Instalar uma nova floresta do Active Directory usando a CLI do Azure

O AD DS pode ser executado em uma VM (máquina virtual) do Azure da mesma forma que é executado em muitas instâncias locais. Este artigo orienta você na implantação de uma nova Floresta do AD DS, em dois novos controladores de domínio, em um conjunto de disponibilidade do Azure usando o portal do Azure e a CLI do Azure. Muitos clientes consideram essas diretrizes úteis na criação de um laboratório ou na preparação para implantar controladores de domínio no Azure.

Componentes

  • Um grupo de recursos para colocar tudo.
  • Uma Rede Virtual, uma sub-rede, um grupo de segurança de rede e uma regra do Azure para permitir o acesso RDP às VMs.
  • Um conjunto de disponibilidade de máquina virtual do Azure para colocar dois controladores de domínio do AD DS (Active Directory Domain Services).
  • Duas máquinas virtuais do Azure para executar o AD DS e o DNS.

Itens que não são cobertos

Compilar o ambiente de teste

Usamos o portal do Azure e a CLI do Azure para criar o ambiente.

A CLI do Azure é usada para criar e gerenciar recursos do Azure da linha de comando ou em scripts. Este tutorial de início rápido fornece detalhes sobre o uso da CLI do Azure para implantar uma máquina virtual que executa o Windows Server 2019. Depois que a implantação for concluída, nos conectamos ao servidor e instalamos o AD DS.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Usando a CLI do Azure

O script a seguir automatiza o processo de criação de duas VMs do Windows Server 2019, com a finalidade de criar controladores de domínio para uma nova Floresta do Active Directory no Azure. Um administrador pode modificar as variáveis abaixo para atender às suas necessidades e então concluir como uma operação. O script cria o grupo de recursos necessário, o grupo de segurança de rede com uma regra de tráfego para Área de Trabalho Remota, rede virtual e sub-rede e grupo de disponibilidade. As VMs são criadas com um disco de dados de 20 GB com cache desabilitado para o AD DS a ser instalado.

O script abaixo pode ser executado diretamente do portal do Azure. Se você optar por instalar e usar a CLI localmente, este guia de início rápido exigirá a execução da CLI do Azure versão 2.0.4 ou posterior. Execute az --version para encontrar a versão. Se você precisa instalar ou atualizar, consulte Instalar a CLI 2.0 do Azure.

Nome da variável Finalidade
AdminUsername Nome de usuário a ser configurado em cada VM como administrador local.
AdminPassword Senha Cleartext a ser configurada em cada VM como a senha de administrador local.
ResourceGroupName Nome a ser usado para o grupo de recursos. Não deve duplicar um nome existente.
Localização Nome da localização do Azure no qual você gostaria de implantar. Listar regiões com suporte para a assinatura atual usando az account list-locations.
VNetName O nome para atribuir a rede virtual do Azure Não deve duplicar um nome existente.
VNetAddress Escopo de IP a ser usado para rede do Azure. Não deve duplicar um intervalo existente.
SubnetName Nome para atribuir a sub-rede IP. Não deve duplicar um nome existente.
SubnetAddress Endereço de sub-rede para os controladores de domínio. Deve ser uma sub-rede dentro da VNet.
AvailabilitySet Nome do conjunto de disponibilidade que as VMs do controlador de domínio ingressarão.
VMSize Tamanho padrão da VM do Azure disponível no local para implantação.
DataDiskSize Tamanho em GB para o disco de dados em que o AD DS é instalado.
DomainController1 Nome do primeiro controlador de domínio.
DC1IP Endereço IP para o primeiro controlador de domínio.
DomainController2 Nome do segundo controlador de domínio.
DC2IP Endereço IP para o segundo controlador de domínio.
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12

# Create a resource group.
az group create --name $ResourceGroupName \
                --location $Location

# Create a network security group
az network nsg create --name $NetworkSecurityGroup \
                      --resource-group $ResourceGroupName \
                      --location $Location

# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
                           --nsg-name $NetworkSecurityGroup \
                           --priority 1000 \
                           --resource-group $ResourceGroupName \
                           --access Allow \
                           --source-address-prefixes "*" \
                           --source-port-ranges "*" \
                           --direction Inbound \
                           --destination-port-ranges 3389

# Create a virtual network.
az network vnet create --name $VNetName \
                       --resource-group $ResourceGroupName \
                       --address-prefixes $VNetAddress \
                       --location $Location \

# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
                              --name $SubnetName \
                              --resource-group $ResourceGroupName \
                              --vnet-name $VNetName \
                              --network-security-group $NetworkSecurityGroup

# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
                              --resource-group $ResourceGroupName \
                              --location $Location

# Create two virtual machines.
az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController1 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC1IP \
    --no-wait

az vm create \
    --resource-group $ResourceGroupName \
    --availability-set $AvailabilitySet \
    --name $DomainController2 \
    --size $VMSize \
    --image Win2019Datacenter \
    --admin-username $AdminUsername \
    --admin-password $AdminPassword \
    --data-disk-sizes-gb $DataDiskSize \
    --data-disk-caching None \
    --nsg $NetworkSecurityGroup \
    --private-ip-address $DC2IP

DNS e Active Directory

Se as máquinas virtuais do Azure criadas como parte desse processo forem uma extensão de uma infraestrutura de Active Directory local existente, as configurações de DNS na rede virtual deverão ser alteradas para incluir seus servidores DNS locais antes da implantação. Essa etapa é importante para permitir que os controladores de domínio recém-criados no Azure resolvam recursos locais e permitam que a replicação ocorra. Mais informações sobre DNS, Azure e como definir as configurações podem ser encontradas na seção Resolução de nomes que usa um servidor DNS próprio.

Depois de promover os novos controladores de domínio no Azure, será preciso definir os servidores DNS primários e secundários da rede virtual e qualquer Servidor DNS local que vá ser rebaixado para terciário ou inferior. As VMs continuam a usar suas configurações de DNS atuais até que elas sejam reiniciadas. Mais informações sobre como alterar servidores DNS podem ser encontradas no artigo Criar, alterar ou excluir uma rede virtual.

Informações sobre como estender uma rede local para o Azure podem ser encontradas no artigo Como criar uma conexão VPN site a site.

Configurar as VMs e instalar o Active Directory Domain Services

Quando o script for concluído, navegue para portal do Azure e Máquinas virtuais.

Configurar o primeiro controlador de domínio

Conecte-se ao AZDC01 usando as credenciais fornecidas no script.

  • Inicialize e formate o disco de dados como F:
    • Abra o menu Iniciar e navegue até Gerenciamento de Computador
    • Navegue até Armazenamento>Gerenciamento de Disco
    • Inicializar o disco como MBR
    • Crie um volume simples e atribua a letra da unidade F: você pode fornecer um rótulo volume, se desejar
  • Instalar Active Directory Domain Services usando Gerenciador do Servidor
  • Promover o controlador de domínio como o primeiro em uma nova floresta
    • Deixe o servidor DNS (Sistema de Nomes de Domínio) e o GC (Catálogo Global) marcados na página Opções do Controlador de Domínio
    • Especifique uma senha do Modo de Restauração dos Serviços de Diretório com base em seus requisitos organizacionais
    • Altere os caminhos de C: para apontar para a unidade F: que criamos quando solicitado para a localização dela
    • Examine as seleções feitas no assistente e escolha Avançar

Observação

A Verificação de Pré-requisitos avisará que o adaptador de rede física não tem endereços IP estáticos atribuídos, você pode ignorar isso com segurança, pois os IPs estáticos são atribuídos na rede virtual do Azure.

  • Escolha Instalar

Quando o assistente conclui o processo de instalação, a VM é reinicializada.

Quando a VM tiver concluído a reinicialização, faça logon novamente com as credenciais usadas antes, mas desta vez como membro do domínio que você criou.

Observação

O primeiro logon após a promoção para um controlador de domínio pode levar mais tempo do que o normal, e não há problema nisso. Pegue uma xícara de chá, café, água ou outra bebida que você prefira.

As redes virtuais do Azure agora dão suporte ao IPv6, mas caso você queira definir suas VMs para preferir IPv4 em vez de IPv6, informações sobre como concluir essa tarefa podem ser encontradas no artigo da base de dados de conhecimento Diretrizes para configurar o IPv6 no Windows para usuários avançados.

Configurar DNS

Depois de promover o primeiro servidor no Azure, será preciso definir os servidores como servidores DNS primários e secundários para a rede virtual, e todos os servidores DNS locais serão rebaixados para terciário e além. Mais informações sobre como alterar servidores DNS podem ser encontradas no artigo Criar, alterar ou excluir uma rede virtual.

Configurar o segundo controlador de domínio

Conecte-se ao AZDC02 usando as credenciais fornecidas no script.

  • Inicialize e formate o disco de dados como F:
    • Abra o menu Iniciar e navegue até Gerenciamento de Computador
    • Navegue até Armazenamento>Gerenciamento de Disco
    • Inicializar o disco como MBR
    • Crie um volume simples e atribua a letra da unidade F: (você pode fornecer um rótulo volume, se desejar)
  • Instalar Active Directory Domain Services usando Gerenciador do Servidor
  • Promover o controlador de domínio
    • Adicionar um controlador de domínio a um domínio existente – CONTOSO.com
    • Forneça credenciais para executar a operação
    • Altere os caminhos de C: para apontar para a unidade F: que criamos quando solicitado para a localização dela
    • Verifique se o servidor DNS (Sistema de Nomes de Domínio) e o GC (Catálogo Global) estão marcados na página Opções do Controlador de Domínio
    • Especifique uma senha do Modo de Restauração dos Serviços de Diretório com base em seus requisitos organizacionais
    • Examine as seleções feitas no assistente e escolha Avançar

Observação

A Verificação de Pré-requisitos avisará que o adaptador de rede física não tem endereços IP estáticos atribuídos. Você pode ignorar isso com segurança, pois os IPs estáticos são atribuídos na rede virtual do Azure.

  • Escolha Instalar

Quando o assistente conclui o processo de instalação, a VM é reinicializada.

Quando a VM tiver concluído a reinicialização, faça logon novamente com as credenciais usadas antes, mas desta vez como membro do domínio CONTOSO.com

As redes virtuais do Azure agora dão suporte ao IPv6, mas caso você queira definir suas VMs para preferir IPv4 em vez de IPv6, informações sobre como concluir essa tarefa podem ser encontradas no artigo da base de dados de conhecimento Diretrizes para configurar o IPv6 no Windows para usuários avançados.

Conclusão

Neste ponto, o ambiente tem um par de controladores de domínio e configuramos a rede virtual do Azure para que mais servidores possam ser adicionados ao ambiente. Tarefas pós-instalação para Active Directory Domain Services, como configurar sites e serviços, auditar, fazer backup e proteger a conta de administrador interno, devem ser concluídas neste momento.

Como remover o ambiente

Para remover o ambiente, quando você concluir o teste, o grupo de recursos que criamos acima poderá ser excluído. Esta etapa remove todos os componentes que fazem parte desse grupo de recursos.

Remover usando o portal do Azure

No portal do Azure, navegue até Grupos de recursos e escolha o grupo de recursos que criamos (neste exemplo, ADonAzureVMs) e selecione Excluir grupo de recursos. O processo solicita confirmação antes de excluir todos os recursos contidos no grupo de recursos.

Remova usando a CLI do Azure

Na CLI do Azure, execute o seguinte comando:

az group delete --name ADonAzureVMs

Próximas etapas