ECS实例搭建Windows系统AD域
更新时间:2020-04-15 14:26:38
活动目录AD(Active Directory)是微软服务的核心组件。AD能实现高效管理,例如批量管理用户、部署应用和更新补丁等。许多微软组件(例如Exchange)和故障转移群集也需要AD域环境。本文以Windows
Server 2012 R2 Datacenter操作系统为例,介绍如何搭建AD域。
前提条件
- 已注册阿里云账号。如还未注册,请先完成账号注册。
- 安装者必须拥有管理员权限。
- 安装分区必须为NTFS分区。
- 实例必须支持DNS服务。
- 实例必须支持TCP/IP协议,并且需要有固定私网IP地址。
说明 建议使用固定IP地址,防止重启实例后IP地址发生变化。本文采用是阿里云VPC网络,手动修改IP地址会导致IP失效。
背景信息
- 名词解释:
- DC:Domain Controllers,域控制器
- DN:Distinguished Name,识别名
- OU:Organizational Unit,组织单位
- CN:Canonical Name,正式名称
- SID:Security Identifier,安全标识符
- 关于域控:
- 如果您使用自定义镜像创建ECS实例部署域控制器,必须提前修改SID,请参见步骤二:修改客户端的SID。
说明 由于官方镜像已经修改了SID,无需此操作。
- 阿里云不支持也不推荐您使用已有的域控制器创建自定义镜像来部署新的域控。如果确实需要,新建实例的主机名(hostname)和创建自定义镜像之前实例的主机名必须保持一致,否则可能会报以下错误。您也可以在创建实例后修改成相同的主机名,解决此问题。
服务器上的安全数据库没有此工作站信任关系
- 如果您使用自定义镜像创建ECS实例部署域控制器,必须提前修改SID,请参见步骤二:修改客户端的SID。
- 关于客户端:阿里云不支持也不推荐您使用已加入域的客户端实例来创建自定义镜像,否则新镜像创建的实例会报以下错误。如果确实需要,建议您在创建新的自定义镜像前先退域。
服务器上的安全数据库没有此工作站信任关系
- 实例组网信息:
- 网络类型:专有网络VPC
- 交换机私网网段:192.168.100.0/24
- 是否启用网关:是
- 域名信息:
- 域名:lyonz.com
- DC:192.168.100.105
- 需要加入域的客户机(Client)IP地址:192.168.100.106
操作步骤
通过Windows Server 2012实例搭建AD域的步骤如下:
步骤一:安装AD域控制器
- 打开服务器管理器,在ECS实例中添加角色和功能。
- 选择安装类型。
- 选择要安装角色和功能的服务器。
- 选择要安装在服务器上的角色。
- 选择安装类型。
- 将此服务器提升为域服务器。
- 部署配置。
- 配置域服务器参数。
- 配置DNS选项。
- 配置NetBIOS域名。
- 检查并确认您的选择。
- 单击安装,开始安装AD域服务器。
安装完成,如下图所示。
- 部署配置。
步骤二:修改客户端的SID
- 执行如下命令,服务器会重新初始化SID。
.AutoSysprep.ps1 -ReserveHostname -ReserveNetwork -SkipRearm -PostAction "reboot"初始化完成后,会重启实例,您需要注意以下事项。
- 实例IP地址会从DHCP变成固定IP地址。您可以重新改成DHCP,请参见修改私网IP地址。
- 初始化SID后,云服务器防火墙的配置被修改成微软的默认配置,导致云服务器无法PING通。您需要关闭防火墙来宾或公用网络,或者放行需要开放的端口。下图表示防火墙来宾或公用网络的状态是已连接。
- 实例IP地址会从DHCP变成固定IP地址。您可以重新改成DHCP,请参见修改私网IP地址。
- 关闭来宾或公用网络防火墙。
关闭后,可以PING通服务器。
步骤三:客户端加入AD域
您可以根据业务需求修改主机名和DNS指向DC的IP地址。
- 修改DNS服务器地址。
- 检查是否能PING通DNS服务器IP地址。
- 修改主机名并加入AD域。
