregar un controlador de dominio a un dominio existente: CONTOSO.com
- Proporcionar credenciales para realizar la operación
- Cambie las rutas de acceso de C: para que apunten a la unidad F: que creamos cuando se le solicite su ubicación
- Asegúrese de que el servidor del Sistema de nombres de dominio (DNS) y el catálogo global (GC) estén activados en la página Opciones del controlador de dominio.
- Especificar una contraseña del modo de restauración de servicios de directorio en función de los requisitos de la organización
- Revise las selecciones realizadas en el asistente y elija Siguiente.
Nota
La comprobación de requisitos previos le avisará de que el adaptador de red físico no tiene asignadas direcciones IP estáticas. Puede omitir esto de forma segura, ya que las direcciones IP estáticas se asignan en la red virtual de Azure.
- Elija Instalar
Cuando el asistente complete el proceso de instalación, la máquina virtual se reinicia.
Cuando se haya completado el reinicio de la máquina virtual, vuelva a iniciar sesión con las credenciales usadas antes, pero esta vez como miembro del dominio de CONTOSO.com
las redes virtuales de Azure ahora admitenIPv6, pero en caso de que quiera establecer las máquinas virtuales para que prefieran IPv4 a través de IPv6, puede encontrar información sobre cómo completar esta tarea en el artículo de KB Guía para configurar IPv6 en Windows para usuarios avanzados.
Encapsulado
En este momento, el entorno tiene un par de controladores de dominio y hemos configurado la red virtual de Azure para que se puedan agregar servidores adicionales al entorno. Las tareas posteriores a la instalación de Active Directory Domain Services, como la configuración de sitios y servicios, la auditoría, la copia de seguridad y la protección de la cuenta de administrador integrada, deben completarse en este momento.
Eliminación del entorno
Para quitar el entorno, cuando haya completado las pruebas, se puede eliminar el grupo de recursos que hemos creado anteriormente. Este paso quita todos los componentes que forman parte de ese grupo de recursos.
Eliminación mediante Azure Portal
En Azure Portal, vaya a Grupos de recursos y elija el grupo de recursos que hemos creado (en este ejemplo, ADonAzureVMs), seleccione Eliminar grupo de recursos. El proceso solicita confirmación antes de eliminar todos los recursos contenidos dentro del grupo de recursos.
Eliminación mediante la CLI de Azure
Desde la CLI de Azure, ejecute el siguiente comando:
az group delete --name ADonAzureVMs