使用 Azure CLI 安裝新的 Active Directory 樹系

AD DS 可以在 Azure 虛擬機器 (VM) 上執行，執行方式與其在許多內部部署執行個體中執行的方式相同。 本文將為您引導您使用 Azure 入口網站和 Azure CLI，在 Azure 可用性設定組的兩個新網域控制站上部署新的 AD DS 樹系。 許多客戶在建立實驗室或準備在 Azure 中部署網域控制站時，發現此指引很有幫助。

元件

• 要放入所有項目的資源群組。
• Azure 虛擬網路、子網路、網路安全性群組，以及允許 RDP 存取 VM 的規則。
• Azure 虛擬機器可用性設定集，用來將兩個 Active Directory Domain Services (AD DS) 網域控制站放入其中。
• 兩部執行 AD DS 和 DNS 的 Azure 虛擬機器。

未涵蓋的項目

• 從內部部署位置建立站對站 VPN 連線
• 保護 Azure 中的網路流量
• 設計網站拓撲
• 規劃設置操作主機角色
• 部署 Microsoft Entra Connect 將身分識別同步處理至 Microsoft Entra 識別碼

建置測試環境

我們會將 Azure 入口網站和 Azure CLI 用於建立環境。

Azure CLI 可用來從命令列或在指令碼中建立和管理 Azure 資源。 本教學課程詳述如何使用 Azure CLI，部署執行 Windows Server 2019 的虛擬機器。 一旦部署完成，我們就會連線到伺服器並安裝 AD DS。

如果您沒有 Azure 訂閱，請在開始之前，先建立免費帳戶。

使用 Azure CLI

下列指令碼會將建置兩個 Windows Server 2019 VM 的流程自動化，目的是為 Azure 中的新 Active Directory 樹系建置網域控制站。 系統管理員可以修改下列變數以符合其需求，然後作為一項作業完成。 此指令碼會建立必要的資源群組、具有遠端桌面流量規則的網路安全性群組、虛擬網路和子網路，以及可用性群組。 然後，每個 VM 都是搭配 20 GB 資料磁碟建置的，也會停用快取，以便將 AD DS 安裝至其中。

下列指令碼可以直接從 Azure 入口網站執行。 如果您選擇在本機安裝和使用 CLI，本快速入門會要求您執行 Azure CLI 2.0.4 版或更新版本。 執行 az --version 以尋找版本。 如果需要安裝或升級，請參閱安裝 Azure CLI 2.0。

變數名稱	目的
AdminUsername	要在每個 VM 上設定為本機系統管理員的使用者名稱。
AdminPassword	要在每個 VM 上設定為本機系統管理員密碼的純文字密碼。
resourceGroupName	要用於資源群組的名稱。 不應該複製現有的名稱。
位置	您想要部署至其中的 Azure 位置名稱。 使用 az account list-locations 列出目前訂用帳戶支援的區域。
VNetName	要指派 Azure 虛擬網路的名稱。不應該複製現有的名稱。
VNetAddress	要用於 Azure 網路的 IP 範圍。 不應複製現有的範圍。
SubnetName	要指派 IP 子網路的名稱。 不應該複製現有的名稱。
SubnetAddress	網域控制站的子網路位址。 應該是 VNet 內的子網路。
AvailabilitySet	網域控制站 VM 將加入的可用性設定組名稱。
VMSize	部署位置中可用的標準 Azure VM 大小。
DataDiskSize	AD DS 安裝所在資料磁碟的大小 (以 GB 為單位)。
DomainController1	第一個網域控制站的名稱。
DC1IP	第一個網域控制站的 IP 位址。
DomainController2	第二個網域控制站的名稱。
DC2IP	第二個網域控制站的 IP 位址。

#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS 和 Active Directory

如果在此過程中建立的 Azure 虛擬機器將是現有內部部署 Active Directory 基礎結構的延伸模組，則必須變更虛擬網路上的 DNS 設定，才能在部署之前包含您的內部部署 DNS 伺服器。 若要允許 Azure 中新建立的網域控制站解析內部部署資源，並允許進行複寫，此步驟很重要。 如需 DNS、Azure，以及如何設定這些設定的詳細資訊，請參閱使用您自己 DNS 伺服器的名稱解析一節。

在 Azure 中升級新的網域控制站之後，必須將其設定為虛擬網路的主要和次要 DNS 伺服器，而且任何內部部署 DNS 伺服器都會降級為第三以上。 VM 會繼續使用其目前的 DNS 設定，直到重新啟動為止。 如需變更 DNS 伺服器的詳細資訊，請參閱建立、變更或刪除虛擬網路一文。

如需將內部部署網路擴充至 Azure 的相關資訊，請參閱建立站對站 VPN 連線一文。

設定 VM 並安裝 Active Directory Domain Services

在指令碼完成之後，瀏覽至 Azure 入口網站，然後瀏覽至 [虛擬機器]。

設定第一個網域控制站

使用您在指令碼中提供的認證連線到 AZDC01。

• 將資料磁碟初始化並格式化為 F:
  • 開啟 [開始] 功能表並瀏覽至 [電腦管理]
  • 瀏覽至 [儲存體]>[磁碟管理]
  • 將磁碟初始化為 MBR
  • 建立新的簡單磁碟區並指派磁碟機字母 F:，如果想要的話，您可以提供磁碟區標籤
• 使用伺服器管理員安裝 Active Directory Domain Services
• 將網域控制站提升為新樹系中的第一個
  • 在 [網域控制站選項] 頁面上，將 [網域名稱系統 (DNS) 伺服器] 和 [通用類別目錄 (GC)] 保持核取狀態
  • 根據您的組織需求指定目錄服務還原模式密碼
  • 將路徑從 C: 變更為指向我們在系統提示輸入其位置時所建立的 F: 磁碟機
  • 檢閱精靈中所做的選取，然後選擇 [下一步]

注意

必要條件檢查會警告您，實體網路介面卡未指派靜態 IP 位址，但您可以安全地忽略此情況，因為 Azure 虛擬網路中已指派靜態 IP。

• 選擇 [安裝]

當精靈完成安裝流程時，VM 會重新開機。

當 VM 完成重新開機時，請使用先前使用的認證重新登入，但這次是以您建立的網域成員身分登入。

注意

升級至網域控制站之後的第一次登入可能需要比平常更長的時間，這沒問題。 喝杯茶、咖啡、水或其他選擇的飲料。

Azure 虛擬網路現在確實支援 IPv6，但如果您想要將 VM 設定為偏好 IPv4 而非 IPv6，請參閱在 Windows 中為進階使用者設定 IPv6 的指引一文，取得如何完成這項工作的相關資訊。

設定 DNS

在 Azure 中升級第一部伺服器之後，必須將伺服器設定為虛擬網路的主要和次要 DNS 伺服器，而且任何內部部署 DNS 伺服器都會降級為第三以上。 如需變更 DNS 伺服器的詳細資訊，請參閱建立、變更或刪除虛擬網路一文。

設定第二個網域控制站

使用您在指令碼中提供的認證連線到 AZDC02。

• 將資料磁碟初始化並格式化為 F:
  • 開啟 [開始] 功能表並瀏覽至 [電腦管理]
  • 瀏覽至 [儲存體]>[磁碟管理]
  • 將磁碟初始化為 MBR
  • 建立新的簡單磁碟區並指派磁碟機字母 F: (如果想要的話，您可以提供磁碟區標籤)
• 使用伺服器管理員安裝 Active Directory Domain Services
• 升級網域控制站
  • 將網域控制站新增至現有網域 - CONTOSO.com
  • 提供認證來執行作業
  • 將路徑從 C: 變更為指向我們在系統提示輸入其位置時所建立的 F: 磁碟機
  • 確定在 [網域控制站選項] 頁面上，已核取 [網域名稱系統 (DNS) 伺服器] 和 [通用類別目錄 (GC)]
  • 根據您的組織需求指定目錄服務還原模式密碼
  • 檢閱精靈中所做的選取，然後選擇 [下一步]

注意

必要條件檢查會警告您，實體網路介面卡未指派靜態 IP 位址。 您可以安全地忽略此情況，因為 Azure 虛擬網路中會指派靜態 IP。

• 選擇 [安裝]

當精靈完成安裝流程時，VM 會重新開機。

當 VM 完成重新開機時，請使用先前使用的認證重新登入，但這次是以 CONTOSO.com 網域成員身分登入

Azure 虛擬網路現在確實支援 IPv6，但如果您想要將 VM 設定為偏好 IPv4 而非 IPv6，請參閱在 Windows 中為進階使用者設定 IPv6 的指引一文，取得如何完成這項工作的相關資訊。

總結

此時，環境有一對網域控制站，且我們已設定 Azure 虛擬網路，以便其他伺服器可以新增至環境。 Active Directory Domain Services 的後續安裝工作，例如設定網站和服務、稽核、備份和保護內建系統管理員帳戶，應在此時完成。

移除環境

若要移除環境，在您完成了測試時，可以刪除我們在上面建立的資源群組。 此步驟會移除屬於該資源群組的所有元件。

使用 Azure 入口網站移除

從 Azure 入口網站，瀏覽至 [資源群組]，然後選擇我們已建立的資源群組 (在此範例中為 ADonAzureVM)，然後選取 [刪除資源群組]。 此流程會在刪除資源群組內包含的所有資源之前要求確認。

使用 Azure CLI 移除

從 Azure CLI 執行下列命令：

az group delete --name ADonAzureVMs

下一步

• 安全地虛擬化 Active Directory Domain Services (AD DS)
• Microsoft Entra Connect
• 備份及復原
• 站對站 VPN 連線能力
• 監視
• 安全性與原則
• 維護與更新