活动目录AD(Active Directory)是微软服务的核心组件。使用AD域能实现高效管理,例如批量管理用户和计算机、部署应用、更新补丁、统一文件和资源访问等。许多微软组件(例如Exchange)和故障转移集群也需要AD域环境。本文以Windows Server 2016数据中心版操作系统为例,介绍如何搭建AD域,并将客户端加入该AD域。
准备工作
您需要创建ECS实例作为AD域的域控制器(Domain Controllers,即DC)和客户端(Client)。创建ECS实例的具体操作,请参见自定义购买实例。创建的ECS实例需要满足以下条件:
分区为NTFS分区。
实例支持DNS服务。
实例支持TCP/IP协议。
本文以2台操作系统为Windows Server 2016的ECS实例分别作为域控制器和客户端为例进行操作,环境示例如下:
组网信息:网络类型采用专有网络VPC,交换机的私有网段为172.31.0.0/16。
域名信息:示例域名为example.com,作为DC的ECS实例IP地址为172.31.106.88,作为客户端的ECS实例IP地址为172.31.106.87。
重要如果进行了搭建AD域的操作,请保证相关的ECS实例始终使用相同的IP地址,否则IP地址变化会导致访问异常。
步骤一:部署AD域控制器
阿里云不推荐您使用已有的域控制器创建自定义镜像来部署新的域控。如果必须使用,请注意新建实例的主机名(hostname)和创建自定义镜像之前实例的主机名必须保持一致,否则可能会报错服务器上的安全数据库没有此工作站信任关系;您也可以在创建实例后修改成相同的主机名,解决此问题。
远程连接作为域控制器的ECS实例。
具体操作,请参见连接方式概述。
打开服务器管理器。
在桌面左下角单击
图标,在搜索框输入服务器管理器,然后单击服务器管理器。
在服务器管理器中,为服务器添加角色和功能。
本文以将AD域服务和DNS服务部署在同一台服务器上为例,操作步骤如下:
重要除额外说明的配置外,部分配置步骤已省略,配置时保持默认配置,单击下一步即可。
单击添加角色和功能。
选择安装类型。
选择要安装角色和功能的服务器。
选中要安装在服务器上的角色,即Active Directory 域服务和DNS 服务器。
安装完成后,单击关闭。
将ECS实例设置为域服务器。
重要除额外说明的配置外,部分配置步骤已省略,配置时保持默认配置,单击下一步即可。
单击服务器管理器右上角的
图标,然后单击将此服务器提升为域控制器。
在Active Directory 域服务配置向导中,选择添加新林,并在根域名中设置域名。
本文操作中,AD域的示例域名为
example.com。
配置域服务器参数,然后单击下一步。
配置DNS选项,然后单击下一步。
配置NetBIOS域名,然后单击下一步。
检查并确认您的选择,单击下一步。
所有先决条件都检查通过后,单击安装。
安装完成后将自动重启该服务器,重新连接该服务器后可以在系统配置中查看安装结果,当您的DC相关信息无误时,表示安装成功,如下图所示。
(条件必选)步骤二:修改客户端的SID
如果您使用自定义镜像创建的ECS实例部署了域控制器,需要按照本文中的操作修改客户端的安全标识符(Security Identifier,即SID)。如果已经修改了SID,可以跳过该步骤。
远程连接作为客户端的ECS实例。
具体操作,请参见连接方式概述。
下载修改客户端SID的PowerShell脚本。
下载地址:AutoSysprep.ps1
脚本来源:阿里云官方
打开CMD,输入powershell切换至Windows PowerShell界面。
说明如果您的实例操作系统是64位,则不能使用32位的PowerShell(即Windows PowerShell (x86)),否则会报错。
切换至脚本存储的路径,执行如下命令,查看脚本工具说明。
.\AutoSysprep.ps1 -help
执行如下命令,重新初始化服务器的SID。
.\AutoSysprep.ps1 -ReserveHostname -ReserveNetwork -SkipRearm -PostAction "reboot"
初始化完成后,会自动重启实例,您需要注意以下事项:
ECS实例的IP地址获取方式可能会从DHCP变成固定IP地址,请确保该固定IP地址和重启前的IP地址一致。您也可以将获取方式改回DHCP,以自动获取控制台中为ECS实例分配的主私有IP地址。
重要请不要在控制台修改ECS实例的主私有IP地址,否则IP地址变化会导致访问异常。
初始化SID后,云服务器防火墙的配置被修改成微软的默认配置,导致云服务器无法Ping通。您需要关闭防火墙来宾或公用网络,或者放行需要开放的端口。下图表示防火墙来宾或公用网络的状态为已连接。
打开控制面板修改防火墙设置,关闭来宾或公用网络。
关闭后,可以Ping通服务器。
步骤三:将客户端加入AD域
远程连接作为客户端的ECS实例。
具体操作,请参见连接方式概述。
修改DNS服务器地址。
将客户端的DNS服务器地址修改为您已部署的DNS服务器地址。由于步骤一:部署AD域控制器已将AD域服务和DNS服务部署在同一台ECS实例上(IP地址为172.31.106.88),所以,指定DNS服务器的地址为172.31.106.88。
检查是否能Ping通DNS服务器IP地址。
如图所示,正常返回相关参数,表示可以ping通DNS服务器。
将客户端加入到AD域中。
进入控制面板的系统页面。
在桌面左下角单击
图标,在搜索框输入控制面板,并在搜索结果中单击控制面板。选择。
在计算机名、域和工作组设置区域右侧,单击更改设置。
在系统属性页面,单击更改。
在计算机名/域更改页面,添加AD域信息。
您也可以根据实际需要修改计算机名。您需要填写步骤一:部署AD域控制器设置的AD域域名,本文示例为
example.com,如图所示。
重新启动服务器,使修改生效。
说明对于作为客户端的ECS实例,阿里云不推荐您使用已加入域的客户端实例来创建自定义镜像,否则新镜像创建的实例会报错
服务器上的安全数据库没有此工作站信任关系。如果确实需要,建议您在创建新的自定义镜像前先退出域。如果您的计算机信息中自动加上了AD域域名,则表示该客户端已成功加入AD域。
相关操作
当您在ECS实例上成功搭建AD域并将客户端加入AD域后,您可以根据实际需要进行相关操作,例如创建用户、创建组织单位等。更多信息,请参见Active Directory 域服务概述。