[Azure Domain Services] Partie 1 : création du domaine

Dans l'article précédent :  « [AD DS / Azure AD / Azure AD DS] Comprendre les différences », j'ai essayé d'expliquer de manière succincte les différences entre Azure Active Directory et Azure Domain Services (Azure AD DS). La première qui est du type Software As A Service, on pourrait même dire « IDdentity As A Service », vous permet de gérer des utilisateurs, des équipements, des groupes, des applications, au travers d'une interface dédiée à ce but, sans vous préoccuper de la gestion de serveurs, d'OS ou autres considérations.

Elle permet d'utiliser des mécanismes d'authentification modernes liés à la fédération d'identité qui facilite le partenariat et la collaboration dans le cloud. L'offre Office 365 est fortement liée à Azure AD et vous avez sans doute déjà installé le connecteur Azure AD Connect, pour synchroniser vos comptes de votre domaine local vers le cloud. Si vous ne voyez pas de quoi je parle, vous pouvez consulter les liens suivants :

Synchroniser AD avec Azure Active Directory (Introduction)

La deuxième solution du type Platform As A Service, vous permet de gérer un annuaire Active Directory sans avoir à gérer les contrôleurs de domaines. Dans ce scénario, vous allez mettre en place un cloud privé dans Azure pour héberger vos contrôleurs de domaine et vos serveurs. Vous administrez les OS de vos serveurs membres et les applicatifs. Par contre, vous n'aurez pas à vous préoccuper de vos contrôleurs de domaine et de leurs mises à jour. Vous disposerez des consoles classiques, « Utilisateurs et Ordinateurs AD », « Domaine et Approbations ». Vous pourrez gérer vos stratégies de groupe contrairement à Azure AD.

Dans cette approche, vos contrôleurs de domaine ne sont plus dans votre LAN. Vos postes de travail doivent pouvoir les joindre. Azure propose deux options pour gérer les connexions entre le réseau de votre entreprise et votre environnement privé dans le cloud Azure. La première option est la mise en œuvre d'un VPN site à site IPSEC entre votre routeur sur site et Azure. L'autre option est de passer par une offre comme Orange Business Service, pour créer une connexion équivalente au MPLS avec Azure ExpressRoute.

Avant de créer notre domaine Azure AD DS, nous allons créer un groupe de ressource dédié à notre environnement. Un groupe de ressource permet de grouper les différents éléments d'un service (VM, Applications, Azure Domain Services, Réseau, …) afin d'en déléguer l'administration à une équipe. Un groupe de ressource est également lié à la région et donc aux différents centres de données qui vont héberger l'environnement.

Après avoir créé le groupe de ressource, nous allons créer notre domaine Active Directory. Dans « Tous les services », rechercher « Domain Services ».

Dans « Azure AD Domain Services », cliquez sur créer.

Dans la première partie, nous allons créer un domaine AD, avec comme nom DNS un sous domaine de notre domaine public, qui ne rentre pas en conflit avec un nom de domaine DNS existant. Nous sélectionnons également l'abonnement et le groupe de ressource auquel il appartient. La zone géographique proposée est liée au groupe de ressource.

 

Dans la deuxième partie nous allons créer un LAN virtuel dans le cloud Microsoft. Les contrôleurs de domaine que nous ne gérons pas seront hébergé dans ce LAN.

Nous créons un sous-réseau « 10.0.1.0/24 » dans l'espace d'adressage privée « 10.0.0.0/16 ». Il ne sera pas possible de changer de LAN pour le service « Azure Domain Services » après la création.

 

Dans l'étape 3, nous définissons des comptes de Azure Active Directory qui seront membres du groupe « AAD DC Administrators » et qui nous permettront d'administrer le domaine.

 

Dans la 4ème étape, nous allons définir si nous souhaitons synchroniser tous les comptes de « Azure Active Directory » vers notre domaine privé « Azure AD Domain Services ». Par rapport à « Azure AD Connect » la synchronisation est inversée. Si vous utilisez l'option « Tout » proposé par défaut, vous pourrez créer vos utilisateurs dans « Azure AD » et ils seront ajoutés automatiquement dans votre domaine. Nous verrons également qu'il est possible de créer des utilisateurs directement dans le domaine « Azure AD Domain Services ». Si vous choisissez « tout », il ne sera pas possible de le changer sans refaire le domaine.

Dans la partie 5 « Résumé », il suffit de cliquer sur « OK » pour créer le domaine.

Vous pouvez suivre l'évolution de la création de votre domaine. Prévoyez 30 minutes environ.

Dans le prochain article nous verrons comment créer un serveur membre du domaine sur lequel les outils d'administration seront installés.

Tags: 

Theme: 

Annee: