You need to enable JavaScript to run this app.
导航
ECS云服务器搭建Windows系统AD域
最近更新时间:2023.12.29 16:48:21首次发布时间:2022.09.02 08:59:15

本文以Windows Server 2012 R2 数据中心版64位操作系统为例,介绍如何搭建AD域。

关于AD

活动目录AD(Active Directory)是面向Windows服务器的目录服务,存储了目录数据并且让管理员和网络用户能够轻松地查找和使用这些信息,进而实现高效安全的集中管理。
有关AD的更多信息,请参见Active Directory 域服务概述

前提条件

创建两台ECS实例,分别作为域控制器(DC)和客户端(Client)。创建的实例需为NTFS分区,且支持DNS服务和TCP/IP协议。

实例网络环境

  • 组网信息:网络类型采用私有网络 VPC,交换机的私有网段为192.168.0.0/24。
  • 域名信息:示例域名为example.com。作为DC的ECS实例IP地址为192.168.0.128,作为Client的ECS实例IP地址为192.168.0.127。

    说明

    搭建AD域后,请确保ECS实例始终使用相同的IP地址,IP地址变化会导致访问异常。

操作步骤

说明

不推荐使用已有的域控制器通过创建自定义镜像部署新的域控。如必须使用,请确保新建实例的主机名(hostname)和创建自定义镜像之前实例的主机名一致,否则可能会报错“服务器上的安全数据库没有此工作站信任关系”。您也可以在创建实例后修改成相同的主机名,解决此问题。

步骤一:部署AD域控制器

  1. 远程连接作为DC的ECS实例,详细请参见登录Windows实例

  2. 在服务器桌面,选择左下角“开始” > 服务器管理器”。

  3. 在“服务器管理器”窗口,单击“添加角色和功能”。
    alt

  4. 在弹出的“添加角色和功能向导”窗口中,单击“下一步”按钮,进入“选择安装类型”界面。

  5. 在“选择安装类型”界面中,选择“基于角色或基于功能的安装”,单击“下一步”按钮。
    alt

  6. 在“选择目标服务器”页面中,保持默认设置,单击“下一步”按钮。
    alt

  7. 在“选择服务器角色”页面中,选择要安装在服务器上的AD域服务和DNS服务。
    alt

  8. 保持默认配置,连续单击“下一步”按钮,完成角色安装。安装成功后,关闭对话框。

  9. 在“服务器管理器”页面,单击右上角三角图标,在弹出窗口中单击“将此服务器提升为域控制器”。
    alt

  10. 在AD域服务“部署配置”页面,选择“添加新林”,并填写AD域域名,单击“下一步”按钮。本文以设置example.com域名为例。
    alt

  11. 在“域控制器选项”页面,设置目录服务还原模式密码。
    alt

  12. 在“DNS选项”页面,直接单击“下一步”按钮。
    alt

  13. 在“其他选项”页面,保持默认配置,直接单击“下一步”按钮。
    alt

  14. 设置AD数据存放路径,本文以保持默认配置为例,直接单击“下一步”按钮。
    alt

  15. 在“查看选项”页面,确认配置信息,单击“下一步”按钮。
    alt

  16. 先决条件检查通过后,单击“安装”按钮,开始安装AD域服务器。
    alt
    安装完成后服务器将自动重启,重新登录该服务器后可以通过单击“控制面板>系统和安全>系统”,查看安装结果。
    alt

步骤二:修改客户端的安全标识符SID

  1. 远程连接作为Client的ECS实例,详细请参见登录Windows实例
  2. 下载sidchg工具。
  3. 打开Windows PowerShell,执行<sidchg路径> /R命令,打开sidchg工具。
    本文以sidchg工具保存在C盘桌面中,名称为sidchg64-3.0h.exe为例。
    alt
  4. 根据界面提示,输入license key或者trial key,按 Enter。Trial key可前往Stratesave官网获取。
  5. 根据界面提示,输入Y,按 Enter。
    alt
  6. 在修改SID的提示框中,单击“确定”,进行SID重置。重置过程中,系统将会被重启。
  7. 重新登录实例,在Windows PowerShell中,执行以下命令,验证SID是否已经修改。
    whoami /user
    返回如下类似信息,即为SID修改完成。
    alt

步骤三:将客户端加入AD域

  1. 远程连接作为Client的ECS实例,详细请参见登录Windows实例

  2. 修改DNS服务器地址。

    1. 打开控制面板 > 网络和 Internet > 网络和共享中心,在“网络和共享中心”窗口中,单击“network_0”。
      alt
    2. 在“network_0状态”窗口中,单击“属性”。
  3. 在“network_0属性”窗口中选择 “Internet 协议版本4(TCP/IPv4)”,并单击“属性”。

  4. 在“Internet 协议版本4(TCP/IPv4)属性”窗口中,选择“使用下面的 DNS 服务器地址”,并将首选DNS服务器地址设置为DC实例的IP地址,本文以192.168.0.128为例。

    部署AD域控制器中已经将AD域服务和DNS服务部署在同一台ECS实例上(IP地址为192.168.0.128),所以此处指定DNS服务器的地址为192.168.0.128。

    alt

    1. 单击“确定”按钮,保存修改,连续单击“关闭”,退出设置。
  5. 在Windows PowerShell中,执行以下命令,检查是否能Ping通DNS服务器IP地址。
    返回如下回显信息,即为成功Ping通DNS服务器。
    alt

  6. 打开控制面板 > 系统和安全 > 系统,并单击“系统”窗口中的“更改设置”。
    alt

  7. 在弹出的“系统属性”窗口中,单击“更改”按钮。
    alt

  8. 在弹出的“计算机名/域更改”窗口中,按需修改计算机名,并设置隶属于“域”为 example.com,单击“确定”按钮。
    alt

  9. 在弹出的“Windows 安全”窗口中,输入DC实例的用户名及登录密码,单击“确定”按钮。
    alt

  10. 弹出如下图所示确认窗口,表示已成功加入域。单击“确定”按钮,重启实例使配置生效。
    alt

说明

对于作为Client端的ECS实例,不推荐使用已加入域的Client端实例来创建自定义镜像,否则新镜像创建的实例会报错“服务器上的安全数据库没有此工作站信任关系”。如果确实需要,建议您在创建新的自定义镜像前先退出域。