活动目录AD(Active Directory)是微软服务的核心组件。AD能实现高效管理,例如批量管理用户、部署应用和更新补丁等。许多微软组件(例如Exchange)和故障转移群集也需要AD域环境。本文以Windows Server 2012 R2 Datacenter操作系统为例,介绍如何搭建AD域。

前提条件

  • 安装者必须拥有管理员权限。
  • 安装分区必须为NTFS分区。
  • 实例必须支持DNS服务。
  • 实例必须支持TCP/IP协议,并且需要有固定私网IP地址。
    说明 建议使用固定IP地址,防止重启实例后IP地址发生变化。本文采用的是专有网络VPC,手动修改IP地址会导致IP失效。

背景信息

  • 名词解释:
    • DC:Domain Controllers,域控制器
    • DN:Distinguished Name,识别名
    • OU:Organizational Unit,组织单位
    • CN:Canonical Name,正式名称
    • SID:Security Identifier,安全标识符
  • 实例组网信息:
    • 网络类型:专有网络VPC
    • 交换机私网网段:192.168.100.0/24
    • 是否启用网关:是
      VPC组网
  • 域名信息:
    • 域名:lyonz.com
    • DC:192.168.100.105
    • 需要加入域的客户端(Client)IP地址:192.168.100.106
      域名信息

注意事项

  • 关于域控:
    • 如果您使用自定义镜像创建QVM实例部署域控制器,必须按照本文中的步骤修改SID。如果您使用公共镜像,已经默认修改了SID,无需手动修改。
    • 七牛云不推荐您使用已有的域控制器创建自定义镜像来部署新的域控。如果必须使用,请注意新建实例的主机名(hostname)和创建自定义镜像之前实例的主机名必须保持一致,否则可能会报错服务器上的安全数据库没有此工作站信任关系;您也可以在创建实例后修改成相同的主机名,解决此问题。
  • 关于客户端:七牛云不推荐您使用已加入域的客户端实例来创建自定义镜像,否则新镜像创建的实例会报错服务器上的安全数据库没有此工作站信任关系。如果确实需要,建议您在创建新的自定义镜像前先退域。

操作步骤

步骤一:安装AD域控制器

  1. 远程连接QVM实例。
  2. 打开服务器管理器,在QVM实例中添加角色和功能。

    添加角色和功能
    1. 选择安装类型。

      选择安装类型
    2. 选择要安装角色和功能的服务器。

      选择要安装角色和功能的服务器
    3. 选择要安装在服务器上的角色。

      选择要安装在服务器上的角色
  3. 将此服务器提升为域服务器。

    将此服务器提升为域服务器
    1. 部署配置。

      部署配置
    2. 配置域服务器参数。

      配置域服务器参数
    3. 配置DNS选项。

      配置DNS选项
    4. 配置NetBIOS域名。

      配置NetBIOS域名
    5. 检查并确认您的选择。

      检查并确认您的选择
    6. 单击下一步
    7. 单击安装,开始安装AD域服务器。

      开始安装AD域服务器
      安装完成,如下图所示。
      安装完成,如下图所示

步骤二:修改客户端的SID

  1. 下载修改客户端SID的PowerShell脚本。
  2. 打开CMD,输入powershell切换至Windows PowerShell界面。
    说明 如果您的实例操作系统是64位,则不能使用32位的PowerShell(即Windows PowerShell (x86)),否则会报错。
  3. 切换至脚本存储的路径,执行如下命令,查看脚本工具说明。
    .\AutoSysprep.ps1 -help
  4. 执行如下命令,服务器会重新初始化SID。
    .\AutoSysprep.ps1 -ReserveHostname -ReserveNetwork -SkipRearm -PostAction "reboot"
    初始化完成后,会重启实例,您需要注意以下事项。
    • 实例IP地址会从DHCP变成固定IP地址。您可以重新改成DHCP,可以直接修改专有网络中QVM实例的私有IP,也可以通过更改QVM实例所属的交换机来更改QVM实例的私有IP。。
      重新改成DHCP
    • 初始化SID后,云服务器防火墙的配置被修改成微软的默认配置,导致云服务器无法Ping通。您需要关闭防火墙来宾或公用网络,或者放行需要开放的端口。下图表示防火墙来宾或公用网络的状态是已连接。
      来宾或公用网络
  5. 关闭来宾或公用网络防火墙。

    关闭来宾或公用网络防火墙
    关闭后,可以Ping通服务器。
    PING通服务器示意图

步骤三:客户端加入AD域

您可以根据业务需求修改主机名和DNS指向DC的IP地址。

  1. 修改DNS服务器地址。

    修改DNS服务器地址
  2. 检查是否能Ping通DNS服务器IP地址。

    PING通DNS服务器的地址
  3. 修改主机名并加入AD域。

    修改主机名并加入AD域