Active Directory : comment déployer un contrôleur de domaine sur Azure ?

I. Présentation

Dans ce tutoriel, nous allons apprendre à déployer un contrôleur de domaine Active Directory sur le Cloud Azure de Microsoft. Que ce soit pour créer un nouveau domaine Active Directory ou pour ajouter un contrôleur de domaine à un domaine Active Directory existant, il y a un réel intérêt à s'appuyer sur le Cloud Azure pour bénéficier d'un contrôleur de domaine. Notamment, car on peut profiter de la haute disponibilité du Cloud.

Selon les bonnes pratiques, un environnement Active Directory doit être constitué d'au moins 2 contrôleurs de domaine. Si l'on part du principe qu'il y a un contrôleur de domaine sur votre infrastructure locale, il peut s'avérer judicieux de se tourner vers une VM Azure pour le second contrôleur de domaine.

Lors de la création d'une machine virtuelle dans Azure, il y a la possibilité d'attribuer une adresse IP publique à la VM. Je vous déconseille d'activer cette option en production. Pour que le contrôleur de domaine situé sur Azure communique avec vos serveurs on-premise, les éventuels autres contrôleurs de domaine, et vos postes de travail, il convient de monter un VPN site-à-site entre les deux infrastructures (on-premise et Azure).

Pour une utilisation en production, il faudra être vigilant au niveau des coûts, notamment les coûts liés à la machine virtuelle (type de VM, options de redondance, région, type de disques, etc...), mais aussi au tunnel VPN entre les deux infrastructures.

Dans cette démonstration, il n'est pas question du tout d'Azure AD même si l'on s'appuie sur le Cloud Azure. Ici, c'est un serveur sous Windows Server 2022 qui est mis en place, avec le rôle "ADDS", comme on le ferait sur son infrastructure locale.

II. Créer la machine virtuelle Azure

Commençons par créer la machine virtuelle dans Azure, à partir du portail d'administration : Créer > Machine virtuelle Azure.

Azure - Créer une machine virtuelle

L'assistant de création d'une nouvelle VM va démarrer, avec les différentes étapes habituelles : options de base, disques, réseau, etc... En ce qui concerne, le premier onglet nommé "De base", il y a plusieurs informations basiques à renseigner :

  • Abonnement : choix de la souscription Azure
  • Groupe de ressources : création d'un groupe de ressources pour cette machine virtuelle (ou utilisation d'un groupe existant)
  • Nom de la machine virtuelle : nom du serveur, au niveau du système et dans la console Azure
  • Région : région Azure dans laquelle déployer la VM, c'est-à-dire l'emplacement géographique
  • Options de disponibilité : redondance de la VM dans d'autres régions Azure afin d'assurer une haute disponibilité en cas de crash du datacenter. Utile pour la production
  • Type de sécurité : choisir "Lancer des machines virtuelles approuvées" permet d'activer le vTPM, le Secure Boot et la surveillance de l'intégrité
  • Image : le type de système d'exploitation, ici "Windows Server 2022 Datacenter: Azure Edition - Génération 2"
  • Architecture : x64 obligatoire pour ce système
  • Taille : le type de machines virtuelles, ce qui joue sur la quantité de RAM et de vCPU - La VM "Standard_B2s" est basique, mais suffisante pour ce type d'usage à mon sens.

Ce qui donne :

Azure - Créer une VM - Options générales

Descendez dans la page... Définissez un nom pour le compte administrateur local du serveur, ainsi que son mot de passe. Ces identifiants devront être utilisés par la suite pour se connecter sur le serveur. On veille à choisir "Aucun" pour "Ports d'entrée publics".

Azure - Créer une VM - Nom d'utilisateur

Ensuite, c'est l'étape "Disques" qui s'affiche à l'écran. Le "SSD Standard" est suffisant d'un point de vue des performances, mais Microsoft le recommande surtout pour des tests. Pour la production, c'est le "SSD Premium" qui est recommandé, à minima.

Azure - Créer une VM - Disque

Pour la partie réseau, vous pouvez créer un nouveau réseau virtuel s'il s'agit d'un nouvel environnement. En ce qui me concerne, c'est rattaché sur un réseau virtuel existant "VNET-10.10.0.0-16" dans lequel il y a un sous-réseau. Ici, on joue clairement sur la partie "réseau local" Azure.

En ce qui concerne les options "Adresse IP publique" et "Ports d'entrée publics", je vous recommande de choisir "Aucun" pour ne pas exposer la VM sur Internet. Dans un premier temps, cela peut s'avérer utile, mais veiller à désactiver ces options par la suite. L'objectif étant que le contrôleur de domaine soit joignable à partir du tunnel VPN.

Azure - Créer une VM - Options réseau

Configurez éventuellement les autres options, sinon vous pouvez poursuivre jusqu'à la fin. Au final, la machine virtuelle "AZ-ADDS" est créée :

Azure - VM - VM ADDS

III. Définir une adresse IP statique

Nous allons attribuer une adresse IP statique à nouvelle machine virtuelle, à partir de l'interface Azure : 10.10.100.201/24. Quant au serveur DNS, ce sera la même valeur : 10.10.100.201/24. J'insiste sur le fait que cette configuration s'effectue dans le portail Azure, et non dans les paramètres du système. 

Si besoin, veuillez vous référer à ce tutoriel :

Pour la configuration IP, cela donne :

Azure - ADDS - Config IP

Et, pour la partie DNS :

Azure - ADDS - Config DNS

Désormais, la machine virtuelle est accessible via cette adresse IP : on peut se connecter en RDP et vérifier son adresse IP.

ipconfig /all

Les informations correspondent bien à la configuration définie dans Azure :

Azure - ADDS - Adresse IP et DNS

IV. Installer le rôle ADDS

La machine virtuelle "AZ-ADDS" étant prête, nous pouvons déployer le rôle ADDS : Active Directory Domain Services, correspondant aux services d'annuaire Active Directory.

Au sein du "Server Manager", on clique sur "Manage" en haut à droite puis "Add Roles and Feature" pour ajouter le rôle. Un assistant s'exécute... Passez la première étape nommée "Before you begin".

À l'étape suivante, sélectionnez "Role-based or feature-based installation" et poursuivez. Passez l'étape "Select destination server" puisque nous installons sur le serveur local.

VM Azure ADDS - Select installation type

Sélectionnez le rôle "Active Directory Domain Services" et validez avec "Add Features" quand la seconde fenêtre va apparaître, au moment où vous cochez la case pour sélectionner ce rôle. Ceci va permettre de bénéficier des différents outils d'administration.

VM Azure ADDS - Select server roles

Passez l'étape "Features", puis une fois à l'étape "Active Directory Domain Services", cliquez une nouvelle fois sur "Next".

VM Azure ADDS - Active Directory Domain Services

L'installation est en cours de progression ! Patientez un instant.

VM Azure ADDS - Installation progress

Quand ce sera terminé, un avertissement s'affiche en haut à droite du gestionnaire de serveur. Cliquez dessus puis sur le bouton "Promote this server to a domain controller".

VM Azure ADDS - Promote this server to a domain controller

Un assistant va s'exécuter afin de nous permettre de créer notre domaine Active Directory. Sélectionnez "Add a new forest", car il s'agit d'un nouvel environnement. Dans le cas où vous souhaitez ajouter ce contrôleur de domaine à un domaine existant, choisissez "Add a domain controller to an existing domain".

Donnez un nom à ce domaine, par exemple "it-connect.corp" ou en utilisant un sous-domaine de votre domaine public, par exemple "corp.it-connect.fr". Poursuivez.

VM Azure ADDS - Deployment configuration

À l'étape suivante, conservez les options par défaut, car nous devons attribuer à ce serveur le rôle de "Serveur DNS". Définissez un mot de passe de récupération des services Active Directory.

VM Azure ADDS - Domain controller options

Poursuivez l'étape "DNS Options", où l'avertissement est tout à fait normal.

VM Azure ADDS - DNS Options

Choisissez un nom NetBIOS pour ce domaine, ce qui est un nom court en quelque sorte. Par exemple : IT-CONNECT.

VM Azure ADDS - NetBIOS

Passez l'étape "Paths" sans effectuer de modification, car nous conservons les paramètres par défaut pour la base Active Directory et le répertoire SYSVOL.

VM Azure ADDS - Paths

L'étape de vérification vérifie que tous les feux sont au vert pour permettre la création du domaine Active Directory et de la nouvelle forêt. Lisez les avertissements, et cliquez sur "Install" pour lancer l'installation.

VM Azure ADDS - Prerequisites Check

A la fin du processus, le serveur va redémarrer tout seul ! Il faudra s'authentifier sur votre serveur avec le compte créé initialement avec la VM Azure, sauf que désormais il s'agit du compte administrateur du domaine ! Ainsi, dans l'OU "Users", il n'y a pas de compte "Administrateur" ou "Administrator", mais un compte "florian" dans mon exemple comme j'ai choisis ce nom lors de la création. Voyez par vous-même :

Azure - ADDS - Compte admin du domaine

Dans l'OU "Domain Controllers", le contrôleur de domaine "AZ-ADDS" est visible et s'il s'agit du seul et uniquement DC de mon environnement.

Domaine AD dans Azure (VM)

V. Conclusion

Voilà, vous venez de déployer un contrôleur de domaine sur Azure avec un nouveau domaine Active Directory ! À quelques petits détails près... avec l'assistant ADDS, ce tutoriel s'applique aussi pour l'ajout d'un contrôleur de domaine à un domaine existant.

Si vous avez activé l'adresse IP publique afin d'effectuer cette configuration, pensez à désactiver cette fonction lorsque votre tunnel entre le Cloud et votre infrastructure locale sera mis en place. En attendant, vous pouvez configurer le firewall Azure pour autoriser uniquement votre adresse IP publique.

Par la suite, il conviendra de déployer un second contrôleur de domaine pour respecter la bonne pratique évoquée en début d'article. Vous devez également déclarer vos sites et vos sous-réseaux Active Directory pour rattacher chaque contrôleur de domaine sur le bon site.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5500.Voir tous les posts

3 thoughts on “Active Directory : comment déployer un contrôleur de domaine sur Azure ?

  • Bonjour florian
    Il est recommandé d’utiliser un second disque dur pour héberger la base de donnée de l’AD (ajout second disque et l’attacher et surtout : sans cache)
    Le disque c: ne doit en aucun cas servir à installer des applications ou dans ce cas une BDD

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.