操作指南

最佳实践

故障处理

API 文档

文档中心 > 云服务器 > 最佳实践 > 云服务器搭建 Windows 系统 AD 域

云服务器搭建 Windows 系统 AD 域

最近更新时间:2022-02-28 15:46:03

操作场景

活动目录 AD(Active Directory)是微软服务的核心组件。AD 能实现高效管理,例如批量管理用户、部署应用和更新补丁等。许多微软组件(例如 Exchange)和故障转移群集也需要 AD 域环境。本文以 Windows Server 2012 R2 数据中心版64位操作系统为例,介绍如何搭建 AD 域。

前提条件

  • 已创建两台 Windows 云服务器 CVM 实例,分别作为域控制器(DC)和客户端(Client)。如您未购买实例,请参见 快速配置 Windows 云服务器
  • 创建的实例需满足以下条件:
    • 分区为 NTFS 分区。
    • 实例支持 DNS 服务。
    • 实例支持 TCP/IP 协议。

实例网络环境

  • 组网信息:网络类型采用私有网络 VPC,交换机的私有网段为10.0.0.0/16。
  • 域名信息:示例域名为 example.com。作为 DC 的 CVM 实例 IP 地址为10.0.5.102,作为客户端的 CVM 实例 IP 地址为10.0.5.97。
    注意

    搭建 AD 域后,请确保 CVM 实例始终使用相同的 IP 地址,否则 IP 地址变化会导致访问异常。

相关概念

活动目录 AD(Active Directory)是微软服务的核心组件,相关名词概念如下:

  • DC:Domain Controllers,域控制器。
  • DN:Distinguished Name,识别名。
  • OU:Organizational Unit,组织单位。
  • CN:Canonical Name,正式名称。
  • SID:Security Identifier,安全标识符。

操作步骤

说明

不推荐使用已有的域控制器通过创建自定义镜像部署新的域控。如必须使用,请确保新建实例的主机名(hostname)和创建自定义镜像之前实例的主机名必须保持一致,否则可能会报错“服务器上的安全数据库没有此工作站信任关系”。您也可以在创建实例后修改成相同的主机名,解决此问题。

部署 AD 域控制器

  1. 登录作为 DC 的实例,详情参见 使用标准方式登录 Windows 实例
  2. 在操作系统界面,单击 ,打开服务器管理器。
  3. 单击添加角色和功能,弹出 “添加角色和功能向导” 窗口。
  4. 在“选择安装类型”界面,选择基于角色或基于功能的安装,并连续单击2次下一步。如下图所示:
  5. 在 “选择服务器角色” 界面,勾选如下图所示的 “Active Directory 域服务”及 “DNS 服务器”,并在弹出窗口中单击添加功能继续
    该步骤以将 AD 域服务和 DNS 服务部署在同一台实例上为例。
  6. 保持默认配置,连续单击4次下一步
  7. 在确认信息页面中,单击安装
    安装完成后,关闭“添加角色和功能”对话框。
  8. 在操作系统界面,单击 ,打开服务器管理器。
  9. 在服务器管理器窗口中,单击 ,选择将此服务器提升为域控制器。如下图所示:
  10. 在打开的 “Active Directory 域服务配置向导”窗口中,将“选择部署操作”设置为添加新林,输入根域名,本文以 example.com 为例,单击下一步。如下图所示:
  11. 设置目录服务还原模式(DSRM)密码,单击下一步。如下图所示:
  12. 保持默认配置,连续4次单击下一步
  13. 在“先决条件检查”中,单击安装开始安装 AD 域服务器。
    安装完成后将自动重启实例,重新连接实例后可在控制面板 > 系统和安全 > 系统中查看安装结果。如下图所示:

修改客户端 SID

参考 修改 SID 操作说明,修改作为客户端实例的 SID。

将客户端加入 AD 域

  1. 登录作为客户端的实例,详情参见 使用标准方式登录 Windows 实例
  2. 修改 DNS 服务器地址。
    1. 打开控制面板 > 网络和 Internet > 网络和共享中心,在“网络和共享中心”窗口中,单击以太网。如下图所示:
    2. 在“以太网 状态”窗口中,单击属性
    3. 在“以太网 属性”窗口中选择 “Internet 协议版本4(TCP/IPv4)”,并单击属性
    4. 在“Internet 协议版本4(TCP/IPv4)属性”窗口中,选择“使用下面的 DNS 服务器地址”,并将首选 DNS 服务器地址设置为 DC 实例的 IP 地址,本文以 10.0.5.102 为例。如下图所示:

      部署 AD 域控制器 中已将 AD 域服务和 DNS 服务部署在同一台 CVM 实例上(IP地址为10.0.5.102),故此处指定 DNS 服务器的地址为10.0.5.102。
    5. 单击确定,保存修改。
  3. 在 cmd 窗口中,执行以下命令,检查是否能 Ping 通 DNS 服务器 IP 地址。
    ping example.com
    返回结果如下图所示,说明可 Ping 通 DNS 服务器 IP 地址。
  4. 打开控制面板 > 系统和安全 > 系统,并单击“系统”窗口中的更改设置。如下图所示:
  5. 在弹出的“系统属性”窗口中,单击更改。如下图所示:
  6. 在弹出的“计算机名/域更改”窗口中,按需修改计算机名,并设置隶属于“域”为 example.com。如下图所示:
  7. 单击确定
  8. 在弹出的 “Windows 安全”窗口中,输入 DC 实例的用户名及登录密码,单击确定
    弹出如下图所示确认窗口,表示已成功加入域。
  9. 单击确定,重启实例使配置生效。
    说明

    对于作为客户端的 CVM 实例,不推荐使用已加入域的客户端实例来创建自定义镜像,否则新镜像创建的实例会报错“服务器上的安全数据库没有此工作站信任关系”。如果确实需要,建议您在创建新的自定义镜像前先退出域。

目录