活動目錄AD(Active Directory)是微軟服務的核心組件。使用AD域能實現高效管理,例如批量系統管理使用者和電腦、部署應用、更新補丁、統一檔案和資源訪問等。許多微軟組件(例如Exchange)和容錯移轉叢集也需要AD域環境。本文以Windows Server 2016資料中心版作業系統為例,介紹如何搭建AD域,並將用戶端加入該AD域。
準備工作
您需要建立ECS執行個體作為AD域的網域控制站(Domain Controllers,即DC)和用戶端(Client)。建立ECS執行個體的具體操作,請參見自訂購買執行個體。建立的ECS執行個體需要滿足以下條件:
分區為NTFS分區。
執行個體支援DNS服務。
執行個體支援TCP/IP協議。
本文以2台作業系統為Windows Server 2016的ECS執行個體分別作為網域控制站和用戶端為例進行操作,環境樣本如下:
組網資訊:網路類型採用Virtual Private Cloud,交換器的私人網段為172.31.0.0/16。
網域名稱資訊:樣本網域名稱為example.com,作為DC的ECS執行個體IP地址為172.31.106.88,作為用戶端的ECS執行個體IP地址為172.31.106.87。
重要如果進行了搭建AD域的操作,請保證相關的ECS執行個體始終使用相同的IP地址,否則IP地址變化會導致訪問異常。
步驟一:部署AD網域控制站
阿里雲不推薦您使用已有的網域控制站建立自訂鏡像來部署新的域控。如果必須使用,請注意建立執行個體的主機名稱(hostname)和建立自訂鏡像之前執行個體的主機名稱必須保持一致;您也可以在建立執行個體後修改成相同的主機名稱,解決此問題。
遠端連線作為網域控制站的ECS執行個體。
具體操作,請參見串連方式概述。
開啟伺服器管理員。
在案頭左下角單擊
表徵圖,在搜尋方塊輸入伺服器管理員,然後單擊伺服器管理員。
在伺服器管理員中,為伺服器添加角色和功能。
本文以將AD網域服務和DNS服務部署在同一台伺服器上為例,操作步驟如下:
重要除額外說明的配置外,部分配置步驟已省略,配置時保持預設配置,單擊下一步即可。
單擊添加角色和功能。
選擇安裝類型。
選擇要安裝角色和功能的伺服器。
選中要安裝在伺服器上的角色,即Active Directory 網域服務和DNS 伺服器。
安裝完成後,單擊關閉。
將ECS執行個體設定為網域服務器。
重要除額外說明的配置外,部分配置步驟已省略,配置時保持預設配置,單擊下一步即可。
單擊伺服器管理員右上方的
表徵圖,然後單擊將此伺服器提升為網域控制站。
在Active Directory 網域服務設定精靈中,選擇添加新林,並在根網域名稱中設定網域名稱。
本文操作中,AD域的樣本網域名稱為
example.com。
佈建網域伺服器參數,然後單擊下一步。
配置DNS選項,然後單擊下一步。
配置NetBIOS網域名稱,然後單擊下一步。
檢查並確認您的選擇,單擊下一步。
所有先決條件都檢查通過後,單擊安裝。
安裝完成後將自動重啟該伺服器,重新串連該伺服器後可以在系統配置中查看安裝結果,當您的DC相關資訊無誤時,表示安裝成功,如下圖所示。
(條件必選)步驟二:修改用戶端的SID
如果您使用自訂鏡像建立的ECS執行個體部署了網域控制站,需要按照本文中的操作修改用戶端的安全性識別碼(Security Identifier,即SID)。如果已經修改了SID,可以跳過該步驟。
遠端連線作為用戶端的ECS執行個體。
具體操作,請參見串連方式概述。
下載修改用戶端SID的PowerShell指令碼。
下載地址:AutoSysprep.ps1
指令碼來源:阿里雲官方
開啟CMD,輸入powershell切換至Windows PowerShell介面。
說明如果您的執行個體作業系統是64位,則不能使用32位的PowerShell(即Windows PowerShell (x86)),否則會報錯。
切換至指令碼儲存的路徑,執行如下命令,查看指令碼工具說明。
.\AutoSysprep.ps1 -help
執行如下命令,重新初始化伺服器的SID。
.\AutoSysprep.ps1 -ReserveHostname -ReserveNetwork -SkipRearm -PostAction "reboot"
初始化完成後,會自動重啟執行個體,您需要注意以下事項:
ECS執行個體的IP地址擷取方式可能會從DHCP變成固定IP地址,請確保該固定IP地址和重啟前的IP地址一致。您也可以將擷取方式改回DHCP,以自動擷取控制台中為ECS執行個體分配的主私人IP地址。
重要請不要在控制台修改ECS執行個體的主私人IP地址,否則IP地址變化會導致訪問異常。
初始化SID後,雲端服務器防火牆的配置被修改成微軟的預設配置,導致雲端服務器無法Ping通。您需要關閉防火牆來賓或公用網路,或者允許存取需要開放的連接埠。下圖表示防火牆來賓或公用網路的狀態為已串連。
開啟控制台修改防火牆設定,關閉來賓或公用網路。
關閉後,可以Ping通伺服器。
步驟三:將用戶端加入AD域
遠端連線作為用戶端的ECS執行個體。
具體操作,請參見串連方式概述。
修改DNS伺服器位址。
將用戶端的DNS伺服器位址修改為您已部署的DNS伺服器位址。由於步驟一:部署AD網域控制站已將AD網域服務和DNS服務部署在同一台ECS執行個體上(IP地址為172.31.106.88),所以,指定DNS伺服器的地址為172.31.106.88。
檢查是否能Ping通DNS伺服器IP地址。
如圖所示,正常返回相關參數,表示可以ping通DNS伺服器。
將用戶端加入到AD域中。
進入控制台的系統頁面。
在案頭左下角單擊
表徵圖,在搜尋方塊輸入控制台,並在搜尋結果中單擊控制台。選擇。
在電腦名稱、域和工作群組設定地區右側,單擊更改設定。
在系統屬性頁面,單擊更改。
在電腦名稱/域更改頁面,添加AD域資訊。
您也可以根據實際需要修改電腦名稱。您需要填寫步驟一:部署AD網域控制站設定的AD域網域名稱,本文樣本為
example.com,如圖所示。
重新啟動伺服器,使修改生效。
說明對於作為用戶端的ECS執行個體,阿里雲不推薦您使用已加入域的用戶端執行個體來建立自訂鏡像。如果確實需要,建議您在建立新的自訂鏡像前先退出域。
如果您的電腦資訊中自動加上了AD域網域名稱,則表示該用戶端已成功加入AD域。
相關操作
當您在ECS執行個體上成功搭建AD域並將用戶端加入AD域後,您可以根據實際需要進行相關操作,例如建立使用者、建立組織單位等。更多資訊,請參見Active Directory 網域服務概述。