Связаться с намиПодключиться

Развертывание Active Directory

Статья создана
Улучшена
Обновлена 21 апреля 2025 г.

Важно

В Yandex Cloud продукты Microsoft можно использовать только с вашими собственными лицензиями и только на выделенных хостах. Подробнее см. Использование своей лицензии для продуктов Microsoft.

В сценарии приводится пример развертывания Active Directory в Yandex Cloud.

Чтобы развернуть инфраструктуру Active Directory:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсети.
  3. Создайте скрипт для управления локальной учетной записью администратора.
  4. Создайте виртуальную машину для Active Directory.
  5. Создайте ВМ для бастионного хоста.
  6. Установите и настройте Active Directory.
  7. Настройте второй контроллер домена.
  8. Проверьте работу Active Directory.

Если инфраструктура вам больше не нужна, удалите все используемые ею ресурсы.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Примечание

Проверьте, что в платежном аккаунте указаны пользовательские данные, необходимые для выполнения требований лицензионной политики Microsoft. Без этих данных вы не сможете запустить продукт.

В стоимость инсталляции Active Directory входят:

Создайте облачную сеть и подсети

Создайте облачную сеть ad-network с подсетями во всех зонах доступности, где будут находиться ВМ.

  1. Создайте облачную сеть:

    Чтобы создать облачную сеть:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать облачную сеть.
    2. Нажмите кнопку Создать сеть.
    3. Задайте имя сети: ad-network.
    4. Нажмите кнопку Создать сеть.

    Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

    По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

    Чтобы создать облачную сеть, выполните команду:

    yc vpc network create --name ad-network

  2. Создайте три подсети в сети ad-network:

    Чтобы создать подсеть:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать подсеть.
    2. Нажмите на имя облачной сети.
    3. Нажмите кнопку Добавить подсеть.
    4. Заполните форму: введите имя подсети ad-subnet-a, выберите зону доступности ru-central1-a из выпадающего списка.
    5. Введите CIDR подсети: IP-адрес и маску подсети 10.1.0.0/16.
    6. Нажмите кнопку Создать подсеть.

    Повторите шаги еще для двух подсетей:

    • Название: ad-subnet-b. Зона доступности: ru-central1-b. CIDR: 10.2.0.0/16.
    • Название: ad-subnet-d. Зона доступности: ru-central1-d. CIDR: 10.3.0.0/16.

    Чтобы создать подсети, выполните команды:

    yc vpc subnet create \
  --name ad-subnet-a \
  --zone ru-central1-a \
  --network-name ad-network \
  --range 10.1.0.0/16

yc vpc subnet create \
  --name ad-subnet-b \
  --zone ru-central1-b \
  --network-name ad-network \
  --range 10.2.0.0/16

yc vpc subnet create \
  --name ad-subnet-d \
  --zone ru-central1-d \
  --network-name ad-network \
  --range 10.3.0.0/16

Создайте скрипт для управления локальной учетной записью администратора

При создании ВМ через CLI необходимо устанавливать пароль для локальной учетной записи администратора.

Для этого в корневой директории командной строки создайте файл с названием setpass и без расширения. Скопируйте в файл скрипт и укажите ваш пароль:

#ps1
Get-LocalUser | Where-Object SID -like *-500 | Set-LocalUser -Password (ConvertTo-SecureString "<ваш пароль>" -AsPlainText -Force)

Пароль должен соответствовать требованиям к сложности.

Подробные рекомендации по защите Active Directory читайте на сайте разработчика.

Создайте ВМ для Active Directory

Создайте две ВМ для контроллеров домена Active Directory. Эти ВМ не будут иметь доступа в интернет.

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В блоке Образ загрузочного диска:

    • Перейдите на вкладку Пользовательский.
    • Нажмите кнопку Выбрать и в открывшемся окне выберите Создать новый.
    • В поле Наполнение выберите Образ и в списке ниже выберите образ Windows Server 2022 Datacenter. Как загрузить свой образ для продуктов Microsoft подробнее см. в разделе Импортировать нужный образ.
    • (Опционально) В поле Дополнительно включите опцию Удалять вместе с виртуальной машиной, если вы хотите автоматически удалять этот диск при удалении ВМ.
    • Нажмите кнопку Добавить диск.

  3. В блоке Расположение выберите зону доступности ru-central1-a.

  4. В блоке Диски и файловые хранилища задайте размер загрузочного диска 50 ГБ.

  5. В блоке Вычислительные ресурсы перейдите на вкладку Своя конфигурация и укажите необходимую платформу, количество vCPU и объем RAM:

    • ПлатформаIntel Ice Lake.
    • vCPU4.
    • Гарантированная доля vCPU100%.
    • RAM8 ГБ.

  6. В блоке Сетевые настройки укажите:

    • Подсетьad-subnet-a.
    • Публичный IP-адресБез адреса.
    • Разверните блок Дополнительно и в поле Внутренний IPv4 адрес выберите Вручную.
    • В появившемся поле для ввода укажите 10.1.0.3.

  7. В блоке Общая информация задайте имя ВМ: ad-vm-a.

  8. Нажмите кнопку Создать ВМ.

Дождитесь, когда статус ВМ сменится на Running, и сбросьте пароль:

  1. Выберите виртуальную машину.
  2. Нажмите кнопку Сбросить пароль.
  3. Укажите Имя пользователя, для которого нужно сбросить пароль. Если у ВМ не существует пользователя с таким именем, он будет создан с правами администратора.
  4. Нажмите кнопку Сгенерировать пароль.
  5. Сохраните Новый пароль. После закрытия окна он будет недоступен.

Повторите шаги для ВМ с именем ad-vm-b в зоне доступности ru-central1-b, подключите ее к подсети ad-subnet-b и вручную укажите внутренний IP-адрес 10.2.0.3.

yc compute instance create \
  --name ad-vm-a \
  --hostname ad-vm-a \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-a \
  --network-interface subnet-name=ad-subnet-a,ipv4-address=10.1.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

yc compute instance create \
  --name ad-vm-b \
  --hostname ad-vm-b \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-b \
  --network-interface subnet-name=ad-subnet-b,ipv4-address=10.2.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

Примечание

Команды yc compute instance create | create-with-container | update | add-metadata поддерживают подстановку в метаданные ВМ значений переменных окружения. Эти значения, заданные в ключе user-data в формате $<имя_переменной>, в момент выполнения команды Yandex Cloud CLI будут подставлены в метаданные ВМ из переменных окружения среды, в которой выполняется команда.

Чтобы изменить такое поведение, не подставлять значение переменной из среды выполнения команды CLI и передать в метаданные ВМ имя переменной в формате $<имя_переменной>, используйте синтаксис с двумя символами доллара. Например: $$<имя_переменной>.

Подробнее см. в разделе Особенности передачи переменных окружения в метаданных через CLI.

Создайте ВМ для бастионного хоста

Для настройки ВМ с Active Directory будет использоваться файловый сервер с выходом в интернет.

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В блоке Образ загрузочного диска:

    • Перейдите на вкладку Пользовательский.
    • Нажмите кнопку Выбрать и в открывшемся окне выберите Создать новый.
    • В поле Наполнение выберите Образ и в списке ниже выберите образ Windows Server 2022 Datacenter. Как загрузить свой образ для продуктов Microsoft подробнее см. в разделе Импортировать нужный образ.
    • (Опционально) В поле Дополнительно включите опцию Удалять вместе с виртуальной машиной, если вы хотите автоматически удалять этот диск при удалении ВМ.
    • Нажмите кнопку Добавить диск.

  3. В блоке Расположение выберите зону доступности ru-central1-d.

  4. В блоке Диски и файловые хранилища задайте размер загрузочного диска 50 ГБ.

  5. В блоке Вычислительные ресурсы перейдите на вкладку Своя конфигурация и укажите необходимую платформу, количество vCPU и объем RAM:

    • ПлатформаIntel Ice Lake.
    • vCPU2.
    • Гарантированная доля vCPU100%.
    • RAM4 ГБ.

  6. В блоке Сетевые настройки:

    • В поле Подсеть выберите подсеть ad-subnet-d.
    • В поле Публичный IP-адрес оставьте значение Автоматически.

  7. В блоке Общая информация задайте имя ВМ: jump-server-vm.

  8. Нажмите кнопку Создать ВМ.

Дождитесь, когда статус ВМ сменится на Running, и сбросьте пароль:

  1. Выберите виртуальную машину.
  2. Нажмите кнопку Сбросить пароль.
  3. Укажите Имя пользователя, для которого нужно сбросить пароль. Если у ВМ не существует пользователя с таким именем, он будет создан с правами администратора.
  4. Нажмите кнопку Сгенерировать пароль.
  5. Сохраните Новый пароль. После закрытия окна он будет недоступен.
yc compute instance create \
  --name jump-server-vm \
  --hostname jump-server-vm \
  --memory 4 \
  --cores 2 \
  --zone ru-central1-d \
  --network-interface subnet-name=ad-subnet-d,nat-ip-version=ipv4 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

Установите и настройте Active Directory

У машин с Active Directory нет доступа в интернет, поэтому их следует настраивать через ВМ jump-server-vm с помощью RDP.

  1. Подключитесь к ВМ jump-server-vm с помощью RDP. Используйте логин Administrator и ваш пароль.

  2. Запустите RDP и подключитесь к ВМ ad-vm-a — используйте ее локальный IP-адрес, имя пользователя Administrator и ваш пароль.

  3. Запустите PowerShell и задайте статический IP-адрес:

    netsh interface ip set address "eth0" static 10.1.0.3 255.255.255.0 10.1.0.1

  4. Установите роли Active Directory:

    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

    Результат:

    Success  Restart Needed  Exit Code  Feature Result
-------  --------------  ---------  --------------
True     No              Success    {Active Directory Domain Services, Group P...

  5. Создайте лес Active Directory:

    Install-ADDSForest -DomainName 'yantoso.net' -Force:$true

    Затем введите пароль и подтвердите его.

    Windows перезапустится автоматически. Снова подключитесь к ad-vm-a и откройте PowerShell.

  6. Переименуйте сайт по умолчанию в ru-central1-a:

    Get-ADReplicationSite 'Default-First-Site-Name' | Rename-ADObject -NewName 'ru-central1-a'

  7. Создайте еще два сайта для других зон доступности:

    New-ADReplicationSite 'ru-central1-b'
New-ADReplicationSite 'ru-central1-d'

  8. Создайте подсети и привяжите их к сайтам:

    New-ADReplicationSubnet -Name '10.1.0.0/16' -Site 'ru-central1-a'
New-ADReplicationSubnet -Name '10.2.0.0/16' -Site 'ru-central1-b'
New-ADReplicationSubnet -Name '10.3.0.0/16' -Site 'ru-central1-d'

  9. Переименуйте сайт-линк и настройте репликацию:

    Get-ADReplicationSiteLink 'DEFAULTIPSITELINK' | `
    Set-ADReplicationSiteLink -SitesIncluded @{Add='ru-central1-b'} -ReplicationFrequencyInMinutes 15 -PassThru | `
    Set-ADObject -Replace @{options = $($_.options -bor 1)} -PassThru | `
    Rename-ADObject -NewName 'ru-central1'

  10. Укажите сервер переадресации DNS:

    Set-DnsServerForwarder '10.1.0.2'

  11. Настройте DNS-клиент:

    Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.2.0.3,127.0.0.1"

Настройте второй контроллер домена

  1. Подключитесь к ВМ jump-server-vm с помощью RDP.

  2. С помощью RDP подключитесь к ВМ ad-vm-b — используйте ее локальный IP-адрес, имя пользователя Administrator и ваш пароль.

  3. Установите роли Active Directory:

    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

    Результат:

    Success  Restart Needed  Exit Code       Feature Result
-------  --------------  ---------       --------------
True     No              NoChangeNeeded  {}

  4. Настройте DNS-клиент:

    Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.1.0.3,127.0.0.1"

  5. Настройте статический IP-адрес:

    netsh interface ip set address "eth0" static 10.2.0.3 255.255.255.0 10.2.0.1

  6. Добавьте контроллер в домен:

    Install-ADDSDomainController `
    -Credential (Get-Credential "yantoso\Administrator") `
    -DomainName 'yantoso.net' `
    -Force:$true

    Затем введите пароль и подтвердите его.

    Windows перезапустится автоматически. Снова подключитесь к ad-vm-b и откройте PowerShell.

  7. Укажите сервер переадресации DNS:

    Set-DnsServerForwarder '10.2.0.2'

Проверьте работу Active Directory

  1. Подключитесь к ВМ jump-server-vm с помощью RDP.

  2. С помощью RDP подключитесь к ВМ ad-vm-b — используйте ее локальный IP-адрес, имя пользователя Administrator и ваш пароль. Запустите PowerShell.

  3. Создайте тестового пользователя:

    New-ADUser testUser

  4. Убедитесь, что пользователь присутствует на обоих серверах:

    Get-ADUser testUser -Server 10.1.0.3
Get-ADUser testUser -Server 10.2.0.3

    Результаты обеих команд должны совпадать:

    DistinguishedName : CN=testUser,CN=Users,DC=yantoso,DC=net
Enabled           : False
GivenName         :
Name              : testUser
ObjectClass       : user
ObjectGUID        : 7202f41a-(...)-2d168ecd5271
SamAccountName    : testUser
SID               : S-1-5-21-(...)-1105
Surname           :
UserPrincipalName :

Как удалить созданные ресурсы

Чтобы перестать платить за развернутые серверы, достаточно удалить все созданные ВМ.

Предыдущая
Безопасная передача пароля в скрипт инициализации
Следующая
Развертывание Microsoft Exchange