Memasang hutan Direktori Aktif baru menggunakan Azure CLI
AD DS dapat berjalan pada komputer virtual (VM) Azure dengan cara yang sama seperti berjalan di banyak instans lokal. Artikel ini memancang Anda menyebarkan Ad DS Forest baru, pada dua pengontrol domain baru, dalam set ketersediaan Azure menggunakan portal Azure dan Azure CLI. Banyak pelanggan merasa panduan ini berguna saat membuat lab atau bersiap untuk menyebarkan pengendali domain di Azure.
Komponen
- Grup sumber daya untuk memasukkan semuanya.
- Azure Virtual Network, subnet, grup keamanan jaringan, dan aturan untuk mengizinkan akses RDP ke VM.
- Ketersediaan komputer virtual Azure diatur untuk menempatkan dua pengontrol domain Active Directory Domain Services (AD DS).
- Dua komputer virtual Azure untuk menjalankan AD DS dan DNS.
Item yang tidak tercakup
- Membuat koneksi VPN situs-ke-situs dari lokasi lokal
- Mengamankan lalu lintas jaringan di Azure
- Merancang topologi situs
- Merencanakan penempatan peran master operasi
- Menyebarkan Microsoft Entra Koneksi untuk menyinkronkan identitas ke ID Microsoft Entra
Membangun lingkungan pengujian
Kami menggunakan portal Azure dan Azure CLI untuk membuat lingkungan.
Azure CLI digunakan untuk membuat dan mengelola sumber daya Azure dari baris perintah atau dalam skrip. Tutorial ini merinci penggunaan Azure CLI untuk menyebarkan komputer virtual yang menjalankan Windows Server 2019. Setelah penyebaran selesai, kami terhubung ke server dan menginstal AD DS.
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
Menggunakan Azure CLI
Skrip berikut mengotomatiskan proses pembuatan dua VM Windows Server 2019, untuk tujuan membangun pengontrol domain untuk Forest Direktori Aktif baru di Azure. Administrator dapat memodifikasi variabel di bawah ini agar sesuai dengan kebutuhan mereka, lalu menyelesaikan, sebagai satu operasi. Skrip membuat grup sumber daya yang diperlukan, grup keamanan jaringan dengan aturan lalu lintas untuk Desktop Jauh, jaringan virtual dan subnet, dan grup ketersediaan. VM masing-masing kemudian dibangun dengan disk data 20 GB dengan penembolokan dinonaktifkan agar AD DS diinstal.
Skrip di bawah ini dapat dijalankan langsung dari portal Azure. Jika Anda memilih untuk menginstal dan menggunakan CLI secara lokal, mulai cepat ini mengharuskan Anda menjalankan Azure CLI versi 2.0.4 atau yang lebih baru. Jalankan az --version untuk menemukan versinya. Jika Anda perlu menginstal atau memutakhirkan, baca Menginstal Azure CLI 2.0.
| Nama Variabel | Tujuan |
|---|---|
| AdminUsername | Nama pengguna yang akan dikonfigurasi pada setiap VM sebagai administrator lokal. |
| AdminPassword | Hapus kata sandi untuk dikonfigurasi pada setiap VM sebagai kata sandi administrator lokal. |
| ResourceGroupName | Nama yang akan digunakan untuk grup sumber daya. Tidak boleh menduplikasi nama yang ada. |
| Lokasi | Nama lokasi Azure yang ingin Anda sebarkan. Mencantumkan wilayah yang didukung untuk langganan saat ini menggunakan az account list-locations. |
| VNetName | Nama untuk menetapkan jaringan virtual Azure Tidak boleh menduplikasi nama yang sudah ada. |
| VNetAddress | Cakupan IP yang akan digunakan untuk jaringan Azure. Tidak boleh menduplikasi rentang yang ada. |
| SubnetName | Nama untuk menetapkan subnet IP. Tidak boleh menduplikasi nama yang ada. |
| SubnetAddress | Alamat subnet untuk pengontrol domain. Harus berupa subnet di dalam VNet. |
| Set Ketersediaan | Nama set ketersediaan yang akan bergabung dengan VM pengendali domain. |
| VMSize | Ukuran Azure VM Standar tersedia di lokasi untuk penyebaran. |
| DataDiskSize | Ukuran dalam GB untuk disk data tempat AD DS diinstal. |
| DomainController1 | Nama pengendali domain pertama. |
| DC1IP | Alamat IP untuk pengendali domain pertama. |
| DomainController2 | Nama pengendali domain kedua. |
| DC2IP | Alamat IP untuk pengendali domain kedua. |
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS dan Direktori Aktif
Jika komputer virtual Azure yang dibuat sebagai bagian dari proses ini akan menjadi ekstensi infrastruktur Active Directory lokal yang ada, pengaturan DNS di jaringan virtual harus diubah untuk menyertakan server DNS lokal Anda sebelum penyebaran. Langkah ini penting untuk memungkinkan Pengendali Domain yang baru dibuat di Azure untuk menyelesaikan sumber daya lokal dan memungkinkan replikasi terjadi. Informasi selengkapnya tentang DNS, Azure, dan cara mengonfigurasi pengaturan dapat ditemukan di bagian Resolusi nama yang menggunakan server DNS Anda sendiri.
Setelah mempromosikan pengontrol domain baru di Azure, mereka harus diatur ke Server DNS utama dan sekunder untuk jaringan virtual, dan Server DNS lokal apa pun akan diturunkan ke tersier dan seterusnya. VM terus menggunakan pengaturan DNS mereka saat ini hingga dihidupkan ulang. Informasi selengkapnya tentang mengubah Server DNS dapat ditemukan dalam artikel Membuat, mengubah, atau menghapus jaringan virtual.
Informasi tentang memperluas jaringan lokal ke Azure dapat ditemukan dalam artikel Membuat koneksi VPN situs-ke-situs.
Mengonfigurasi VM dan menginstal Active Directory Domain Services
Setelah skrip selesai, telusuri ke portal Azure, lalu Komputer virtual.
Mengonfigurasi Pengendali Domain pertama
Koneksi ke AZDC01 menggunakan kredensial yang Anda berikan dalam skrip.
- Inisialisasi dan format disk data sebagai F:
- Buka menu Mulai dan telusuri ke Manajemen Komputer
- Telusuri ke Manajemen Disk Penyimpanan>
- Menginisialisasi disk sebagai MBR
- Buat Volume Sederhana Baru dan Tetapkan huruf kandar F: Anda dapat memberikan label Volume jika Anda mau
- Menginstal Active Directory Domain Services menggunakan Manajer Server
- Mempromosikan pengendali domain sebagai yang pertama di forest baru
- Biarkan server Sistem Nama Domain (DNS) dan Katalog Global (GC) dicentang di halaman Opsi Pengendali Domain
- Tentukan kata sandi Mode Pemulihan Layanan Direktori berdasarkan persyaratan organisasi Anda
- Ubah jalur dari C: untuk menunjuk ke drive F: yang kami buat saat diminta lokasinya
- Tinjau pilihan yang dibuat dalam wizard dan pilih Berikutnya
Catatan
Pemeriksaan Prasyarat akan memperingatkan Anda bahwa adaptor jaringan fisik tidak memiliki alamat IP statis yang ditetapkan, Anda dapat mengabaikan ini dengan aman karena IP statis ditetapkan di jaringan virtual Azure.
- Pilih Instal
Saat wizard menyelesaikan proses penginstalan, VM akan di-boot ulang.
Ketika VM telah selesai memulai ulang, masuk kembali dengan kredensial yang digunakan sebelumnya, tetapi kali ini sebagai anggota domain yang Anda buat.
Catatan
Masuk pertama setelah promosi ke pengendali domain mungkin memakan waktu lebih lama dari biasanya dan ini OK. Ambil secangkir teh, kopi, air, atau minuman pilihan lainnya.
Jaringan virtual Azure sekarang mendukung IPv6 , tetapi jika Anda ingin mengatur VM Anda untuk lebih memilih IPv4 daripada IPv6, informasi tentang cara menyelesaikan tugas ini dapat ditemukan di artikel KB Panduan untuk mengonfigurasi IPv6 di Windows untuk pengguna tingkat lanjut.
Mengonfigurasi DNS
Setelah mempromosikan server pertama di Azure, server harus diatur ke Server DNS utama dan sekunder untuk jaringan virtual, dan Server DNS lokal apa pun akan diturunkan ke tersier dan seterusnya. Informasi selengkapnya tentang mengubah Server DNS dapat ditemukan dalam artikel Membuat, mengubah, atau menghapus jaringan virtual.
Mengonfigurasi Pengendali Domain kedua
Koneksi ke AZDC02 menggunakan kredensial yang Anda berikan dalam skrip.
- Inisialisasi dan format disk data sebagai F:
- Buka menu Mulai dan telusuri ke Manajemen Komputer
- Telusuri ke Manajemen Disk Penyimpanan>
- Menginisialisasi disk sebagai MBR
- Buat Volume Sederhana Baru dan Tetapkan huruf kandar F: (Anda dapat memberikan label Volume jika anda mau)
- Menginstal Active Directory Domain Services menggunakan Manajer Server
- Mempromosikan pengendali domain
- Menambahkan pengendali domain ke domain yang sudah ada - CONTOSO.com
- Berikan kredensial untuk melakukan operasi
- Ubah jalur dari C: untuk menunjuk ke drive F: yang kami buat saat diminta lokasinya
- Pastikan server Sistem Nama Domain (DNS) dan Katalog Global (GC) dicentang di halaman Opsi Pengendali Domain
- Tentukan kata sandi Mode Pemulihan Layanan Direktori berdasarkan persyaratan organisasi Anda
- Tinjau pilihan yang dibuat dalam wizard dan pilih Berikutnya
Catatan
Pemeriksaan Prasyarat akan memperingatkan Anda bahwa adaptor jaringan fisik tidak memiliki alamat IP statis yang ditetapkan. Anda dapat mengabaikan ini dengan aman, karena IP statis ditetapkan di jaringan virtual Azure.
- Pilih Instal
Saat wizard menyelesaikan proses penginstalan, VM akan di-boot ulang.
Ketika VM telah selesai memulai ulang, masuk kembali dengan kredensial yang digunakan sebelumnya, tetapi kali ini sebagai anggota domain CONTOSO.com
Jaringan virtual Azure sekarang mendukung IPv6, tetapi jika Anda ingin mengatur VM Anda untuk lebih memilih IPv4 daripada IPv6, informasi tentang cara menyelesaikan tugas ini dapat ditemukan di artikel KB Panduan untuk mengonfigurasi IPv6 di Windows untuk pengguna tingkat lanjut.
Selesai
Pada titik ini, lingkungan memiliki sepasang pengendali domain, dan kami telah mengonfigurasi jaringan virtual Azure sehingga server tambahan dapat ditambahkan ke lingkungan. Tugas pasca-instal untuk Active Directory Domain Services, seperti mengonfigurasi situs dan layanan, mengaudit, mencadangkan, dan mengamankan akun administrator bawaan, harus diselesaikan pada saat ini.
Menghapus lingkungan
Untuk menghapus lingkungan, ketika Anda telah menyelesaikan pengujian, grup sumber daya yang kami buat di atas dapat dihapus. Langkah ini menghapus semua komponen yang merupakan bagian dari grup sumber daya tersebut.
Menghapus menggunakan portal Microsoft Azure
Dari portal Azure, telusuri ke Grup sumber daya dan pilih grup sumber daya yang kami buat (dalam contoh ini ADonAzureVMs), lalu pilih Hapus grup sumber daya. Proses ini meminta konfirmasi sebelum menghapus semua sumber daya yang terkandung di dalam grup sumber daya.
Menghapus menggunakan Azure CLI
Dari Azure CLI, jalankan perintah berikut:
az group delete --name ADonAzureVMs