Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Compute Cloud
  • Yandex Container Solution
    • Все руководства
    • Настройка синхронизации часов с помощью NTP
    • Автомасштабирование группы ВМ для обработки сообщений из очереди
    • Обновление группы ВМ под нагрузкой
    • Развертывание Remote Desktop Gateway
    • Начало работы с Packer
    • Передача логов с ВМ в Yandex Cloud Logging
    • Сборка образа ВМ с набором инфраструктурных инструментов с помощью Packer
    • Миграция в Yandex Cloud с помощью Хайстекс Акура
    • Защита от сбоев с помощью Хайстекс Акура
    • Резервное копирование ВМ с помощью Хайстекс Акура
    • Развертывание отказоустойчивой архитектуры с прерываемыми ВМ
    • Настройка отказоустойчивой архитектуры в Yandex Cloud
    • Создание триггера для бюджетов, который вызывает функцию для остановки ВМ
    • Создание триггеров, которые вызывают функции для остановки ВМ и отправки уведомлений в Telegram
    • Создание веб-приложения на Python с использованием фреймворка Flask
    • Создание SAP-программы в Yandex Cloud
    • Развертывание сервера Minecraft в Yandex Cloud
    • Автоматизация сборки образов с помощью Jenkins и Packer
    • Создание тестовых виртуальных машин через GitLab CI
    • Высокопроизводительные вычисления (HPC) на прерываемых ВМ
    • Настройка SFTP-сервера на Centos 7
    • Развертывание параллельной файловой системы GlusterFS в высокодоступном режиме
    • Развертывание параллельной файловой системы GlusterFS в высокопроизводительном режиме
    • Резервное копирование в Object Storage с помощью Bacula
    • Построение пайплайна CI/CD в GitLab с использованием serverless-продуктов
    • Реализация защищенной высокодоступной сетевой инфраструктуры с выделением DMZ на основе Check Point NGFW
    • Сегментация облачной инфраструктуры с помощью решения Check Point Next-Generation Firewall
    • Настройка защищенного туннеля GRE поверх IPsec
    • Создание бастионного хоста
    • Реализация отказоустойчивых сценариев для сетевых виртуальных машин
    • Создание туннеля между двумя подсетями при помощи OpenVPN Access Server
    • Создание внешней таблицы на базе таблицы из бакета Object Storage с помощью конфигурационного файла
    • Настройка сетевой связности между подсетями BareMetal и Virtual Private Cloud
    • Работа со снапшотами в Managed Service for Kubernetes
      • Безопасная передача пароля в скрипт инициализации
      • Развертывание Active Directory
      • Развертывание Microsoft Exchange
      • Развертывание Remote Desktop Services
      • Развертывание группы доступности Always On с внутренним сетевым балансировщиком
      • Развертывание Remote Desktop Gateway
      • Создание сервера MLFlow для логирования экспериментов и артефактов
      • Развертывание GitLab Runner на виртуальной машине
    • Запуск языковой модели DeepSeek-R1 в кластере GPU
    • Запуск библиотеки vLLM с языковой моделью Gemma 3 на ВМ с GPU
    • Доставка USB-устройств на виртуальную машину или сервер BareMetal
  • Управление доступом
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Обучающие курсы

В этой статье:

  • Подготовьте облако к работе
  • Необходимые платные ресурсы
  • Создайте облачную сеть и подсети
  • Создайте скрипт для управления локальной учетной записью администратора
  • Создайте ВМ для Active Directory
  • Создайте ВМ для бастионного хоста
  • Установите и настройте Active Directory
  • Настройте второй контроллер домена
  • Проверьте работу Active Directory
  • Как удалить созданные ресурсы
  1. Практические руководства
  2. Продукты Microsoft в Yandex Cloud
  3. Развертывание Active Directory

Развертывание Active Directory

Статья создана
Yandex Cloud
Улучшена
mmerihsesh
Обновлена 28 апреля 2025 г.
  • Подготовьте облако к работе
    • Необходимые платные ресурсы
  • Создайте облачную сеть и подсети
  • Создайте скрипт для управления локальной учетной записью администратора
  • Создайте ВМ для Active Directory
  • Создайте ВМ для бастионного хоста
  • Установите и настройте Active Directory
  • Настройте второй контроллер домена
  • Проверьте работу Active Directory
  • Как удалить созданные ресурсы

Важно

В Yandex Cloud продукты Microsoft можно использовать только с вашими собственными лицензиями и только на выделенных хостах. Подробнее см. Использование своей лицензии для продуктов Microsoft.

В сценарии приводится пример развертывания Active Directory в Yandex Cloud.

Чтобы развернуть инфраструктуру Active Directory:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсети.
  3. Создайте скрипт для управления локальной учетной записью администратора.
  4. Создайте виртуальную машину для Active Directory.
  5. Создайте ВМ для бастионного хоста.
  6. Установите и настройте Active Directory.
  7. Настройте второй контроллер домена.
  8. Проверьте работу Active Directory.

Если инфраструктура вам больше не нужна, удалите все используемые ею ресурсы.

Подготовьте облако к работеПодготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Примечание

Проверьте, что в платежном аккаунте указаны пользовательские данные, необходимые для выполнения требований лицензионной политики Microsoft. Без этих данных вы не сможете запустить продукт.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость инсталляции Active Directory входят:

  • Плата за постоянно запущенные ВМ (см. тарифы Yandex Compute Cloud).
  • Плата за использование динамических или статических публичных IP-адресов (см. тарифы Yandex Virtual Private Cloud).
  • Стоимость исходящего трафика из Yandex Cloud в интернет (см. тарифы Compute Cloud).

Создайте облачную сеть и подсетиСоздайте облачную сеть и подсети

Создайте облачную сеть ad-network с подсетями во всех зонах доступности, где будут находиться ВМ.

  1. Создайте облачную сеть:

    Консоль управления
    CLI

    Чтобы создать облачную сеть:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать облачную сеть.
    2. Нажмите кнопку Создать сеть.
    3. Задайте имя сети: ad-network.
    4. Нажмите кнопку Создать сеть.

    Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

    По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

    Чтобы создать облачную сеть, выполните команду:

    yc vpc network create --name ad-network
    
  2. Создайте три подсети в сети ad-network:

    Консоль управления
    CLI

    Чтобы создать подсеть:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать подсеть.
    2. Нажмите на имя облачной сети.
    3. Нажмите кнопку Добавить подсеть.
    4. Заполните форму: введите имя подсети ad-subnet-a, выберите зону доступности ru-central1-a из выпадающего списка.
    5. Введите CIDR подсети: IP-адрес и маску подсети 10.1.0.0/16.
    6. Нажмите кнопку Создать подсеть.

    Повторите шаги еще для двух подсетей:

    • Название: ad-subnet-b. Зона доступности: ru-central1-b. CIDR: 10.2.0.0/16.
    • Название: ad-subnet-d. Зона доступности: ru-central1-d. CIDR: 10.3.0.0/16.

    Чтобы создать подсети, выполните команды:

    yc vpc subnet create \
      --name ad-subnet-a \
      --zone ru-central1-a \
      --network-name ad-network \
      --range 10.1.0.0/16
    
    yc vpc subnet create \
      --name ad-subnet-b \
      --zone ru-central1-b \
      --network-name ad-network \
      --range 10.2.0.0/16
    
    yc vpc subnet create \
      --name ad-subnet-d \
      --zone ru-central1-d \
      --network-name ad-network \
      --range 10.3.0.0/16
    

Создайте скрипт для управления локальной учетной записью администратораСоздайте скрипт для управления локальной учетной записью администратора

При создании ВМ через CLI необходимо устанавливать пароль для локальной учетной записи администратора.

Для этого в корневой директории командной строки создайте файл с названием setpass и без расширения. Скопируйте в файл скрипт и укажите ваш пароль:

#ps1
Get-LocalUser | Where-Object SID -like *-500 | Set-LocalUser -Password (ConvertTo-SecureString "<ваш пароль>" -AsPlainText -Force)

Пароль должен соответствовать требованиям к сложности.

Подробные рекомендации по защите Active Directory читайте на сайте разработчика.

Создайте ВМ для Active DirectoryСоздайте ВМ для Active Directory

Создайте две ВМ для контроллеров домена Active Directory. Эти ВМ не будут иметь доступа в интернет.

Консоль управления
CLI
  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В блоке Образ загрузочного диска:

    • Перейдите на вкладку Пользовательский.
    • Нажмите кнопку Выбрать и в открывшемся окне выберите Создать.
    • В поле Наполнение выберите Образ и в списке ниже выберите образ Windows Server 2022 Datacenter. Как загрузить свой образ для продуктов Microsoft подробнее см. в разделе Импортировать нужный образ.
    • (Опционально) В поле Дополнительно включите опцию Удалять вместе с виртуальной машиной, если вы хотите автоматически удалять этот диск при удалении ВМ.
    • Нажмите кнопку Добавить диск.
  3. В блоке Расположение выберите зону доступности ru-central1-a.

  4. В блоке Диски и файловые хранилища задайте размер загрузочного диска 50 ГБ.

  5. В блоке Вычислительные ресурсы перейдите на вкладку Своя конфигурация и укажите необходимую платформу, количество vCPU и объем RAM:

    • Платформа — Intel Ice Lake.
    • vCPU — 4.
    • Гарантированная доля vCPU — 100%.
    • RAM — 8 ГБ.
  6. В блоке Сетевые настройки укажите:

    • Подсеть — ad-subnet-a.
    • Публичный IP-адрес — Без адреса.
    • Разверните блок Дополнительно и в поле Внутренний IPv4 адрес выберите Вручную.
    • В появившемся поле для ввода укажите 10.1.0.3.
  7. В блоке Общая информация задайте имя ВМ: ad-vm-a.

  8. Нажмите кнопку Создать ВМ.

Дождитесь, когда статус ВМ сменится на Running, и сбросьте пароль:

  1. Выберите виртуальную машину.
  2. Нажмите кнопку Сбросить пароль.
  3. Укажите Имя пользователя, для которого нужно сбросить пароль. Если у ВМ не существует пользователя с таким именем, он будет создан с правами администратора.
  4. Нажмите кнопку Сгенерировать пароль.
  5. Сохраните Новый пароль. После закрытия окна он будет недоступен.

Повторите шаги для ВМ с именем ad-vm-b в зоне доступности ru-central1-b, подключите ее к подсети ad-subnet-b и вручную укажите внутренний IP-адрес 10.2.0.3.

yc compute instance create \
  --name ad-vm-a \
  --hostname ad-vm-a \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-a \
  --network-interface subnet-name=ad-subnet-a,ipv4-address=10.1.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

yc compute instance create \
  --name ad-vm-b \
  --hostname ad-vm-b \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-b \
  --network-interface subnet-name=ad-subnet-b,ipv4-address=10.2.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

Примечание

Команды yc compute instance create | create-with-container | update | add-metadata поддерживают подстановку в метаданные ВМ значений переменных окружения. Эти значения, заданные в ключе user-data в формате $<имя_переменной>, в момент выполнения команды Yandex Cloud CLI будут подставлены в метаданные ВМ из переменных окружения среды, в которой выполняется команда.

Чтобы изменить такое поведение, не подставлять значение переменной из среды выполнения команды CLI и передать в метаданные ВМ имя переменной в формате $<имя_переменной>, используйте синтаксис с двумя символами доллара. Например: $$<имя_переменной>.

Подробнее см. в разделе Особенности передачи переменных окружения в метаданных через CLI.

Создайте ВМ для бастионного хостаСоздайте ВМ для бастионного хоста

Для настройки ВМ с Active Directory будет использоваться файловый сервер с выходом в интернет.

Консоль управления
CLI
  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В блоке Образ загрузочного диска:

    • Перейдите на вкладку Пользовательский.
    • Нажмите кнопку Выбрать и в открывшемся окне выберите Создать.
    • В поле Наполнение выберите Образ и в списке ниже выберите образ Windows Server 2022 Datacenter. Как загрузить свой образ для продуктов Microsoft подробнее см. в разделе Импортировать нужный образ.
    • (Опционально) В поле Дополнительно включите опцию Удалять вместе с виртуальной машиной, если вы хотите автоматически удалять этот диск при удалении ВМ.
    • Нажмите кнопку Добавить диск.
  3. В блоке Расположение выберите зону доступности ru-central1-d.

  4. В блоке Диски и файловые хранилища задайте размер загрузочного диска 50 ГБ.

  5. В блоке Вычислительные ресурсы перейдите на вкладку Своя конфигурация и укажите необходимую платформу, количество vCPU и объем RAM:

    • Платформа — Intel Ice Lake.
    • vCPU — 2.
    • Гарантированная доля vCPU — 100%.
    • RAM — 4 ГБ.
  6. В блоке Сетевые настройки:

    • В поле Подсеть выберите подсеть ad-subnet-d.
    • В поле Публичный IP-адрес оставьте значение Автоматически.
  7. В блоке Общая информация задайте имя ВМ: jump-server-vm.

  8. Нажмите кнопку Создать ВМ.

Дождитесь, когда статус ВМ сменится на Running, и сбросьте пароль:

  1. Выберите виртуальную машину.
  2. Нажмите кнопку Сбросить пароль.
  3. Укажите Имя пользователя, для которого нужно сбросить пароль. Если у ВМ не существует пользователя с таким именем, он будет создан с правами администратора.
  4. Нажмите кнопку Сгенерировать пароль.
  5. Сохраните Новый пароль. После закрытия окна он будет недоступен.
yc compute instance create \
  --name jump-server-vm \
  --hostname jump-server-vm \
  --memory 4 \
  --cores 2 \
  --zone ru-central1-d \
  --network-interface subnet-name=ad-subnet-d,nat-ip-version=ipv4 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

Установите и настройте Active DirectoryУстановите и настройте Active Directory

У машин с Active Directory нет доступа в интернет, поэтому их следует настраивать через ВМ jump-server-vm с помощью RDP.

  1. Подключитесь к ВМ jump-server-vm с помощью RDP. Используйте логин Administrator и ваш пароль.

  2. Запустите RDP и подключитесь к ВМ ad-vm-a — используйте ее локальный IP-адрес, имя пользователя Administrator и ваш пароль.

  3. Запустите PowerShell и задайте статический IP-адрес:

    netsh interface ip set address "eth0" static 10.1.0.3 255.255.255.0 10.1.0.1
    
  4. Установите роли Active Directory:

    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
    

    Результат:

    Success  Restart Needed  Exit Code  Feature Result
    -------  --------------  ---------  --------------
    True     No              Success    {Active Directory Domain Services, Group P...
    
  5. Создайте лес Active Directory:

    Install-ADDSForest -DomainName 'yantoso.net' -Force:$true
    

    Затем введите пароль и подтвердите его.

    Windows перезапустится автоматически. Снова подключитесь к ad-vm-a и откройте PowerShell.

  6. Переименуйте сайт по умолчанию в ru-central1-a:

    Get-ADReplicationSite 'Default-First-Site-Name' | Rename-ADObject -NewName 'ru-central1-a'
    
  7. Создайте еще два сайта для других зон доступности:

    New-ADReplicationSite 'ru-central1-b'
    New-ADReplicationSite 'ru-central1-d'
    
  8. Создайте подсети и привяжите их к сайтам:

    New-ADReplicationSubnet -Name '10.1.0.0/16' -Site 'ru-central1-a'
    New-ADReplicationSubnet -Name '10.2.0.0/16' -Site 'ru-central1-b'
    New-ADReplicationSubnet -Name '10.3.0.0/16' -Site 'ru-central1-d'
    
  9. Переименуйте сайт-линк и настройте репликацию:

    Get-ADReplicationSiteLink 'DEFAULTIPSITELINK' | `
        Set-ADReplicationSiteLink -SitesIncluded @{Add='ru-central1-b'} -ReplicationFrequencyInMinutes 15 -PassThru | `
        Set-ADObject -Replace @{options = $($_.options -bor 1)} -PassThru | `
        Rename-ADObject -NewName 'ru-central1'
    
  10. Укажите сервер переадресации DNS:

    Set-DnsServerForwarder '10.1.0.2'
    
  11. Настройте DNS-клиент:

    Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.2.0.3,127.0.0.1"
    

Настройте второй контроллер доменаНастройте второй контроллер домена

  1. Подключитесь к ВМ jump-server-vm с помощью RDP.

  2. С помощью RDP подключитесь к ВМ ad-vm-b — используйте ее локальный IP-адрес, имя пользователя Administrator и ваш пароль.

  3. Установите роли Active Directory:

    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
    

    Результат:

    Success  Restart Needed  Exit Code       Feature Result
    -------  --------------  ---------       --------------
    True     No              NoChangeNeeded  {}
    
  4. Настройте DNS-клиент:

    Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.1.0.3,127.0.0.1"
    
  5. Настройте статический IP-адрес:

    netsh interface ip set address "eth0" static 10.2.0.3 255.255.255.0 10.2.0.1
    
  6. Добавьте контроллер в домен:

    Install-ADDSDomainController `
        -Credential (Get-Credential "yantoso\Administrator") `
        -DomainName 'yantoso.net' `
        -Force:$true
    

    Затем введите пароль и подтвердите его.

    Windows перезапустится автоматически. Снова подключитесь к ad-vm-b и откройте PowerShell.

  7. Укажите сервер переадресации DNS:

    Set-DnsServerForwarder '10.2.0.2'
    

Проверьте работу Active DirectoryПроверьте работу Active Directory

  1. Подключитесь к ВМ jump-server-vm с помощью RDP.

  2. С помощью RDP подключитесь к ВМ ad-vm-b — используйте ее локальный IP-адрес, имя пользователя Administrator и ваш пароль. Запустите PowerShell.

  3. Создайте тестового пользователя:

    New-ADUser testUser
    
  4. Убедитесь, что пользователь присутствует на обоих серверах:

    Get-ADUser testUser -Server 10.1.0.3
    Get-ADUser testUser -Server 10.2.0.3
    

    Результаты обеих команд должны совпадать:

    DistinguishedName : CN=testUser,CN=Users,DC=yantoso,DC=net
    Enabled           : False
    GivenName         :
    Name              : testUser
    ObjectClass       : user
    ObjectGUID        : 7202f41a-(...)-2d168ecd5271
    SamAccountName    : testUser
    SID               : S-1-5-21-(...)-1105
    Surname           :
    UserPrincipalName :
    

Как удалить созданные ресурсыКак удалить созданные ресурсы

Чтобы перестать платить за развернутые серверы, достаточно удалить все созданные ВМ.

Была ли статья полезна?

Предыдущая
Безопасная передача пароля в скрипт инициализации
Следующая
Развертывание Microsoft Exchange
Проект Яндекса
© 2025 ООО «Яндекс.Облако»