活動目錄AD(Active Directory)是由微軟開發的目錄服務技術,用於管理和組織網路中的使用者、電腦和其他資源,提供身分識別驗證、授權及目錄服務。域是Active Directory的基本單位,作為一個邏輯組,域內的所有電腦、使用者及其他對象共用相同的原則設定和安全性原則等。本文以Windows Server 2016資料中心版作業系統為例,詳細介紹如何搭建AD域,並將用戶端加入該AD域。
準備工作
需要建立兩台ECS執行個體,其中一台ECS執行個體作為AD域的網域控制站DC(Domain Controllers),另外一台作為用戶端(Client)加入該域。關於如何建立ECS執行個體的具體操作,請參見自訂購買執行個體。
本文環境樣本資訊如下:
組網資訊:網路類型採用Virtual Private Cloud,交換器的私人網段為172.31.0.0/16。
網域名稱資訊:AD域的根網域名稱資訊,樣本網域名稱為example.com。
ECS執行個體IP資訊:作為DC的ECS執行個體IP地址為172.31.106.88,作為用戶端的ECS執行個體IP地址為172.31.106.87。
重要如果進行了搭建AD域的操作,請保證相關的ECS執行個體始終使用相同的IP地址,否則IP地址變化會導致訪問異常。
步驟一:部署AD網域控制站
阿里雲不推薦您使用已有的網域控制站建立自訂鏡像來部署新的域控。如果必須使用,請注意建立執行個體的主機名稱(hostname)和建立自訂鏡像之前執行個體的主機名稱必須保持一致;您也可以在建立執行個體後修改成相同的主機名稱,解決此問題。
遠端連線作為網域控制站的ECS執行個體。
具體操作,請參見串連執行個體。
開啟伺服器管理員。
在案頭左下角單擊表徵圖,在搜尋方塊輸入
伺服器管理員
,然後單擊伺服器管理員。在伺服器管理員中,為伺服器添加角色和功能。
本文以將AD網域服務和DNS服務部署在同一台伺服器上為例,操作步驟如下:
重要除額外說明的配置外,部分配置步驟已省略,配置時保持預設配置,單擊下一步即可。
單擊添加角色和功能。
選擇安裝類型。
選擇要安裝角色和功能的伺服器。
選中要安裝在伺服器上的角色,即Active Directory 網域服務和DNS 伺服器。
安裝完成後,單擊關閉。
將ECS執行個體設定為網域服務器。
重要除額外說明的配置外,部分配置步驟已省略,配置時保持預設配置,單擊下一步即可。
單擊伺服器管理員右上方的表徵圖,然後單擊將此伺服器提升為網域控制站。
在Active Directory 網域服務設定精靈中,選擇添加新林,並在根網域名稱中設定網域名稱。
本文操作中,AD域的樣本網域名稱為
example.com
。佈建網域伺服器參數,然後單擊下一步。
配置DNS選項,然後單擊下一步。
配置NetBIOS網域名稱,然後單擊下一步。
檢查並確認您的選擇,單擊下一步。
所有先決條件都檢查通過後,單擊安裝。
安裝完成後將自動重啟該伺服器,重新串連該伺服器後可以在系統配置中查看安裝結果,當您的DC相關資訊無誤時,表示安裝成功,如下圖所示。
步驟二:將用戶端加入AD域
對於作為用戶端的ECS執行個體,阿里雲不推薦您使用已加入AD域的用戶端執行個體來建立自訂鏡像。如果確實需要,建議您在建立新的自訂鏡像前先退出域。
由於使用非公用鏡像建立的ECS執行個體具有相同的安全性識別碼(Security Identifier,簡稱SID),因此當用戶端與網域控制站均源自同一自訂鏡像時,需修改用戶端的SID,具體操作請參見修改用戶端的SID。
遠端連線作為用戶端的ECS執行個體。
具體操作,請參見串連執行個體。
修改用戶端DNS伺服器位址。
將用戶端的DNS伺服器位址更改為您已部署的DNS伺服器的IP地址。由於步驟一:部署AD網域控制站已將AD網域服務和DNS服務部署在同一台ECS執行個體上(IP地址為172.31.106.88),所以,指定DNS伺服器的地址為172.31.106.88。
檢查是否能ping通DNS伺服器IP地址。
如圖所示,正常返回相關參數,表示可以ping通DNS伺服器。
將用戶端加入到AD域中。
進入控制台的系統頁面。
在案頭左下角單擊表徵圖,在搜尋方塊輸入
控制台
,並在搜尋結果中單擊控制台。選擇
。
在電腦名稱、域和工作群組設定地區右側,單擊更改設定。
在系統屬性頁面,單擊更改。
在電腦名稱/域更改頁面,添加AD域資訊。
請填寫步驟一:部署AD網域控制站設定的AD域根網域名稱,本文樣本為
example.com
。重新啟動伺服器,使修改生效。
如果您的電腦資訊中自動加上了AD域的根網域名稱,則表示該用戶端已成功加入AD域。
相關操作
修改用戶端的SID
使用Windows提供的Sysprep工具修改SID。
找到Sysprep.exe,通常位於
C:\Windows\System32\Sysprep
目錄下。以管理員權限運行Sysprep.exe,並勾選“通用”選項,點擊確定。
重啟系統後,SID將被修改,此時可以嘗試重新加入域。
如何使用AD域
在您成功在ECS執行個體上搭建AD域並將用戶端加入AD域後,可以根據實際需求進行相關操作,例如建立使用者和組織單位等。有關更多資訊,請參見Active Directory 網域服務概述。