全部產品
Search
文件中心

Elastic Compute Service:在Windows執行個體上搭建AD域並將用戶端加入AD域

更新時間:Nov 19, 2024

活動目錄AD(Active Directory)是由微軟開發的目錄服務技術,用於管理和組織網路中的使用者、電腦和其他資源,提供身分識別驗證、授權及目錄服務。域是Active Directory的基本單位,作為一個邏輯組,域內的所有電腦、使用者及其他對象共用相同的原則設定和安全性原則等。本文以Windows Server 2016資料中心版作業系統為例,詳細介紹如何搭建AD域,並將用戶端加入該AD域。

準備工作

需要建立兩台ECS執行個體,其中一台ECS執行個體作為AD域的網域控制站DC(Domain Controllers),另外一台作為用戶端(Client)加入該域。關於如何建立ECS執行個體的具體操作,請參見自訂購買執行個體

本文環境樣本資訊如下:

  • 組網資訊:網路類型採用Virtual Private Cloud,交換器的私人網段為172.31.0.0/16。

  • 網域名稱資訊:AD域的根網域名稱資訊,樣本網域名稱為example.com。

  • ECS執行個體IP資訊:作為DC的ECS執行個體IP地址為172.31.106.88,作為用戶端的ECS執行個體IP地址為172.31.106.87。

    重要

    如果進行了搭建AD域的操作,請保證相關的ECS執行個體始終使用相同的IP地址,否則IP地址變化會導致訪問異常。

步驟一:部署AD網域控制站

重要

阿里雲不推薦您使用已有的網域控制站建立自訂鏡像來部署新的域控。如果必須使用,請注意建立執行個體的主機名稱(hostname)和建立自訂鏡像之前執行個體的主機名稱必須保持一致;您也可以在建立執行個體後修改成相同的主機名稱,解決此問題。

  1. 遠端連線作為網域控制站的ECS執行個體。

    具體操作,請參見串連執行個體

  2. 開啟伺服器管理員。

    在案頭左下角單擊搜尋.jpg表徵圖,在搜尋方塊輸入伺服器管理員,然後單擊伺服器管理員開啟伺服器管理員.png

  3. 伺服器管理員中,為伺服器添加角色和功能。

    本文以將AD網域服務和DNS服務部署在同一台伺服器上為例,操作步驟如下:

    重要

    除額外說明的配置外,部分配置步驟已省略,配置時保持預設配置,單擊下一步即可。

    1. 單擊添加角色和功能添加角色和功能.png

    2. 選擇安裝類型。安裝類型.png

    3. 選擇要安裝角色和功能的伺服器。

      選擇伺服器.png

    4. 選中要安裝在伺服器上的角色,即Active Directory 網域服務DNS 伺服器

      勾選伺服器角色.png

    5. 安裝完成後,單擊關閉

      安裝成功.png

  4. 將ECS執行個體設定為網域服務器。

    重要

    除額外說明的配置外,部分配置步驟已省略,配置時保持預設配置,單擊下一步即可。

    1. 單擊伺服器管理員右上方的警告圖示.png表徵圖,然後單擊將此伺服器提升為網域控制站提升為網域控制站.png

    2. Active Directory 網域服務設定精靈中,選擇添加新林,並在根網域名稱中設定網域名稱。

      本文操作中,AD域的樣本網域名稱為example.com根網域名稱.png

    3. 佈建網域伺服器參數,然後單擊下一步佈建網域伺服器參數.png

    4. 配置DNS選項,然後單擊下一步配置DNS選項.png

    5. 配置NetBIOS網域名稱,然後單擊下一步配置NetBIOS網域名稱.png

    6. 檢查並確認您的選擇,單擊下一步確認選擇.png

    7. 所有先決條件都檢查通過後,單擊安裝單擊安裝.png

      安裝完成後將自動重啟該伺服器,重新串連該伺服器後可以在系統配置中查看安裝結果,當您的DC相關資訊無誤時,表示安裝成功,如下圖所示。查看DC安裝結果.png

步驟二:將用戶端加入AD域

重要
  • 對於作為用戶端的ECS執行個體,阿里雲不推薦您使用已加入AD域的用戶端執行個體來建立自訂鏡像。如果確實需要,建議您在建立新的自訂鏡像前先退出域。

  • 由於使用非公用鏡像建立的ECS執行個體具有相同的安全性識別碼(Security Identifier,簡稱SID),因此當用戶端與網域控制站均源自同一自訂鏡像時,需修改用戶端的SID,具體操作請參見修改用戶端的SID

  1. 遠端連線作為用戶端的ECS執行個體。

    具體操作,請參見串連執行個體

  2. 修改用戶端DNS伺服器位址。

    將用戶端的DNS伺服器位址更改為您已部署的DNS伺服器的IP地址。由於步驟一:部署AD網域控制站已將AD網域服務和DNS服務部署在同一台ECS執行個體上(IP地址為172.31.106.88),所以,指定DNS伺服器的地址為172.31.106.88。填寫DNS伺服器位址.png

  3. 檢查是否能ping通DNS伺服器IP地址。

    如圖所示,正常返回相關參數,表示可以ping通DNS伺服器。Ping通DNS.png

  4. 將用戶端加入到AD域中。

    1. 進入控制台的系統頁面。

      1. 在案頭左下角單擊搜尋.jpg表徵圖,在搜尋方塊輸入控制台,並在搜尋結果中單擊控制台

      2. 選擇系統和安全 > 系統

    2. 電腦名稱、域和工作群組設定地區右側,單擊更改設定更改設定.png

    3. 系統屬性頁面,單擊更改單擊更改.png

    4. 電腦名稱/域更改頁面,添加AD域資訊。

      請填寫步驟一:部署AD網域控制站設定的AD域根網域名稱,本文樣本為example.com添加AD域資訊.png

    5. 重新啟動伺服器,使修改生效。

    如果您的電腦資訊中自動加上了AD域的根網域名稱,則表示該用戶端已成功加入AD域。成功加入AD域.png

相關操作

修改用戶端的SID

使用Windows提供的Sysprep工具修改SID。

  1. 找到Sysprep.exe,通常位於C:\Windows\System32\Sysprep目錄下。

  2. 以管理員權限運行Sysprep.exe,並勾選“通用”選項,點擊確定。

  3. 重啟系統後,SID將被修改,此時可以嘗試重新加入域‌。