La gestione degli ambienti ibridi è sempre più cosa frequente all’interno delle aziende ed in alcuni casi, per le piccole aziende queste soluzioni sono perfette per iniziare un processo di migrazione verso il cloud che porta una riduzione di costi e soprattutto aumentare la continuità di servizio. Azure Active Directory Domain Services va sicuramente in questa direzione, ovvero supportare modelli IaaS (le classiche macchine virtuali) che hanno al loro interno applicativi che necessitano della classica autenticazione AD o che sono troppo strutturati per girare in modalità PaaS o SaaS.
Per chi ancora non conoscesse il servizio, Azure AD Domain Services permette di creare due domain controller all’interno di Azure che posso essere o Cloud-only oppure si possono sincronizzare con la nostra Active Directory on-premises. La rivoluzione consiste nel non dover più creare, e quindi gestire, i domain controller all’interno di macchine virtuali create su Azure, sfruttando la modalità IaaS, ma lasciare l’incombenza a Microsoft. Azure ADDS può essere usato in modalità Hybrid, sfruttando la sync con Azure AD Connect, oppure Cloud-Only, rimanendo allineato ad Azure Active Directory. E’ bene considerare che in entrambe le soluzioni, questo servizio non è integrabile con una propria infrastruttura Active Directory nè tanto meno non è possibile aggiungere Domain Controller in modo “indipendente”.
Da ormai qualche mese il servizio è stato migrato all’interno di Azure Resource Manager, andando a completare la migrazione di tutti i servizi all’interno del nuovo portale. Il supporto ad ARM equivale a dare il supporto anche alla parte di networking ed alle macchine virtuali di nuova generazione.
Creazione Domain Services
La creazione è molto semplice e, come sempre, parte dalla ricerca del componente all’interno del Marketplace – figura 2.
Figura 2 – Creazione Servizio
La configurazione è basata sostanzialmente su due passaggi: configurazione del nome dominio, configurazione rete.
Nel primo caso, bisogna inserire il nome che si vorrà utilizzare per l’autenticazione – figura 3.
Figura 3 – Configurazione Dominio
Ricordate che l’UPN specificato deve essere configurato all’interno dei vari utenti per autenticarsi.
La rete sarà utilizzata da Azure AD Domain Services per mettersi in collegamento con le varie macchine virtuali, o risorse esterne, che devono autenticarsi al servizio AD – figura 4. Chiaramente l’oggetto deve essere già stato creato in precedenza.
Figura 4 – Selezione Rete
Il tempo di creazione è di circa 30 minuti, in cui verranno creati due Domain Controller. Una volta terminata l’operazione, il dominio sarà gestibile – figura 5.
Figura 5 – Configurazione Azure ADDS
A differenza del passato, in modalità ARM è possibile visualizzare le risorse collegate alle network e questo significa poter visualizzare i due Domain Controller all’interno dell’elenco dei dispositivi collegati, con gli IP pre-assegnati dal sistema – figura 6.
Figura 6 – Network Status
Sempre all’interno delle proprietà della scheda di rete utilizzata, è necessario modificare i DNS per adattarli a quelli assegnati alle due macchine AADDS – figura 7.
Figura 7 – Modifica DNS
Configurazione Domain Admin
Differentemente da uno scenario Active Directory, il servizio su Azure prevede la creazione di un gruppo di default a cui va aggiunto uno, o più, utenti capaci di gestire l’infrastruttura ed eseguire il join delle macchine. Questo gruppo prende il nome di AAD DC Administrators e lo potrete modificare all’interno della sezione Azure Active Directory.
Figura 8 – Gruppo AAD DC Administrators
L’utente inserito nel gruppo potrà essere Cloud-Only o Hybrid, ma ricordate che nel primo caso gli utenti dovranno necessariamente modificare le loro password. Questa operazione attiva la generazione in Azure AD degli hash delle credenziali richiesti da Azure AD Domain Services per l’autenticazione Kerberos. Per cambiare le password gli utenti possono collegarsi all’indirizzo http://myapps.microsoft.com e dalla scheda Profilo possono cliccare su Cambia password.
Join Domain
L’inserimento a dominio di una macchina è molto semplice e non cambia di una virgola rispetto a quanto già conosciamo. I computer possono trovarsi su Azure, oppure essere all’interno della propria infrastruttura locale; questo però richiede la presenza di una VPN Site-to-Site per mettere in collegamento i due mondi (Azure Network: Configurare una VPN Site-to-Site in Resource Manager). Ricordate che se avete creato un account apposito per la gestione di AADDS, dovrete utilizzare quest’ultimo per fare il join.
Gestione Dominio
Non avendo accesso diretto ai due Domain Controller, sarà necessario installare i componenti di Active Directory e Group Policy per poter effettuare operazioni di amministrazione – figura 9.
Figura 9 – Gestione AADDS
Conclusioni
Azure Active Directory Domain Services è la soluzione perfetta per costruire infrastrutture sul cloud, sfruttando l’integrazione con AD. Gli scenari di implementazione sono davvero tanti e grazie al lavoro del team di Azure è probabile che in futuro questa soluzione possa essere collegata ad altri servizi PaaS e SaaS.