Migrar o Azure Active Directory Domain Services do modelo de rede virtual clássica para o Resource Manager

O Azure AD DS (Azure Active Directory Domain Services) dá suporte a apenas uma migração de clientes que atualmente usam o modelo de rede virtual clássica para o modelo de rede virtual do Resource Manager. Os domínios gerenciados do Azure AD DS que usam o modelo de implantação do Resource Manager oferecem recursos adicionais, como política de senha refinada, logs de auditoria e proteção de bloqueio de conta.

Este artigo descreve as considerações de migração e as etapas necessárias para migrar com êxito um domínio gerenciado existente. Para conhecer alguns dos benefícios, confira Benefícios da migração do modelo de implantação do Clássico para o Resource Manager no Azure AD DS.

Observação

Em 2017, o Azure AD Domain Services foi disponibilizado para hospedar em uma rede do Azure Resource Manager. Desde então, conseguimos criar um serviço mais seguro usando os recursos modernos do Azure Resource Manager. Como as implantações do Azure Resource Manager substituem totalmente as implantações clássicas, as implantações de rede virtual clássica do Azure AD DS serão desativadas em 1º de março de 2023.

Para obter mais informações, confira o aviso oficial de preterimento.

Visão geral do processo de migração

O processo de migração usa um domínio gerenciado existente que é executado em uma rede virtual clássica e o move para uma rede virtual existente do Resource Manager. A migração é realizada usando o PowerShell e tem duas fases principais de execução: preparação e migração.

Visão geral do processo de migração do Azure AD DS

Na fase de preparação, o Azure AD DS faz um backup do domínio para obter o instantâneo mais recente de usuários, grupos e senhas sincronizados com o domínio gerenciado. A sincronização é desabilitada, e o serviço de nuvem que hospeda o domínio gerenciado é excluído. Durante a fase de preparação, o domínio gerenciado não é capaz de autenticar os usuários.

Fase de preparação para migração do Azure AD DS

Na fase de migração, os discos virtuais subjacentes para os controladores de domínio do domínio gerenciado clássico são copiados para criação das VMs usando o modelo de implantação do Resource Manager. O domínio gerenciado é então recriado, o que inclui o LDAPS e a configuração de DNS. A sincronização com o Azure AD é reiniciada e os certificados LDAP são restaurados. Não há necessidade de reassociar nenhum computador a nenhum domínio gerenciado: eles continuam a ser ingressados no domínio gerenciado e são executados sem alterações.

Migração do Azure AD DS

Cenários de exemplo de migração

Alguns cenários comuns para migração de um domínio gerenciado incluem os exemplos a seguir.

Observação

Não converta a rede virtual clássica até confirmar uma migração bem-sucedida. A conversão da rede virtual remove a opção de reverter ou restaurar o domínio gerenciado em caso de problemas durante as fases de migração e verificação.

Um cenário comum é aquele em que você já migrou outros recursos clássicos existentes para uma rede virtual e um modelo de implantação do Resource Manager. O emparelhamento é então usado da rede virtual do Resource Manager para a rede virtual clássica que continua a executar o Azure AD DS. Essa abordagem permite que os aplicativos e serviços do Resource Manager usem a funcionalidade de autenticação e gerenciamento do domínio gerenciado na rede virtual clássica. Após a migração, todos os recursos são executados usando o modelo de implantação do Resource Manager e a rede virtual.

Migrar do Azure AD DS para uma rede virtual existente do Resource Manager

As etapas de alto nível envolvidas neste cenário de migração de exemplo incluem as seguintes partes:

  1. Remova os gateways de VPN existentes ou o emparelhamento de rede virtual configurado na rede virtual clássica.
  2. Migre o domínio gerenciado usando as etapas descritas neste artigo.
  3. Teste e confirme uma migração bem-sucedida, depois exclua a rede virtual clássica.

Migrar vários recursos, incluindo o Azure AD DS

Neste cenário de exemplo, você migra o Azure AD DS e outros recursos associados do modelo de implantação clássico para o modelo de implantação do Resource Manager. Se alguns recursos continuarem a ser executados na rede virtual clássica junto com o domínio gerenciado, todos poderão se beneficiar da migração para o modelo de implantação do Resource Manager.

Migrar vários recursos para o modelo de implantação do Resource Manager

As etapas de alto nível envolvidas neste cenário de migração de exemplo incluem as seguintes partes:

  1. Remova os gateways de VPN existentes ou o emparelhamento de rede virtual configurado na rede virtual clássica.
  2. Migre o domínio gerenciado usando as etapas descritas neste artigo.
  3. Configure o emparelhamento de rede virtual entre a rede virtual clássica e a rede do Resource Manager.
  4. Teste e confirme uma migração bem-sucedida.
  5. Mova recursos clássicos adicionais, como VMs.

Migrar o Azure AD DS, mas manter outros recursos na rede virtual clássica

Com este cenário de exemplo, você tem o mínimo de tempo de inatividade em uma sessão. Você migra apenas o Azure AD DS para uma rede virtual do Resource Manager e mantém os recursos existentes no modelo de implantação clássico e na rede virtual. Em um período de manutenção posterior, você pode migrar os recursos adicionais do modelo de implantação clássico e da rede virtual conforme desejado.

Migrar somente o Azure AD DS para o modelo de implantação do Resource Manager

As etapas de alto nível envolvidas neste cenário de migração de exemplo incluem as seguintes partes:

  1. Remova os gateways de VPN existentes ou o emparelhamento de rede virtual configurado na rede virtual clássica.
  2. Migre o domínio gerenciado usando as etapas descritas neste artigo.
  3. Configure o emparelhamento de rede virtual entre a rede virtual clássica e a rede virtual do Resource Manager.
  4. Posteriormente, migre os recursos adicionais da rede virtual clássica, conforme necessário.

Antes de começar

À medida que você prepara e migra um domínio gerenciado, há algumas considerações sobre a disponibilidade dos serviços de autenticação e gerenciamento. O domínio gerenciado fica indisponível por um período durante a migração. Aplicativos e serviços que dependem do Azure AD DS apresentam tempo de inatividade durante a migração.

Importante

Leia todo este artigo e diretrizes de migração antes de iniciar esse processo. O processo de migração afeta a disponibilidade dos controladores de domínio do Azure AD DS por determinados períodos. Os usuários, serviços e aplicativos não podem se autenticar no domínio gerenciado durante o processo de migração.

Endereços IP

Os endereços IP do controlador de domínio de um domínio gerenciado são alterados após a migração. Essa alteração inclui o endereço IP público para o ponto de extremidade LDAP seguro. Os novos endereços IP estão dentro do intervalo de endereços para a nova sub-rede na rede virtual do Resource Manager.

Se você precisar reverter, os endereços IP poderão se alterar após a reversão.

O Azure AD DS normalmente usa os dois primeiros endereços IP disponíveis no intervalo de endereços, mas isso não é garantido. No momento, não é possível especificar os endereços IP a serem usados após a migração.

Tempo de inatividade

O processo de migração envolve deixar os controladores de domínio offline por um período. Os controladores de domínio ficam inacessíveis enquanto o Azure AD DS é migrado para o modelo de implantação e a rede virtual do Resource Manager.

Em média, o tempo de inatividade é de cerca de 1 a 3 horas. Esse período é desde quando os controladores de domínio são colocados offline até o momento em que o primeiro controlador de domínio volta a ficar online. Essa média não inclui o tempo que leva para o segundo controlador de domínio ser replicado ou o tempo que pode levar para migrar recursos adicionais para o modelo de implantação do Resource Manager.

Bloqueio de conta

Os domínios gerenciados que são executados em redes virtuais clássicas não têm políticas de bloqueio de conta do AD em vigor. Se as VMs forem expostas à Internet, os invasores poderão usar métodos de pulverização de senha para forçar a entrada em contas. Não há nenhuma política de bloqueio de conta para interromper essas tentativas. Para domínios gerenciados que usam as redes virtuais e o modelo de implantação do Resource Manager, as políticas de bloqueio de conta do AD protegem contra esses ataques de pulverização de senha.

Por padrão, cinco tentativas de senha inadequadas em dois minutos bloqueiam uma conta por 30 minutos.

Uma conta bloqueada não pode ser usada para entrar, o que pode interferir na capacidade de gerenciar o domínio gerenciado ou os aplicativos gerenciados pela conta. Depois que um domínio gerenciado é migrado, as contas podem passar por algo semelhante a um bloqueio permanente, devido a tentativas malsucedidas repetidas de entrar. Dois cenários comuns após a migração incluem o seguinte:

  • Uma conta de serviço que está usando uma senha expirada.
    • A conta de serviço tenta repetidamente entrar com uma senha expirada, o que bloqueia a conta. Para corrigir isso, localize o aplicativo ou a VM com credenciais expiradas e atualize a senha.
  • Uma entidade mal-intencionada está usando tentativas de força bruta para entrar em contas.
    • Quando as VMs são expostas à Internet, os invasores geralmente tentam combinações comuns de nome de usuário e senha à medida que tentam entrar. Essas tentativas de entrada malsucedidas repetidas podem bloquear as contas. Não é recomendável usar contas de administrador com nomes genéricos, como admin ou administrador, por exemplo, para minimizar a possibilidade de que as contas administrativas sejam bloqueadas.
    • Minimize o número de VMs que são expostas à Internet. Você pode usar o Azure Bastion para se conectar com segurança às VMs usando o portal do Azure.

Se você suspeita que algumas contas podem ser bloqueadas após a migração, as etapas finais de migração descrevem como habilitar a auditoria ou alterar as configurações de política de senha refinadas.

Reverter e restaurar

Se a migração não é bem-sucedida, há um processo para reverter ou restaurar um domínio gerenciado. A reversão é uma opção de autoatendimento para retornar imediatamente o estado do domínio gerenciado para o que era antes da tentativa de migração. Como um último recurso, os engenheiros de suporte do Azure também podem restaurar um domínio gerenciado por meio de um backup. Para obter mais informações, confira Como reverter ou restaurar de uma migração com falha.

Restrições em redes virtuais disponíveis

Há algumas restrições quanto às redes virtuais para as quais um domínio gerenciado pode ser migrado. A rede virtual do Resource Manager de destino precisa atender aos seguintes requisitos:

  • A rede virtual do Resource Manager precisa estar na mesma assinatura do Azure que a rede virtual clássica na qual o Azure AD DS está implantado no momento.
  • A rede virtual do Resource Manager precisa estar na mesma região que a rede virtual clássica na qual o Azure AD DS está implantado no momento.
  • A sub-rede da rede virtual do Resource Manager precisa ter pelo menos 3-5 endereços IP disponíveis.
  • A sub-rede da rede virtual do Resource Manager deve ser uma sub-rede dedicada para o Azure AD DS e não deve hospedar nenhuma outra carga de trabalho.

Para obter mais informações sobre os requisitos de rede virtual, confira Considerações sobre design e opções de configuração de rede virtual.

Você também precisa criar um grupo de segurança de rede para restringir o tráfego na rede virtual para o domínio gerenciado. Um Azure Standard Load Balancer é criado durante o processo de migração e exige que essas regras sejam implementadas. Esse grupo de segurança de rede protege o Azure AD DS e é necessário para que o domínio gerenciado funcione corretamente.

Para obter mais informações sobre quais regras são necessárias, confira Grupos de segurança de rede e portas necessárias do Azure AD DS.

Expiração de certificado TLS/SSL e LDAPS

Se o domínio gerenciado estiver configurado para LDAPS, verifique se o certificado TLS/SSL atual é válido por mais de 30 dias. Um certificado que expira nos próximos 30 dias faz com que os processos de migração falhem. Se necessário, renove o certificado e aplique-o ao domínio gerenciado e, em seguida, inicie o processo de migração.

Etapas da migração

A migração para a rede virtual e o modelo de implantação do Resource Manager é dividida em cinco etapas principais:

Etapa Executado por Tempo estimado Tempo de inatividade Reverter/restaurar?
Etapa 1 – Atualizar e localizar a nova rede virtual Portal do Azure 15 minutos Nenhum tempo de inatividade necessário N/D
Etapa 2 – Preparar o domínio gerenciado para migração PowerShell 15 a 30 minutos em média O tempo de inatividade do Azure AD DS começa após a conclusão desse comando. Reversão e restauração disponíveis.
Etapa 3 – Migrar o domínio gerenciado para uma rede virtual existente PowerShell Uma a três horas, em média Um controlador de domínio estará disponível quando esse comando for concluído. Em caso de falha, a reversão (autoatendimento) e a restauração estão ambas disponíveis.
Etapa 4 – Testar e aguardar o controlador de domínio de réplica PowerShell e portal do Azure Uma hora ou mais, dependendo do número de testes Os dois controladores de domínio estão disponíveis e devem funcionar normalmente, o tempo de inatividade termina. N/D Depois que a primeira VM é migrada com êxito, não há nenhuma opção para reversão nem restauração.
Etapa 5 – Etapas de configuração opcionais Portal do Azure e VMs N/D Nenhum tempo de inatividade necessário N/D

Importante

Para evitar tempo de inatividade adicional, leia todo este artigo e diretrizes de migração antes de iniciar esse processo. O processo de migração afeta a disponibilidade dos controladores de domínio do Azure AD DS por um determinado período. Os usuários, serviços e aplicativos não podem se autenticar no domínio gerenciado durante o processo de migração.

Atualizar e verificar as configurações de rede virtual

Antes de começar o processo de migração, conclua as verificações e atualizações iniciais a seguir. Essas etapas podem acontecer a qualquer momento antes da migração e não afetam a operação do domínio gerenciado.

  1. Atualize o ambiente do Azure PowerShell local para a versão mais recente. Para concluir as etapas de migração, você precisa pelo menos da versão 2.3.2.

    Para obter informações sobre como verificar e atualizar sua versão do PowerShell, confira Visão geral do Azure PowerShell.

  2. Crie ou escolha uma rede virtual existente do Resource Manager.

    Verifique se as configurações de rede não bloqueiam as portas necessárias para o Azure AD DS. As portas precisam estar abertas na rede virtual clássica e na rede virtual do Resource Manager. Essas configurações incluem tabelas de rotas (embora não seja recomendável usá-las) e grupos de segurança de rede.

    O Azure AD DS precisa de um grupo de segurança de rede para proteger as portas necessárias para o domínio gerenciado e bloquear todo o resto do tráfego de entrada. Esse grupo de segurança de rede atua como uma camada extra de proteção para bloquear o acesso ao domínio gerenciado.

    As regras de entrada do grupo de segurança de rede a seguir são necessárias para que o domínio gerenciado forneça serviços de autenticação e gerenciamento. Não edite nem exclua essas regras de grupo de segurança de rede para a sub-rede da rede virtual na qual o seu domínio gerenciado está implantado.

    Número da porta de entrada Protocolo Fonte Destino Ação Obrigatório Finalidade
    5986 TCP AzureActiveDirectoryDomainServices Qualquer Allow Sim Gerenciamento do seu domínio.
    3389 TCP CorpNetSaw Qualquer Allow Opcional Depuração para suporte.
    636 TCP AzureActiveDirectoryDomainServices Entrada Allow Opcional LDAP seguro.

    Anote esse grupo de recursos de destino, a rede virtual de destino e a respectiva sub-rede. Esses nomes de recurso são usados durante o processo de migração.

  3. Verifique a integridade do domínio gerenciado no portal do Azure. Se você tiver alertas para o domínio gerenciado, resolva-os antes de iniciar o processo de migração.

  4. Opcionalmente, se você planeja mover outros recursos para o modelo de implantação do Resource Manager e para a rede virtual, confirme se esses recursos podem ser migrados. Para obter mais informações, confira Migração de recursos de IaaS compatível com a plataforma do clássico para o Azure Resource Manager.

    Observação

    Não converta a rede virtual clássica em uma rede virtual do Resource Manager. Se você fizer isso, não haverá opção para reverter nem restaurar o domínio gerenciado.

Preparar o domínio gerenciado para migração

O Azure PowerShell é usado para preparar o domínio gerenciado para migração. Essas etapas incluem fazer um backup, pausar a sincronização e excluir o serviço de nuvem que hospeda o Azure AD DS. Quando essa etapa for concluída, o Azure AD DS ficará offline por um período. Se a etapa de preparação falhar, você poderá reverter para o estado anterior.

Para preparar o domínio gerenciado para migração, conclua as seguintes etapas:

  1. Instale o script Migrate-Aaads da Migrate-Aaads. Esse script de migração do PowerShell é assinado digitalmente pela equipe de engenharia do Azure AD.

    Install-Script -Name Migrate-Aadds
    
  2. Crie uma variável para conter as credenciais para o script de migração usando o cmdlet Get-Credential.

    A conta de usuário que você especifica precisará das funções Administrador de Aplicativos e Administrador de Grupos do Azure AD no locatário para habilitar o Azure AD DS e a função Colaborador de Serviços de Domínio do Azure para criar os recursos necessários do Azure AD DS.

    Quando solicitado, insira uma conta de usuário e senha apropriadas:

    $creds = Get-Credential
    
  3. Defina uma variável para a ID da assinatura do Azure. Se necessário, você pode usar o cmdlet Get-AzSubscription para listar e exibir as IDs de assinatura. Forneça a sua própria ID da assinatura no seguinte comando:

    $subscriptionId = 'yourSubscriptionId'
    
  4. Agora, execute o cmdlet Migrate-Aadds usando o parâmetro Migrate-Aadds. Forneça o -ManagedDomainFqdn para o seu domínio gerenciado, como aaddscontoso.com:

    Migrate-Aadds `
        -Prepare `
        -ManagedDomainFqdn aaddscontoso.com `
        -Credentials $creds `
        -SubscriptionId $subscriptionId
    

Migrar o domínio gerenciado

Com o domínio gerenciado preparado e submetido a backup, o domínio pode ser migrado. Esta etapa recria as VMs do controlador de domínio do Azure AD DS usando o modelo de implantação do Resource Manager. Esta etapa pode levar de uma a três horas para ser concluída.

Execute o cmdlet Migrate-Aadds usando o parâmetro Migrate-Aadds. Forneça o -ManagedDomainFqdn para o seu domínio gerenciado preparado na seção anterior, como aaddscontoso.com.

Especifique o grupo de recursos de destino que contém a rede virtual para a qual você deseja migrar o Azure AD DS, como myResourceGroup. Forneça a rede virtual de destino, como myVnet, e a sub-rede, como DomainServices.

Depois que esse comando for executado, você não poderá reverter:

Migrate-Aadds `
    -Commit `
    -ManagedDomainFqdn aaddscontoso.com `
    -VirtualNetworkResourceGroupName myResourceGroup `
    -VirtualNetworkName myVnet `
    -VirtualSubnetName DomainServices `
    -Credentials $creds `
    -SubscriptionId $subscriptionId

Depois que o script validar que o domínio gerenciado está preparado para migração, insira S para iniciar o processo de migração.

Importante

Não converta a rede virtual clássica em uma rede virtual do Resource Manager durante o processo de migração. Se você converter a rede virtual, não será possível reverter nem restaurar o domínio gerenciado, pois a rede virtual original não existirá mais.

A cada dois minutos durante o processo de migração, um indicador de progresso informa o status atual, conforme mostrado na seguinte saída de exemplo:

Indicador de progresso da migração do Azure AD DS

O processo de migração continuará a ser executado, mesmo se você fechar o script do PowerShell. No portal do Azure, o status do domínio gerenciado é reportado como Migrando.

Quando a migração for concluída com êxito, você poderá exibir o endereço IP do seu primeiro controlador de domínio no portal do Azure ou por meio do Azure PowerShell. Uma estimativa de tempo para que o segundo controlador de domínio esteja disponível também é mostrada.

Nessa fase, você pode opcionalmente mover outros recursos existentes da rede virtual e do modelo de implantação clássico. Ou você pode manter os recursos no modelo de implantação clássico e emparelhar as redes virtuais entre si depois que a migração do Azure AD DS for concluída.

Testar e verificar a conectividade após a migração

Pode levar algum tempo para que o segundo controlador de domínio seja implantado com êxito e esteja disponível para uso no domínio gerenciado. O segundo controlador de domínio deve estar disponível de uma a duas horas após a conclusão do cmdlet de migração. Com o modelo de implantação do Resource Manager, os recursos de rede para o domínio gerenciado são mostrados no portal do Azure ou no Azure PowerShell. Para verificar se o segundo controlador de domínio está disponível, examine a página Propriedades do domínio gerenciado no portal do Azure. Se dois endereços IP são mostrados, isso significa que o segundo controlador de domínio está pronto.

Depois que o segundo controlador de domínio estiver disponível, conclua as seguintes etapas de configuração para conectividade de rede com VMs:

  • Atualizar as configurações do servidor DNS Para permitir que outros recursos na rede virtual do Resource Manager resolvam e usem o domínio gerenciado, atualize as configurações de DNS com os endereços IP dos novos controladores de domínio. O portal do Azure pode configurar automaticamente essas configurações para você.

    Para saber mais sobre como configurar a rede virtual do Resource Manager, confira Atualizar configurações de DNS para a rede virtual do Azure.

  • Reiniciar VMs conectadas ao domínio (opcional) Já que os endereços IP do servidor DNS para os controladores de domínio do Azure AD DS mudam, você pode reiniciar as VMs conectadas ao domínio para que elas passem então a usar as novas configurações do servidor DNS. Se os aplicativos ou as VMs tiverem configurações manuais de DNS, atualize-as manualmente com os novos endereços IP do servidor DNS dos controladores de domínio mostrados no portal do Azure. A reinicialização de VMs conectadas ao domínio impede problemas de conectividade causados por endereços IP que não são atualizados.

Agora, teste a conexão de rede virtual e a resolução de nomes. Em uma VM conectada à rede virtual do Resource Manager ou emparelhada a ela, experimente os seguintes testes de comunicação de rede:

  1. Verifique se você pode executar o ping no endereço IP de um dos controladores de domínio, como ping 10.1.0.4
    • Os endereços IP dos controladores de domínio são mostrados na página Propriedades do domínio gerenciado no portal do Azure.
  2. Verificar a resolução de nomes do domínio gerenciado, como nslookup aaddscontoso.com
    • Especifique o nome DNS para seu próprio domínio gerenciado para verificar se as configurações de DNS estão corretas e resolvidas.

Para saber mais sobre outros recursos de rede, confira Recursos de rede usados pelo Azure AD DS.

Etapas opcionais de configuração após a migração

Quando o processo de migração é concluído com êxito, algumas etapas opcionais de configuração incluem a atualização da política de senha refinada ou a habilitação de logs de auditoria ou notificações por email.

Assinar logs de auditoria usando o Azure Monitor

O Azure AD DS expõe logs de auditoria para ajudar a solucionar problemas e exibir eventos nos controladores de domínio. Para obter mais informações, confira Habilitar e usar logs de auditoria.

Você pode usar modelos para monitorar informações importantes expostas nos logs. Por exemplo, o modelo de pasta de trabalho de log de auditoria pode monitorar possíveis bloqueios de conta no domínio gerenciado.

Configurar notificações por email

Para ser notificado quando um problema for detectado no domínio gerenciado, atualize as configurações de notificação de email no portal do Azure. Para saber mais, veja Definir configurações de notificação.

Atualizar a política de senha refinada

Se necessário, você pode atualizar a política de senha refinada para ser menos restritiva do que a configuração padrão. Você pode usar os logs de auditoria para determinar se uma configuração menos restritiva faz sentido e, em seguida, configurar a política conforme necessário. Use as seguintes etapas de alto nível para analisar e atualizar as configurações de política para contas que são bloqueadas repetidamente após a migração:

  1. Configure a política de senha para menos restrições no domínio gerenciado e observe os eventos nos logs de auditoria.
  2. Se houver contas de serviço usando senhas expiradas conforme identificado nos logs de auditoria, atualize essas contas com a senha correta.
  3. Se uma VM estiver exposta à Internet, examine-a em busca de nomes de conta genéricos como administrador, usuário ou convidado com números elevados de tentativas de entrada. Sempre que possível, atualize essas VMs para usarem contas com nomes menos genéricos.
  4. Use um rastreamento de rede na VM para localizar a origem dos ataques e bloquear a possibilidade de entrada desses endereços IP.
  5. Quando houver problemas mínimos de bloqueio, atualize a política de senha refinada para ser tão restritiva quanto necessário.

Reverter e restaurar desde a migração

Até um determinado ponto no processo de migração, você pode optar por reverter ou restaurar o domínio gerenciado.

Reverter

Se houver um erro quando você executar o cmdlet do PowerShell para se preparar para a migração na etapa 2 ou para a migração propriamente dita na etapa 3, o domínio gerenciado poderá reverter para a configuração original. Essa reversão requer a rede virtual clássica original. Os endereços IP ainda podem ser alterados após a reversão.

Execute o cmdlet Migrate-Aadds usando o parâmetro Migrate-Aadds. Forneça o -ManagedDomainFqdn para o seu domínio gerenciado preparado em uma seção anterior, como aaddscontoso.com, e o nome da rede virtual clássica, como myClassicVnet:

Migrate-Aadds `
    -Abort `
    -ManagedDomainFqdn aaddscontoso.com `
    -ClassicVirtualNetworkName myClassicVnet `
    -Credentials $creds `
    -SubscriptionId $subscriptionId

Restaurar

Como último recurso, o Azure AD Domain Services pode ser restaurado do último backup disponível. Um backup é feito na etapa 1 da migração para garantir que o backup mais recente esteja disponível. Esse backup é armazenado por 30 dias.

Para restaurar o domínio gerenciado do backup, abra um tíquete de caso de suporte usando o portal do Azure. Forneça a ID do diretório, o nome de domínio e o motivo da restauração. O processo de suporte e restauração pode levar vários dias para ser concluído.

Solução de problemas

Se você tiver problemas após a migração para o modelo de implantação do Resource Manager, examine algumas das seguintes áreas comuns de solução de problemas:

Próximas etapas

Com o domínio gerenciado migrado para o modelo de implantação do Resource Manager, crie uma VM do Windows e ingresse-a em um domínio e, em seguida, instale as ferramentas de gerenciamento.