Установка нового леса Active Directory с помощью Azure CLI

AD DS может работать на виртуальной машине Azure так же, как и во многих локальных экземплярах. В этой статье описывается развертывание нового леса AD DS на двух новых контроллерах домена в группе доступности Azure с помощью портал Azure и Azure CLI. Многие клиенты считают это руководство полезным при создании лаборатории или подготовке к развертыванию контроллеров домена в Azure.

Компоненты

  • Группа ресурсов, вложенная в все содержимое.
  • Azure виртуальная сеть, подсеть, группу безопасности сети и правило, чтобы разрешить RDP-доступ к виртуальным машинам.
  • Группа доступности виртуальных машин Azure для подключения двух контроллеров домена доменные службы Active Directory (AD DS).
  • Две виртуальные машины Azure для запуска AD DS и DNS.

Элементы, которые не охвачены

Создание тестовой среды

Для создания среды мы используем портал Azure и Azure CLI.

Azure CLI используется для создания ресурсов Azure и управления ими из командной строки или с помощью скриптов. В этом руководстве содержатся сведения об использовании Azure CLI для развертывания виртуальных машин под управлением Windows Server 2019. После завершения развертывания мы подключимся к серверам и установим AD DS.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Использование Azure CLI

Следующий сценарий автоматизирует процесс создания двух виртуальных машин Windows Server 2019 для создания контроллеров домена для нового леса Active Directory в Azure. Администратор может изменить приведенные ниже переменные в соответствии с потребностями, а затем выполнить как одну операцию. Сценарий создает необходимую группу ресурсов, группу безопасности сети с правилом трафика для удаленного рабочего стола, виртуальной сети и подсети и группы доступности. Затем виртуальные машины создаются с диском данных размером 20 ГБ с отключенным кэшированием для установки AD DS.

Приведенный ниже скрипт можно запустить непосредственно из портал Azure. Если вы решили установить и использовать CLI локально, для выполнения инструкций в этом руководстве вам понадобится Azure CLI 2.0.4 или более поздней версии. Чтобы узнать версию, выполните команду az --version. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.

Имя переменной Назначение
AdminUsername Имя пользователя для настройки на каждой виртуальной машине в качестве локального администратора.
AdminPassword Пароль cleartext для настройки на каждой виртуальной машине в качестве пароля локального администратора.
ResourceGroupName Имя, используемое для группы ресурсов. Не следует дублировать существующее имя.
Расположение Имя расположения Azure, в которое вы хотите развернуть. Вывод списка поддерживаемых регионов для текущей подписки с помощью az account list-locations.
VNetName Имя для назначения виртуальной сети Azure не должно дублировать существующее имя.
VNetAddress Область IP-адресов, используемая для сети Azure. Не следует дублировать существующий диапазон.
SubnetName Имя для назначения IP-подсети. Не следует дублировать существующее имя.
SubnetAddress Адрес подсети для контроллеров домена. Должен быть подсетью внутри виртуальной сети.
AvailabilitySet Имя группы доступности виртуальных машин контроллера домена присоединится.
VMSize Стандартный размер виртуальной машины Azure, доступный в расположении для развертывания.
DataDiskSize Размер в ГБ для диска данных, на котором устанавливается AD DS.
DomainController1 Имя первого контроллера домена.
DC1IP IP-адрес для первого контроллера домена.
DomainController2 Имя второго контроллера домена.
DC2IP IP-адрес второго контроллера домена.
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS и Active Directory

Если виртуальные машины Azure, созданные в рамках этого процесса, будут расширением существующей инфраструктуры локальная служба Active Directory, параметры DNS в виртуальной сети необходимо изменить, чтобы включить локальные DNS-серверы перед развертыванием. Этот шаг важен, чтобы вновь созданные контроллеры домена в Azure разрешали локальные ресурсы и разрешали репликацию. Дополнительные сведения о DNS, Azure и настройке параметров см. в разделе "Разрешение имен", использующее собственный DNS-сервер.

После продвижения новых контроллеров домена в Azure они должны быть установлены на первичные и вторичные DNS-серверы для виртуальной сети, а все локальные DNS-серверы будут понижены до третьего и дополнительного. Виртуальные машины продолжают использовать свои текущие параметры DNS, пока они не будут перезагружены. Дополнительные сведения об изменении DNS-серверов см. в статье "Создание, изменение или удаление виртуальной сети".

Сведения о расширении локальной сети в Azure см. в статье "Создание VPN-подключения типа "сеть — сеть".

Настройка виртуальных машин и установка доменные службы Active Directory

После завершения скрипта перейдите к портал Azure, а затем виртуальные машины.

Настройка первого контроллера домена

Подключитесь к AZDC01, используя учетные данные, указанные в скрипте.

  • Инициализация и форматирование диска данных в формате F:
    • Откройте меню "Пуск" и перейдите к разделу "Управление компьютером"
    • Переход куправлению дискамихранилища>
    • Инициализация диска как MBR
    • Создайте новый простой том и назначьте букву F диска: при желании можно указать метку тома.
  • Установка доменные службы Active Directory с помощью диспетчер сервера
  • Повышение уровня контроллера домена в качестве первого в новом лесу
    • Оставьте сервер доменных имен (DNS) и глобальный каталог (GC) на странице "Параметры контроллера домена"
    • Указание пароля режима восстановления служб каталогов в соответствии с требованиями организации
    • Измените пути с C: чтобы указать на диск F: мы создали при появлении запроса на их расположение
    • Просмотрите выбранные параметры в мастере и нажмите кнопку "Далее"

Примечание

При проверке необходимых компонентов вы увидите, что физический сетевой адаптер не назначен статическим IP-адресам, вы можете спокойно игнорировать это, так как статические IP-адреса назначаются в виртуальной сети Azure.

  • Нажмите кнопку "Установить"

Когда мастер завершит процесс установки, виртуальная машина перезагружается.

После завершения перезагрузки виртуальной машины войдите в систему с учетными данными, которые использовались ранее, но на этот раз в качестве члена созданного домена.

Примечание

Первый вход после повышения уровня контроллера домена может занять больше времени, чем обычно, и это нормально. Возьмите чашку чая, кофе, воды или другого напитка по выбору.

Теперь виртуальные сети Azure поддерживают протокол IPv6 , но если вы хотите настроить для виртуальных машин предпочитать IPv4 по сравнению с IPv6, сведения о том, как выполнить эту задачу, можно найти в руководстве базы знаний по настройке IPv6 в Windows для расширенных пользователей.

Настройка DNS

После продвижения первого сервера в Azure серверы должны быть настроены на первичные и вторичные DNS-серверы для виртуальной сети, а все локальные DNS-серверы будут понижены до третьего уровня и за его пределами. Дополнительные сведения об изменении DNS-серверов см. в статье "Создание, изменение или удаление виртуальной сети".

Настройка второго контроллера домена

Подключитесь к AZDC02, используя учетные данные, предоставленные в скрипте.

  • Инициализируйте и отформатируйте диск данных как F:
    • Откройте меню "Пуск" и перейдите к разделу "Управление компьютером"
    • Переход куправлению дискамихранилища>
    • Инициализация диска как MBR
    • Создайте новый простой том и назначьте букву диска F: (при желании можно указать метку тома).
  • Установка доменные службы Active Directory с помощью диспетчер сервера
  • Повышение уровня контроллера домена
    • Добавление контроллера домена в существующий домен — CONTOSO.com
    • Укажите учетные данные для выполнения операции.
    • Измените пути с C: на диск F: который мы создали при появлении запроса на их расположение
    • Убедитесь, что сервер системы доменных имен (DNS) и глобальный каталог (GC) проверяются на странице "Параметры контроллера домена"
    • Укажите пароль режима восстановления служб каталогов в соответствии с требованиями организации
    • Просмотрите выбранные в мастере параметры и нажмите кнопку "Далее"

Примечание

При проверке необходимых компонентов вы получите предупреждение о том, что физический сетевой адаптер не назначен статическим IP-адресам. Это можно игнорировать, так как статические IP-адреса назначаются в виртуальной сети Azure.

  • Выбор кнопки "Установить"

Когда мастер завершит процесс установки, виртуальная машина перезагружается.

После завершения перезагрузки виртуальной машины войдите обратно с учетными данными, которые использовались ранее, но на этот раз в качестве члена домена CONTOSO.com

Теперь виртуальные сети Azure поддерживают протокол IPv6, но если вы хотите настроить виртуальные машины на IPv4 вместо IPv6, сведения о том, как выполнить эту задачу, можно найти в статье базы знаний по настройке IPv6 в Windows для опытных пользователей.

Заключение

На этом этапе среда имеет пару контроллеров домена, и мы настроили виртуальную сеть Azure, чтобы в среду можно было добавить дополнительные серверы. Задачи после установки для доменные службы Active Directory, такие как настройка сайтов и служб, аудит, резервное копирование и защита встроенной учетной записи администратора, должны быть завершены на этом этапе.

Удаление среды

Чтобы удалить среду, после завершения тестирования можно удалить созданную выше группу ресурсов. На этом шаге удаляются все компоненты, которые являются частью этой группы ресурсов.

Удаление с помощью портала Azure

В портал Azure перейдите к группам ресурсов и выберите созданную группу ресурсов (в этом примере ADonAzureVMs), а затем выберите "Удалить группу ресурсов". Процесс запрашивает подтверждение перед удалением всех ресурсов, содержащихся в группе ресурсов.

Удаление с помощью Azure CLI

В Azure CLI выполните следующую команду:

az group delete --name ADonAzureVMs

Дальнейшие действия