Autore: Nicola Ferrini
Da qualche settimana è disponibile in Preview un nuovo servizio, a mio avviso è rivoluzionario, chiamato Azure AD Domain Services, che permette di creare due domain controller in Azure che posso essere o Cloud-only oppure si possono sincronizzare con la nostra Active Directory on-premises. La rivoluzione consiste nel non dover più creare, e quindi gestire, i domain controller all’interno di macchine virtuali create su Azure, sfruttando la modalità IaaS, ma lasciare l’incombenza a Microsoft, che provvederà anche ad offrire una delle funzionalità più importanti per la gestione di un dominio: le Group Policy.
Oggetto di questo articolo è la creazione di un’infrastruttura di Azure AD Domain Services in modalità Cloud-Only. Questo significa che la nostra infrastruttura On-Premises non avrà dei domain controller. La nostra infrastruttura verrà poi collegata ad una Virtual Network e quindi potremo collegare e joinare le nostre macchine ai domain controller che verranno creati su Azure, come mostrato in figura 1.
Figura 1 – Azure AD Domain Services in modalità Cloud-only
Dopo esservi collegati al portale https://manage.windowsazure.com selezionate il nodo Active Directory nel riquadro sinistro e create una nuova directory oppure utilizzate una già esistente.
A questo punto dovrete creare un gruppo amministrativo nel tenant di Azure Active Directory. Questo gruppo amministrativo deve chiamarsi esattamente AAD DC Administrators. Ai membri di questo gruppo verranno concessi privilegi di amministratore per i computer aggiunti al dominio di Azure AD Domain Services che verrà successivamente configurato, come mostrato in figura 2.
Figura 2 – Creazione del gruppo AAD DC Administrators
Dopo aver creato il gruppo, fate clic sul nome del gruppo per visualizzarne le proprietà e sul pulsante Add Users, per aggiungere utenti come membri di questo gruppo.
Per abilitare il servizio Azure AD Domain Services è necessario collegarlo ad una Virtual Network. Se non avete una Virtual Network, dovete prima crearla. Per maggiori informazioni sulle Virtual Networks e su come crearle, potete utilizzare la pagina http://www.azurecommunity.it/2013/11/19/creare-un-ambiente-iaas-in-windows-azure/
A questo punto siete pronti per abilitare i Domain Services. Per farlo vi basta cliccare sul pulsante Configure del tenant di Azure Active Directory ed inserire i parametri, come mostrato in figura 3.
Figura 3 – Abilitazione dei Domain Services con scelta dei parametri
Nel menù a tendina DNS Domain Name of Domain Services è possibile scegliere tra i seguenti parametri:
- Il nome di dominio predefinito della directory verrà selezionato per default
- Nell’elenco sono contenuti tutti i domini che sono stati configurati per la directory di Azure AD, inclusi i domini verificati e non verificati configurati nella scheda ‘Domains’
- È anche possibile aggiungere, digitandolo, un nome di dominio personalizzato
Dopo aver selezionato la Virtual Network che intendete utilizzare, fate clic su Save. Nella pagina verrà visualizzato lo stato Pending. La procedura richiede diversi minuti (fino a mezz’ora) per ogni domain controller creato. Appena verrà creato il primo domain controller, apparirà il suo indirizzo IP, come mostrato in figura 4. Successivamente (dopo altri 30 minuti circa) apparirà anche il secondo IP.
Figura 4 – Creazione del primo domain controller su Azure AD Domain Services
A questo punto potete aggiornare le impostazioni DNS per la rete virtuale, inserendo i due indirizzi che sono stati rilasciati per gli Azure AD Domain Services, come mostrato nella figura 5.
Figura 5 – Configurazione della Virtual Network con i nuovi DNS
Dopo aver abilitato Azure AD Domain Services, il passaggio successivo prevede di abilitare la sincronizzazione delle password. Ciò consente agli utenti di accedere al dominio usando le credenziali aziendali. I passaggi sono diversi a seconda che l’organizzazione sia un tenant di Azure AD basato solo sul cloud o sia impostata per la sincronizzazione con la directory on-premises tramite Azure AD Connect. Nel mio caso voglio utilizzare una configurazione Cloud-Only.
Per la configurazione Cloud-Only gli utenti dovranno necessariamente modificare le loro password. Questa operazione attiva la generazione in Azure AD degli hash delle credenziali richiesti da Azure AD Domain Services per l’autenticazione Kerberos. Per cambiare le password gli utenti possono collegarsi all’indirizzo http://myapps.microsoft.com e dalla scheda Profilo possono cliccare su Cambia password, come mostrato nella figura 6.
Figura 6 – Cambio password per gli utenti di Azure AD
Dopo qualche minuto avverrà la sincronizzazione del nuovo HASH con i domain controller degli Azure AD Domain Services e finalmente sarà possibile joinare le macchine al dominio e loggarsi.
Nel mio laboratorio ho una connessione Site-to-Site con la Virtual Network che abbiamo usato per gli Azure AD Domain Services. Utilizzando un utente che ho inserito nel gruppo AAD DC Administrators, ho joinato una macchina creata con Hyper-V alla directory demolab.it che ho associato agli Azure AD Domain Services, come mostrato nella figura 7.
Figura 7 – Join al dominio di una macchina on-prem
Dopo aver riavviato la macchina ed essermi loggato con le credenziali dell’utente appartenente al gruppo degli AAD DC Administrators, ho installato le console dei servizi di Active Directory e delle Group Policy, in modo tale da poter amministrare le funzionalità offerte dal nuovo dominio. Nella console di Active Directory Users and Computers ci sono 2 computer, di cui uno si trova On-premises (AAD-SRV2) e l’altro è in Azure (AAD-SRV1), collegato alla Virtual Network, come mostrato nella figura 8. Questo vuol dire che posso joinare tutte le macchine della mia infrastruttura, sia quelle on-prem che quelle nel cloud.
Figura 8 – Console di AD Users and Computers
Nella Group Policy Management console si vedono le 4 GPO create di Default, come mostrato nella figura 9.
Figura 9 – Group Policy Management console
Al momento non è possibile creare delle nuove GPO, ma è solo possibile modificare quelle esistenti.
Come detto inizialmente, questo nuovo tipo di servizio apre nuovi scenari e consente alle piccole aziende di eliminare la presenza locale di un elemento fondamentale per il corretto funzionamento di un’infrastruttura IT, spostando il tutto all’intero di una struttura avanzata come Microsoft Azure. Sicuramente in futuro ci saranno altre novità in merito ad AADDS, quindi non ci resta che provare la soluzione ed attendere.
Per maggiori informazioni sugli Azure AD Domain Services consultate gli articoli:
https://azure.microsoft.com/it-it/documentation/articles/active-directory-ds-overview/
https://azure.microsoft.com/it-it/documentation/articles/active-directory-ds-getting-started/