Развертывание Active Directory

В сценарии приводится пример развертывания Active Directory в Yandex Cloud.

Чтобы развернуть инфраструктуру Active Directory:

1. Подготовьте облако к работе.
2. Создайте облачную сеть и подсети.
3. Создайте скрипт для управления локальной учетной записью администратора.
4. Создайте виртуальную машину для Active Directory.
5. Создайте ВМ для бастионного хоста.
6. Установите и настройте Active Directory.
7. Настройте второй контроллер домена.
8. Проверьте работу Active Directory.

Если инфраструктура вам больше не нужна, удалите все используемые ею ресурсы.

Подготовьте облако к работеПодготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость инсталляции Active Directory входят:

• Плата за постоянно запущенные ВМ (см. тарифы Yandex Compute Cloud).
• Плата за использование динамических или статических публичных IP-адресов (см. тарифы Yandex Virtual Private Cloud).
• Стоимость исходящего трафика из Yandex Cloud в интернет (см. тарифы Compute Cloud).

Создайте облачную сеть и подсетиСоздайте облачную сеть и подсети

Создайте облачную сеть ad-network с подсетями во всех зонах доступности, где будут находиться ВМ.

1. Создайте облачную сеть:

   Консоль управления

   CLI

   Чтобы создать облачную сеть:

   1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать облачную сеть.
   2. Нажмите кнопку Создать сеть.
   3. Задайте имя сети: ad-network.
   4. Нажмите кнопку Создать сеть.

   Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

   По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

   Чтобы создать облачную сеть, выполните команду:

   yc vpc network create --name ad-network
   

2. Создайте три подсети в сети ad-network:

   Консоль управления

   CLI

   Чтобы создать подсеть:

   1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать подсеть.
   2. Нажмите на имя облачной сети.
   3. Нажмите кнопку Добавить подсеть.
   4. Заполните форму: введите имя подсети ad-subnet-a, выберите зону доступности ru-central1-a из выпадающего списка.
   5. Введите CIDR подсети: IP-адрес и маску подсети 10.1.0.0/16.
   6. Нажмите кнопку Создать подсеть.

   Повторите шаги еще для двух подсетей:

   • Название: ad-subnet-b. Зона доступности: ru-central1-b. CIDR: 10.2.0.0/16.
   • Название: ad-subnet-d. Зона доступности: ru-central1-d. CIDR: 10.3.0.0/16.

   Чтобы создать подсети, выполните команды:

   yc vpc subnet create \
     --name ad-subnet-a \
     --zone ru-central1-a \
     --network-name ad-network \
     --range 10.1.0.0/16
   
   yc vpc subnet create \
     --name ad-subnet-b \
     --zone ru-central1-b \
     --network-name ad-network \
     --range 10.2.0.0/16
   
   yc vpc subnet create \
     --name ad-subnet-d \
     --zone ru-central1-d \
     --network-name ad-network \
     --range 10.3.0.0/16
   

Создайте скрипт для управления локальной учетной записью администратораСоздайте скрипт для управления локальной учетной записью администратора

При создании ВМ через CLI необходимо устанавливать пароль для локальной учетной записи администратора.

Для этого в корневой директории командной строки создайте файл с названием setpass и без расширения. Скопируйте в файл скрипт и укажите ваш пароль:

#ps1
Get-LocalUser | Where-Object SID -like *-500 | Set-LocalUser -Password (ConvertTo-SecureString "<ваш пароль>" -AsPlainText -Force)

Пароль должен соответствовать требованиям к сложности.

Подробные рекомендации по защите Active Directory читайте на сайте разработчика.

Создайте ВМ для Active DirectoryСоздайте ВМ для Active Directory

Создайте две ВМ для контроллеров домена Active Directory. Эти ВМ не будут иметь доступа в интернет.

yc compute instance create \
  --name ad-vm-a \
  --hostname ad-vm-a \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-a \
  --network-interface subnet-name=ad-subnet-a,ipv4-address=10.1.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

yc compute instance create \
  --name ad-vm-b \
  --hostname ad-vm-b \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-b \
  --network-interface subnet-name=ad-subnet-b,ipv4-address=10.2.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

Создайте ВМ для бастионного хостаСоздайте ВМ для бастионного хоста

Для настройки ВМ с Active Directory будет использоваться файловый сервер с выходом в интернет.

yc compute instance create \
  --name jump-server-vm \
  --hostname jump-server-vm \
  --memory 4 \
  --cores 2 \
  --zone ru-central1-d \
  --network-interface subnet-name=ad-subnet-d,nat-ip-version=ipv4 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

Установите и настройте Active DirectoryУстановите и настройте Active Directory

У машин с Active Directory нет доступа в интернет, поэтому их следует настраивать через ВМ jump-server-vm с помощью RDP.

1. Подключитесь к ВМ jump-server-vm с помощью RDP. Используйте логин Administrator и ваш пароль.

2. Запустите RDP и подключитесь к ВМ ad-vm-a — используйте ее локальный IP-адрес, имя пользователя Administrator и ваш пароль.

3. Запустите PowerShell и задайте статический IP-адрес:

   netsh interface ip set address "eth0" static 10.1.0.3 255.255.255.0 10.1.0.1
   

4. Установите роли Active Directory:

   Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
   

   Результат:

   Success  Restart Needed  Exit Code  Feature Result
   -------  --------------  ---------  --------------
   True     No              Success    {Active Directory Domain Services, Group P...
   

5. Создайте лес Active Directory:

   Install-ADDSForest -DomainName 'yantoso.net' -Force:$true
   

   Затем введите пароль и подтвердите его.

   Windows перезапустится автоматически. Снова подключитесь к ad-vm-a и откройте PowerShell.

6. Переименуйте сайт по умолчанию в ru-central1-a:

   Get-ADReplicationSite 'Default-First-Site-Name' | Rename-ADObject -NewName 'ru-central1-a'
   

7. Создайте еще два сайта для других зон доступности:

   New-ADReplicationSite 'ru-central1-b'
   New-ADReplicationSite 'ru-central1-d'
   

8. Создайте подсети и привяжите их к сайтам:

   New-ADReplicationSubnet -Name '10.1.0.0/16' -Site 'ru-central1-a'
   New-ADReplicationSubnet -Name '10.2.0.0/16' -Site 'ru-central1-b'
   New-ADReplicationSubnet -Name '10.3.0.0/16' -Site 'ru-central1-d'
   

9. Переименуйте сайт-линк и настройте репликацию:

   Get-ADReplicationSiteLink 'DEFAULTIPSITELINK' | `
       Set-ADReplicationSiteLink -SitesIncluded @{Add='ru-central1-b'} -ReplicationFrequencyInMinutes 15 -PassThru | `
       Set-ADObject -Replace @{options = $($_.options -bor 1)} -PassThru | `
       Rename-ADObject -NewName 'ru-central1'
   

10. Укажите сервер переадресации DNS:

    Set-DnsServerForwarder '10.1.0.2'
    

11. Настройте DNS-клиент:

    Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.2.0.3,127.0.0.1"
    

Настройте второй контроллер доменаНастройте второй контроллер домена

1. Подключитесь к ВМ jump-server-vm с помощью RDP.

2. С помощью RDP подключитесь к ВМ ad-vm-b — используйте ее локальный IP-адрес, имя пользователя Administrator и ваш пароль.

3. Установите роли Active Directory:

   Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
   

   Результат:

   Success  Restart Needed  Exit Code       Feature Result
   -------  --------------  ---------       --------------
   True     No              NoChangeNeeded  {}
   

4. Настройте DNS-клиент:

   Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.1.0.3,127.0.0.1"
   

5. Настройте статический IP-адрес:

   netsh interface ip set address "eth0" static 10.2.0.3 255.255.255.0 10.2.0.1
   

6. Добавьте контроллер в домен:

   Install-ADDSDomainController `
       -Credential (Get-Credential "yantoso\Administrator") `
       -DomainName 'yantoso.net' `
       -Force:$true
   

   Затем введите пароль и подтвердите его.

   Windows перезапустится автоматически. Снова подключитесь к ad-vm-b и откройте PowerShell.

7. Укажите сервер переадресации DNS:

   Set-DnsServerForwarder '10.2.0.2'
   

Проверьте работу Active DirectoryПроверьте работу Active Directory

1. Подключитесь к ВМ jump-server-vm с помощью RDP.

2. С помощью RDP подключитесь к ВМ ad-vm-b — используйте ее локальный IP-адрес, имя пользователя Administrator и ваш пароль. Запустите PowerShell.

3. Создайте тестового пользователя:

   New-ADUser testUser
   

4. Убедитесь, что пользователь присутствует на обоих серверах:

   Get-ADUser testUser -Server 10.1.0.3
   Get-ADUser testUser -Server 10.2.0.3
   

   Результаты обеих команд должны совпадать:

   DistinguishedName : CN=testUser,CN=Users,DC=yantoso,DC=net
   Enabled           : False
   GivenName         :
   Name              : testUser
   ObjectClass       : user
   ObjectGUID        : 7202f41a-(...)-2d168ecd5271
   SamAccountName    : testUser
   SID               : S-1-5-21-(...)-1105
   Surname           :
   UserPrincipalName :
   

Как удалить созданные ресурсыКак удалить созданные ресурсы

Чтобы перестать платить за развернутые серверы, достаточно удалить все созданные ВМ.