Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Active Directory Domain Services può essere eseguito in una macchina virtuale (VM) di Azure nello stesso modo in cui viene eseguito in molte istanze locali. Questo articolo illustra come distribuire una nuova foresta di Servizi di dominio Active Directory (AD DS), in due nuovi controller di dominio, in un set di disponibilità di Azure utilizzando il portale di Azure e l'Azure CLI (Interfaccia a riga di comando di Azure). Molti clienti trovano queste indicazioni utili durante la creazione di un lab o la preparazione per la distribuzione dei controller di dominio in Azure.
Components
- Gruppo di risorse in cui inserire tutti gli elementi.
- Una rete virtuale di Azure, una subnet, un gruppo di sicurezza di rete e una regola per consentire l'accesso RDP alle macchine virtuali.
- An Azure virtual machine availability set to put two Active Directory Domain Services (AD DS) domain controllers in.
- Due macchine virtuali di Azure per eseguire Servizi di dominio Active Directory e DNS.
Elementi non coperti
- Creazione di una connessione VPN da sito a sito da una posizione locale
- Protezione del traffico di rete in Azure
- Progettazione della topologia del sito
- Pianificazione del posizionamento dei ruoli master delle operazioni
- Distribuzione di Microsoft Entra Connect per sincronizzare le identità con Microsoft Entra ID
Compilare l'ambiente di test
We use the Azure portal and Azure CLI for creating the environment.
L'interfaccia della riga di comando di Azure viene usata per creare e gestire le risorse di Azure dalla riga di comando o negli script. Questa esercitazione illustra in dettaglio l'uso dell'interfaccia della riga di comando di Azure per distribuire macchine virtuali che eseguono Windows Server 2019. Al termine della distribuzione, ci si connette ai server e si installa Active Directory Domain Services.
Se non si ha un abbonamento Azure, creare un account gratuito prima di iniziare.
Uso di Azure CLI
Lo script seguente automatizza il processo di compilazione di due macchine virtuali Windows Server 2019, allo scopo di creare controller di dominio per una nuova foresta Active Directory in Azure. Un amministratore può modificare le variabili seguenti in base alle proprie esigenze, quindi completare come un'unica operazione. Lo script crea il gruppo di risorse necessario, il gruppo di sicurezza di rete con una regola di traffico per Desktop remoto, rete virtuale e subnet e gruppo di disponibilità. Le macchine virtuali vengono quindi configurate con un disco dati da 20 GB con memorizzazione nella cache disabilitata, destinato all'installazione di Active Directory Domain Services.
Lo script seguente può essere eseguito direttamente dal portale di Azure. Se si sceglie di installare e usare l'interfaccia della riga di comando in locale, per questa guida introduttiva è necessario eseguire l'interfaccia della riga di comando di Azure versione 2.0.4 o successiva. Eseguire az --version per trovare la versione. Se è necessario installare o aggiornare, vedere Installare l'interfaccia della riga di comando di Azure 2.0.
| Variable Name | Purpose |
|---|---|
| AdminUsername | Nome utente da configurare in ogni macchina virtuale come amministratore locale. |
| AdminPassword | Password non crittografata da configurare in ogni macchina virtuale come password di amministratore locale. |
| ResourceGroupName | Nome da usare per il gruppo di risorse. Non deve duplicare un nome esistente. |
| Location | Nome della posizione di Azure in cui si vuole eseguire la distribuzione. Elencare le aree supportate per la sottoscrizione corrente usando az account list-locations. |
| VNetName | Nome per assegnare la rete virtuale di Azure non deve duplicare un nome esistente. |
| VNetAddress | Ambito IP da usare per la rete di Azure. Non deve duplicare un intervallo esistente. |
| SubnetName | Nome da assegnare alla subnet IP. Non deve duplicare un nome esistente. |
| SubnetAddress | Indirizzo della subnet per i controller di dominio. Deve essere una subnet all'interno della rete virtuale. |
| AvailabilitySet | Nome del set di disponibilità a cui verranno unite le macchine virtuali del controller di dominio. |
| VMSize | Dimensioni VM standard di Azure disponibili nella località per la distribuzione. |
| DataDiskSize | Dimensioni in GB del disco dati in cui sono installati i Servizi di dominio Active Directory. |
| DomainController1 | Nome del primo controller di dominio. |
| DC1IP | Indirizzo IP per il primo controller di dominio. |
| DomainController2 | Nome del secondo controller di dominio. |
| DC2IP | Indirizzo IP per il secondo controller di dominio. |
#Add lines for AdminUsername and AdminPassword, and update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
--location $Location
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--resource-group $ResourceGroupName \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--resource-group $ResourceGroupName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
--resource-group $ResourceGroupName \
--location $Location
# Create two virtual machines.
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--resource-group $ResourceGroupName \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS e Active Directory
Se le macchine virtuali di Azure create come parte di questo processo saranno un'estensione di un'infrastruttura Active Directory locale esistente, le impostazioni DNS nella rete virtuale devono essere modificate per includere i server DNS locali prima della distribuzione. Questo passaggio è importante per consentire ai controller di dominio appena creati in Azure di risolvere le risorse locali e consentire la replica. Altre informazioni su DNS, Azure e su come configurare le impostazioni sono disponibili nella sezione Risoluzione dei Nomi che utilizza il proprio server DNS.
Dopo aver promosso i nuovi controller di dominio in Azure, dovranno essere impostati sui server DNS primari e secondari per la rete virtuale e tutti i server DNS locali verranno abbassati al terziario e oltre. Le macchine virtuali continuano a usare le impostazioni DNS correnti fino al riavvio. Altre informazioni sulla modifica dei server DNS sono disponibili nell'articolo Creare, modificare o eliminare una rete virtuale.
Le informazioni sull'estensione di una rete locale ad Azure sono disponibili nell'articolo Creazione di una connessione VPN da sito a sito.
Configurare le macchine virtuali e installare Active Directory Domain Services
After the script completes, browse to the Azure portal, then Virtual machines.
Configurare il primo controller di dominio
Connettersi ad AZDC01 usando le credenziali fornite nello script.
- Inizializzare e formattare il disco dati come F:
- Open the Start menu and browse to Computer Management
- Browse to Storage>Disk Management
- Inizializzare il disco come MBR
- Creare un nuovo volume semplice e assegnare la lettera di unità F. È possibile specificare un'etichetta del volume se si desidera.
- Installare Servizi di dominio Active Directory con Server Manager
- Alzare di livello il controller di dominio come primo in una nuova foresta
- Lasciare il server DNS (Domain Name System) e il Catalogo Globale (GC) selezionati nella pagina Opzioni del controller di dominio
- Specificare una password per la modalità di ripristino dei servizi directory in base ai requisiti dell'organizzazione
- Modificare i percorsi da C: in modo che puntino all'unità F: che abbiamo creato quando viene richiesto loro il percorso
- Review the selections made in the wizard and choose Next
Note
Il controllo dei prerequisiti avvisa che la scheda di rete fisica non dispone di indirizzi IP statici assegnati, è possibile ignorare questo valore in modo sicuro perché nella rete virtuale di Azure vengono assegnati indirizzi IP statici.
- Choose Install
Al termine del processo di installazione, la macchina virtuale viene riavviata.
Al termine del riavvio della macchina virtuale, accedere nuovamente con le credenziali usate in precedenza, ma questa volta come membro del dominio creato.
Note
Il primo accesso dopo l'innalzamento di livello a un controller di dominio potrebbe richiedere più tempo del normale e questo è OK. Prendi una tazza di tè, caffè, acqua o altra bevanda di scelta.
reti virtuali di Azure supportano ora IPv6 , ma nel caso in cui si voglia impostare le macchine virtuali per preferire IPv4 rispetto a IPv6, le informazioni su come completare questa attività sono disponibili nell'articolo della Knowledge Base Indicazioni per la configurazione di IPv6 in Windows per utenti avanzati.
Configure DNS
Dopo aver promosso il primo server in Azure, i server dovranno essere impostati sui server DNS primari e secondari per la rete virtuale e tutti i server DNS locali verranno abbassati al terziario e oltre. Altre informazioni sulla modifica dei server DNS sono disponibili nell'articolo Creare, modificare o eliminare una rete virtuale.
Configurare il secondo controller di dominio
Connettersi ad AZDC02 usando le credenziali fornite nello script.
- Inizializzare e formattare il disco dati come F:
- Open the Start menu and browse to Computer Management
- Browse to Storage>Disk Management
- Inizializzare il disco come MBR
- Creare un nuovo volume semplice e assegnare la lettera di unità F: (puoi specificare un'etichetta per il volume, se lo desideri)
- Installare Servizi di dominio Active Directory con Server Manager
- Alzare di livello il controller di dominio
- Aggiungere un controller di dominio a un dominio esistente - CONTOSO.com
- Specificare le credenziali per eseguire l'operazione
- Modificare i percorsi da C: in modo che puntino all'unità F: che abbiamo creato quando viene richiesto loro il percorso
- Verificare che il server DNS (Domain Name System) e il Catalogo globale (GC) siano selezionati nella pagina Opzioni controller di dominio
- Specificare una password per la modalità di ripristino dei servizi directory in base ai requisiti dell'organizzazione
- Review the selections made in the wizard and choose Next
Note
Il controllo dei prerequisiti avvisa che alla scheda di rete fisica non sono assegnati indirizzi IP statici. È possibile ignorare questo problema, perché nella rete virtuale di Azure vengono assegnati indirizzi IP statici.
- Choose Install
Al termine del processo di installazione, la macchina virtuale viene riavviata.
Al termine del riavvio della macchina virtuale, accedere nuovamente con le credenziali usate in precedenza, ma questa volta come membro del dominio CONTOSO.com
reti virtuali di Azure supportano ora IPv6, ma nel caso in cui si voglia impostare le macchine virtuali per preferire IPv4 rispetto a IPv6, le informazioni su come completare questa attività sono disponibili nell'articolo della Knowledge Base Indicazioni per la configurazione di IPv6 in Windows per utenti avanzati.
Wrap up
A questo punto, l'ambiente ha una coppia di controller di dominio ed è stata configurata la rete virtuale di Azure in modo che altri server possano essere aggiunti all'ambiente. Le attività successive all'installazione per Servizi di dominio Active Directory, ad esempio la configurazione di siti e servizi, il controllo, il backup e la protezione dell'account amministratore predefinito, devono essere completate a questo punto.
Rimozione dell'ambiente
Per rimuovere l'ambiente, dopo aver completato il test, è possibile eliminare il gruppo di risorse creato in precedenza. Questo passaggio rimuove tutti i componenti che fanno parte di tale gruppo di risorse.
Rimuovere tramite il portale di Azure
From the Azure portal, browse to Resource groups and choose the resource group we created (in this example ADonAzureVMs), then select Delete resource group. Il processo richiede conferma prima di eliminare tutte le risorse contenute all'interno del gruppo di risorse.
Rimuovere tramite l'interfaccia della riga di comando di Azure
Dall'interfaccia della riga di comando di Azure eseguire il comando seguente:
az group delete --name ADonAzureVMs