Dodatkowy kontroler domeny w chmurze

2019/03/04 Cloud admin

Kontroler domeny jest jednym z najważniejszych zasobów IT w naszej organizacji. Jego awaria może sparaliżować całą firmę. Czy chmura obliczeniowa może nam pomóc w uniknięciu kłopotów?

Awaria lokalnego kontrolera domeny może być brzemienna w skutki. Brak dostępu do lokalnego AD może sparaliżować całą firmę, ponieważ autentykacja użytkowników oraz autoryzacja ich do zasobów w naszej organizacji może być niemożliwa. Dlatego dobrą praktyką jest posiadanie co najmniej dwóch kontrolerów domeny w zarządzanym środowisku. W przypadku awarii jednego z nich, drugi przejmuje jego rolę. Drugi, dodatkowy kontroler domeny może być oczywiście postawiony lokalnie, we własnej firmie. Ale czy takie rozwiązanie daje maksimum bezpieczeństwa? Przecież ta sama przyczyna awarii, która unieruchomiła pierwszy kontroler domeny, może unieruchomić również drugi, stojący w naszej lokalnej infrastrukturze. Dochodzi jeszcze do tego pytanie o efektywność kosztową takiego rozwiązania.

A może zamiast drugiego kontrolera domeny działającego lokalnie, skorzystamy z możliwości jakie daje nam chmura obliczeniowa Microsoft? Jednym z najprostszych i jednocześnie najefektywniejszych rozwiązań będzie wykorzystanie do tego prostej i taniej wirtualnej maszyny działającej w Microsoft Azure.

Przygotowanie takiego środowiska nie jest skomplikowane i sprowadza się do 3 prostych kroków:

  1. Utwórz w Microsoft Azure maszynę wirtualną, która będzie dodatkowym kontrolerem domeny.
  2. Zestaw połączenie VPN IPsec między utworzoną maszyną wirtualną w Microsoft Azure i swoim środowiskiem lokalnym.
  3. Wypromuj wirtualną maszynę do roli kontrolera domeny w istniejącej, lokalnej domenie.

Krok 1. Utworzenie prostej maszyny wirtualnej w Microsoft Azure

  1. Zaloguj się do portalu Azure, wpisując w polu adresu dowolnej przeglądarki https://portal.azure.com i podaj poświadczenia swojego użytkownika i wybierz opcję +Utwórz zasób.

Microsoft Azure

  1. W polu wyszukiwania nad listą zasobów Azure Marketplace wpisz Windows Server i potwierdź klawiszem enter. Następnie kliknij w listę rozwijaną w dolnej części okienka i wybierz obraz [smalldisk] Windows Server 2019 Datacenter. Wybór potwierdź klawiszem Utwórz.

Microsoft Azure

  1. Utwórz nową grupę zasobów klikając w opcję Utwórz nowy i następnie podając nazwę nowej grupy zasobów np. CloudDCRG. Potwierdź klawiszem OK

Microsoft Azure

  1. Podaj nazwę maszyny wirtualnej np. Następnie wybierz region, w którym maszyna będzie kreowana – np. Europa Północna

Microsoft Azure

  1. Zmień rozmiar maszyny na inny, klikając opcję Zmień rozmiar

Microsoft Azure

  1. Z listy dostępnych maszyn wirtualnych wybierz maszynę B2S a następnie potwierdź wybór klawiszem Zaznacz

Microsoft Azure

  1. Podaj nazwę użytkownika oraz silne hasło zgodne z polityką haseł platformy Azure (12 znaków, duże i małe litery, cyfry, znaki specjalne)

Microsoft Azure

  1. W sekcji Reguły portów wejściowych, zaznacz port RDP (3389) jako otwarty. Dzięki temu będzie możliwe zdalne zalogowanie się do maszyny wirtualnej.

Microsoft Azure

  1. Kliknij przycisk Następny: Dyski >

Microsoft Azure

  1. Wybierz typ dysku systemu operacyjnego. Do wyboru masz 3 opcje różniące się między sobą wydajnością i ceną np. SSD w warstwie Standardowa lub HDD w warstwie Standardowa . Następnie kliknij przycisk Następny: Sieć >

Microsoft Azure

  1. W sekcji dotyczącej ustawień sieci pozostaw ustawienia z ich domyślnymi wartościami. Kliknij przycisk Następny: Zarządzanie >

Microsoft Azure

  1. W sekcji dotyczącej ustawień zarządzania pozostaw domyślne wartości i kliknij przycisk Następny: Konfiguracja gościa >

Microsoft Azure

  1. W sekcji dotyczącej ustawień konfiguracji systemu gościa pozostaw domyślne wartości i kliknij przycisk Następny: Tagi >

Microsoft Azure

  1. W sekcji dotyczącej ustawień tagów pozostaw domyślne wartości lub zdefiniuj klucz i wartość tagu. Kliknij przycisk Następny: Przeglądanie + tworzenie >

Microsoft Azure

  1. Sprawdź czy weryfikacja konfiguracji maszyny wirtualnej skończyła się pomyślnie a następnie kliknij Utwórz. Tworzenie maszyny potrwa kilka do kilkunastu minut.

Microsoft Azure


Krok 2. Utworzenie połączenia VPN IPSec między wirtualną maszyną w Microsoft Azure a lokalną infrastrukturą.

Jak utworzyć tunel VPN między środowiskami cloud i onprem, jest opisane w tym artykule.


Krok 3. Wypromowanie wirtualnej maszyny do kontrolera domeny w istniejącej, lokalnej domenie.

  1. Zaloguj się do swojego konta portalu Azure (https://portal.azure.com) i w lewym menu znajdź opcję Maszyny wirtualne. Jeśli tej opcji nie będzie, skorzystaj z opcji Wszystkie usługi i tam znajdź Maszyny wirtualne.

Microsoft Azure

  1. Z listy wybierz maszynę wirtualną zapasowego kontrolera domeny
  1. Przejdź do ustawień sieci wirtualnego interfejsu sieciowego.

Microsoft Azure

  1. Wybierz wirtualny interfejs sieciowy należący do maszyny wirtualnej zapasowego kontrolera domenowego.

Microsoft Azure

  1. W lewym menu wybierz opcję Serwery DNS, a następnie zmień ustawienia serwerów DNS na Niestandardowe i podaj adres IP podstawowego kontrolera domeny w infrastrukturze lokalnej. Ustawienia potwierdź klawiszem Pamiętaj, aby po tej czynności wykonać restart maszyny wirtualnej zapasowego kontrolera domeny.

Microsoft Azure

  1. Po restarcie maszyny wirtualnej zapasowego kontrolera domeny, zaloguj się do niego zdalnie z wykorzystaniem protokołu RDP.

Microsoft Azure

  1. Po zalogowaniu się, korzystając z Managera serwera dodaj nową rolę

Microsoft Azure

  1. Postępując zgodnie z zaleceniami kreatora, dodaj rolę Active Directory Domain Services. Wybór potwierdź klawiszem Next

Microsoft Azure

  1. Dalej postępuj zgodnie z podpowiedziami kreatora, nie zmieniając ustawień domyślnych. Klikaj klawisz Next
  1. Zanzacz opcję Restart the destination server automatically if required i potwierdź klawiszem Instalacja trwa chwilę.

Microsoft Azure

  1. Po zakończeniu instalacji kliknij Close

Microsoft Azure

  1. Po zastawianiu roli ADDS wróć do managera serwera i dokończ instalację promując wirtualną maszynę do roli kontrolera domeny za pomocą exe

Microsoft Azure

  1. Zapasowy kontroler domeny dodaj do istniejącej domeny podając jej pełna nazwę i klikając klawisz Następnie podaj poświadczenia administratora domeny i kliknij OK

Microsoft Azure

  1. Wskaż właściwą domenę i potwierdź klawiszem OK

Microsoft Azure

  1. Do zainstalowania wybierz opcję DNS i GC oraz definiujemy hasło do DSRM

Microsoft Azure

  1. Pozostałe opcje zostaw w ustawieniach domyślnych, klikając Next
  1. Kończąc promowanie zapasowego kontrolera domeny kliknij Install

Microsoft Azure

  1. Po zakończeniu instalacji, maszyna wirtualna zapasowego kontrolera domeny zrestartuje się.
  2. Po restarcie zapasowego kontrolera domeny musimy sprawdzić czy wszystkie połączenia pomiędzy kontrolerami się utworzyły oraz czy replikacja przebiegła pozytywnie. W tym celu należy skorzystać z narzędzia repadmin:
    1. repadmin /showrepl
    2. repadmin /replsummary
    3. repadmin /kcc *
  1. Ostatnim, zalecanym krokiem jest odłączenie publicznego adresu IP od maszyny wirtualnej zapasowego kontrolera domeny.

Autor: Bartłomiej Bojarski

, , , ,