- 04-03-2019
- Cloud
- Grzegorz
Dodatkowy kontroler domeny w chmurze
Kontroler domeny jest jednym z najważniejszych zasobów IT w naszej organizacji. Jego awaria może sparaliżować całą firmę. Czy chmura obliczeniowa może nam pomóc w uniknięciu kłopotów?
Awaria lokalnego kontrolera domeny może być brzemienna w skutki. Brak dostępu do lokalnego AD może sparaliżować całą firmę, ponieważ autentykacja użytkowników oraz autoryzacja ich do zasobów w naszej organizacji może być niemożliwa. Dlatego dobrą praktyką jest posiadanie co najmniej dwóch kontrolerów domeny w zarządzanym środowisku. W przypadku awarii jednego z nich, drugi przejmuje jego rolę. Drugi, dodatkowy kontroler domeny może być oczywiście postawiony lokalnie, we własnej firmie. Ale czy takie rozwiązanie daje maksimum bezpieczeństwa? Przecież ta sama przyczyna awarii, która unieruchomiła pierwszy kontroler domeny, może unieruchomić również drugi, stojący w naszej lokalnej infrastrukturze. Dochodzi jeszcze do tego pytanie o efektywność kosztową takiego rozwiązania.
A może zamiast drugiego kontrolera domeny działającego lokalnie, skorzystamy z możliwości jakie daje nam chmura obliczeniowa Microsoft? Jednym z najprostszych i jednocześnie najefektywniejszych rozwiązań będzie wykorzystanie do tego prostej i taniej wirtualnej maszyny działającej w Microsoft Azure.
Przygotowanie takiego środowiska nie jest skomplikowane i sprowadza się do 3 prostych kroków:
- Utwórz w Microsoft Azure maszynę wirtualną, która będzie dodatkowym kontrolerem domeny.
- Zestaw połączenie VPN IPsec między utworzoną maszyną wirtualną w Microsoft Azure i swoim środowiskiem lokalnym.
- Wypromuj wirtualną maszynę do roli kontrolera domeny w istniejącej, lokalnej domenie.
Krok 1. Utworzenie prostej maszyny wirtualnej w Microsoft Azure
- Zaloguj się do portalu Azure, wpisując w polu adresu dowolnej przeglądarki https://portal.azure.com i podaj poświadczenia swojego użytkownika i wybierz opcję +Utwórz zasób.
- W polu wyszukiwania nad listą zasobów Azure Marketplace wpisz Windows Server i potwierdź klawiszem enter. Następnie kliknij w listę rozwijaną w dolnej części okienka i wybierz obraz [smalldisk] Windows Server 2019 Datacenter. Wybór potwierdź klawiszem Utwórz.
- Utwórz nową grupę zasobów klikając w opcję Utwórz nowy i następnie podając nazwę nowej grupy zasobów np. CloudDCRG. Potwierdź klawiszem OK
- Podaj nazwę maszyny wirtualnej np. Następnie wybierz region, w którym maszyna będzie kreowana – np. Europa Północna
- Zmień rozmiar maszyny na inny, klikając opcję Zmień rozmiar
- Z listy dostępnych maszyn wirtualnych wybierz maszynę B2S a następnie potwierdź wybór klawiszem Zaznacz
- Podaj nazwę użytkownika oraz silne hasło zgodne z polityką haseł platformy Azure (12 znaków, duże i małe litery, cyfry, znaki specjalne)
- W sekcji Reguły portów wejściowych, zaznacz port RDP (3389) jako otwarty. Dzięki temu będzie możliwe zdalne zalogowanie się do maszyny wirtualnej.
- Kliknij przycisk Następny: Dyski >
- Wybierz typ dysku systemu operacyjnego. Do wyboru masz 3 opcje różniące się między sobą wydajnością i ceną np. SSD w warstwie Standardowa lub HDD w warstwie Standardowa . Następnie kliknij przycisk Następny: Sieć >
- W sekcji dotyczącej ustawień sieci pozostaw ustawienia z ich domyślnymi wartościami. Kliknij przycisk Następny: Zarządzanie >
- W sekcji dotyczącej ustawień zarządzania pozostaw domyślne wartości i kliknij przycisk Następny: Konfiguracja gościa >
- W sekcji dotyczącej ustawień konfiguracji systemu gościa pozostaw domyślne wartości i kliknij przycisk Następny: Tagi >
- W sekcji dotyczącej ustawień tagów pozostaw domyślne wartości lub zdefiniuj klucz i wartość tagu. Kliknij przycisk Następny: Przeglądanie + tworzenie >
- Sprawdź czy weryfikacja konfiguracji maszyny wirtualnej skończyła się pomyślnie a następnie kliknij Utwórz. Tworzenie maszyny potrwa kilka do kilkunastu minut.
Krok 2. Utworzenie połączenia VPN IPSec między wirtualną maszyną w Microsoft Azure a lokalną infrastrukturą.
Jak utworzyć tunel VPN między środowiskami cloud i onprem, jest opisane w tym artykule.
Krok 3. Wypromowanie wirtualnej maszyny do kontrolera domeny w istniejącej, lokalnej domenie.
- Zaloguj się do swojego konta portalu Azure (https://portal.azure.com) i w lewym menu znajdź opcję Maszyny wirtualne. Jeśli tej opcji nie będzie, skorzystaj z opcji Wszystkie usługi i tam znajdź Maszyny wirtualne.
- Z listy wybierz maszynę wirtualną zapasowego kontrolera domeny
- Przejdź do ustawień sieci wirtualnego interfejsu sieciowego.
- Wybierz wirtualny interfejs sieciowy należący do maszyny wirtualnej zapasowego kontrolera domenowego.
- W lewym menu wybierz opcję Serwery DNS, a następnie zmień ustawienia serwerów DNS na Niestandardowe i podaj adres IP podstawowego kontrolera domeny w infrastrukturze lokalnej. Ustawienia potwierdź klawiszem Pamiętaj, aby po tej czynności wykonać restart maszyny wirtualnej zapasowego kontrolera domeny.
- Po restarcie maszyny wirtualnej zapasowego kontrolera domeny, zaloguj się do niego zdalnie z wykorzystaniem protokołu RDP.
- Po zalogowaniu się, korzystając z Managera serwera dodaj nową rolę
- Postępując zgodnie z zaleceniami kreatora, dodaj rolę Active Directory Domain Services. Wybór potwierdź klawiszem Next
- Dalej postępuj zgodnie z podpowiedziami kreatora, nie zmieniając ustawień domyślnych. Klikaj klawisz Next
- Zanzacz opcję Restart the destination server automatically if required i potwierdź klawiszem Instalacja trwa chwilę.
- Po zakończeniu instalacji kliknij Close
- Po zastawianiu roli ADDS wróć do managera serwera i dokończ instalację promując wirtualną maszynę do roli kontrolera domeny za pomocą exe
- Zapasowy kontroler domeny dodaj do istniejącej domeny podając jej pełna nazwę i klikając klawisz Następnie podaj poświadczenia administratora domeny i kliknij OK
- Wskaż właściwą domenę i potwierdź klawiszem OK
- Do zainstalowania wybierz opcję DNS i GC oraz definiujemy hasło do DSRM
- Pozostałe opcje zostaw w ustawieniach domyślnych, klikając Next
- Kończąc promowanie zapasowego kontrolera domeny kliknij Install
- Po zakończeniu instalacji, maszyna wirtualna zapasowego kontrolera domeny zrestartuje się.
- Po restarcie zapasowego kontrolera domeny musimy sprawdzić czy wszystkie połączenia pomiędzy kontrolerami się utworzyły oraz czy replikacja przebiegła pozytywnie. W tym celu należy skorzystać z narzędzia repadmin:
- repadmin /showrepl
- repadmin /replsummary
- repadmin /kcc *
- Ostatnim, zalecanym krokiem jest odłączenie publicznego adresu IP od maszyny wirtualnej zapasowego kontrolera domeny.
Autor: Bartłomiej Bojarski