Развертывание Active Directory
- Подготовьте облако к работе
- Создайте облачную сеть и подсети
- Создайте скрипт для управления локальной учетной записью администратора
- Создайте ВМ для Active Directory
- Создайте ВМ для бастионного хоста
- Установите и настройте Active Directory
- Настройте второй контроллер домена
- Проверьте работу Active Directory
- Как удалить созданные ресурсы
Важно
В Yandex Cloud продукты Microsoft можно использовать только с вашими собственными лицензиями и только на выделенных хостах. Подробнее см. Использование своей лицензии для продуктов Microsoft.
В сценарии приводится пример развертывания Active Directory в Yandex Cloud.
Чтобы развернуть инфраструктуру Active Directory:
- Подготовьте облако к работе.
- Создайте облачную сеть и подсети.
- Создайте скрипт для управления локальной учетной записью администратора.
- Создайте виртуальную машину для Active Directory.
- Создайте ВМ для бастионного хоста.
- Установите и настройте Active Directory.
- Настройте второй контроллер домена.
- Проверьте работу Active Directory.
Если инфраструктура вам больше не нужна, удалите все используемые ею ресурсы.
Подготовьте облако к работе
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления
, затем войдите в Yandex Cloud или зарегистрируйтесь. - На странице Yandex Cloud Billing
убедитесь, что у вас подключен платежный аккаунт, и он находится в статусеACTIVE
илиTRIAL_ACTIVE
. Если платежного аккаунта нет, создайте его и привяжите к нему облако.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака
Подробнее об облаках и каталогах.
Примечание
Проверьте, что в платежном аккаунте указаны пользовательские данные, необходимые для выполнения требований лицензионной политики Microsoft. Без этих данных вы не сможете запустить продукт.
Необходимые платные ресурсы
В стоимость инсталляции Active Directory входят:
- Плата за постоянно запущенные ВМ (см. тарифы Yandex Compute Cloud).
- Плата за использование динамических или статических публичных IP-адресов (см. тарифы Yandex Virtual Private Cloud).
- Стоимость исходящего трафика из Yandex Cloud в интернет (см. тарифы Compute Cloud).
Создайте облачную сеть и подсети
Создайте облачную сеть ad-network
с подсетями во всех зонах доступности, где будут находиться ВМ.
-
Создайте облачную сеть:
Консоль управленияCLIЧтобы создать облачную сеть:
- Откройте раздел Virtual Private Cloud в каталоге, где требуется создать облачную сеть.
- Нажмите кнопку Создать сеть.
- Задайте имя сети:
ad-network
. - Нажмите кнопку Создать сеть.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра
--folder-name
или--folder-id
.Чтобы создать облачную сеть, выполните команду:
yc vpc network create --name ad-network
-
Создайте три подсети в сети
ad-network
:Консоль управленияCLIЧтобы создать подсеть:
- Откройте раздел Virtual Private Cloud в каталоге, где требуется создать подсеть.
- Нажмите на имя облачной сети.
- Нажмите кнопку Добавить подсеть.
- Заполните форму: введите имя подсети
ad-subnet-a
, выберите зону доступностиru-central1-a
из выпадающего списка. - Введите CIDR подсети: IP-адрес и маску подсети
10.1.0.0/16
. - Нажмите кнопку Создать подсеть.
Повторите шаги еще для двух подсетей:
- Название:
ad-subnet-b
. Зона доступности:ru-central1-b
. CIDR:10.2.0.0/16
. - Название:
ad-subnet-d
. Зона доступности:ru-central1-d
. CIDR:10.3.0.0/16
.
Чтобы создать подсети, выполните команды:
yc vpc subnet create \ --name ad-subnet-a \ --zone ru-central1-a \ --network-name ad-network \ --range 10.1.0.0/16 yc vpc subnet create \ --name ad-subnet-b \ --zone ru-central1-b \ --network-name ad-network \ --range 10.2.0.0/16 yc vpc subnet create \ --name ad-subnet-d \ --zone ru-central1-d \ --network-name ad-network \ --range 10.3.0.0/16
Создайте скрипт для управления локальной учетной записью администратора
При создании ВМ через CLI необходимо устанавливать пароль для локальной учетной записи администратора.
Для этого в корневой директории командной строки создайте файл с названием setpass
и без расширения. Скопируйте в файл скрипт и укажите ваш пароль:
#ps1
Get-LocalUser | Where-Object SID -like *-500 | Set-LocalUser -Password (ConvertTo-SecureString "<ваш пароль>" -AsPlainText -Force)
Пароль должен соответствовать требованиям к сложности
Подробные рекомендации по защите Active Directory читайте на сайте разработчика
Создайте ВМ для Active Directory
Создайте две ВМ для контроллеров домена Active Directory. Эти ВМ не будут иметь доступа в интернет.
-
На странице каталога в консоли управления
нажмите кнопку Создать ресурс и выберите Виртуальная машина. -
В поле Имя введите имя ВМ:
ad-vm-a
. -
Выберите зону доступности
ru-central1-a
. -
В блоке Образ загрузочного диска:
- Перейдите на вкладку Пользовательский.
- Нажмите кнопку Выбрать и в открывшемся окне выберите Создать новый.
- В поле Наполнение выберите
Образ
и в списке ниже выберите образ Windows Server 2022 Datacenter. Как загрузить свой образ для продуктов Microsoft подробнее см. в разделе Импортировать нужный образ. - (Опционально) В поле Дополнительно включите опцию Удалять вместе с виртуальной машиной, если вы хотите автоматически удалять этот диск при удалении ВМ.
- Нажмите кнопку Добавить диск.
-
В блоке Диски укажите размер загрузочного диска 50 ГБ.
-
В блоке Вычислительные ресурсы:
- Выберите платформу Intel Ice Lake.
- Укажите необходимое количество vCPU и объем RAM:
- vCPU — 4.
- Гарантированная доля vCPU — 100%.
- RAM — 8 ГБ.
-
В блоке Сетевые настройки:
- Выберите подсеть —
ad-subnet-a
. - Публичный адрес — Без адреса.
- Внутренний адрес — выберите Вручную и укажите
10.1.0.3
.
- Выберите подсеть —
-
Нажмите кнопку Создать ВМ.
Дождитесь, когда статус ВМ сменится на Running
, и сбросьте пароль:
- Выберите виртуальную машину.
- Нажмите кнопку Сбросить пароль.
- Укажите Имя пользователя, для которого нужно сбросить пароль. Если у ВМ не существует пользователя с таким именем, он будет создан с правами администратора.
- Нажмите кнопку Сгенерировать пароль.
- Сохраните Новый пароль. После закрытия окна он будет недоступен.
Повторите шаги для ВМ с именем ad-vm-b
в зоне доступности ru-central1-b
, подключите ее к подсети ad-subnet-b
и вручную укажите внутренний IP-адрес 10.2.0.3
.
yc compute instance create \
--name ad-vm-a \
--hostname ad-vm-a \
--memory 8 \
--cores 4 \
--zone ru-central1-a \
--network-interface subnet-name=ad-subnet-a,ipv4-address=10.1.0.3 \
--create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
--metadata-from-file user-data=setpass
yc compute instance create \
--name ad-vm-b \
--hostname ad-vm-b \
--memory 8 \
--cores 4 \
--zone ru-central1-b \
--network-interface subnet-name=ad-subnet-b,ipv4-address=10.2.0.3 \
--create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
--metadata-from-file user-data=setpass
Создайте ВМ для бастионного хоста
Для настройки ВМ с Active Directory будет использоваться файловый сервер с выходом в интернет.
-
На странице каталога в консоли управления
нажмите кнопку Создать ресурс и выберите Виртуальная машина. -
В поле Имя введите имя ВМ:
jump-server-vm
. -
Выберите зону доступности
ru-central1-d
. -
В блоке Образ загрузочного диска:
- Перейдите на вкладку Пользовательский.
- Нажмите кнопку Выбрать и в открывшемся окне выберите Создать новый.
- В поле Наполнение выберите
Образ
и в списке ниже выберите образ Windows Server 2022 Datacenter. Как загрузить свой образ для продуктов Microsoft подробнее см. в разделе Импортировать нужный образ. - (Опционально) В поле Дополнительно включите опцию Удалять вместе с виртуальной машиной, если вы хотите автоматически удалять этот диск при удалении ВМ.
- Нажмите кнопку Добавить диск.
-
В блоке Диски укажите размер загрузочного диска 50 ГБ.
-
В блоке Вычислительные ресурсы:
- Выберите платформу : Intel Ice Lake.
- Укажите необходимое количество vCPU и объем RAM:
- vCPU — 2.
- Гарантированная доля vCPU — 100%.
- RAM — 4 ГБ.
-
В блоке Сетевые настройки выберите подсеть
ad-subnet-d
. В блоке Публичный адрес выберите вариант Автоматически. -
Нажмите кнопку Создать ВМ.
Дождитесь, когда статус ВМ сменится на Running
, и сбросьте пароль:
- Выберите виртуальную машину.
- Нажмите кнопку Сбросить пароль.
- Укажите Имя пользователя, для которого нужно сбросить пароль. Если у ВМ не существует пользователя с таким именем, он будет создан с правами администратора.
- Нажмите кнопку Сгенерировать пароль.
- Сохраните Новый пароль. После закрытия окна он будет недоступен.
yc compute instance create \
--name jump-server-vm \
--hostname jump-server-vm \
--memory 4 \
--cores 2 \
--zone ru-central1-d \
--network-interface subnet-name=ad-subnet-d,nat-ip-version=ipv4 \
--create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
--metadata-from-file user-data=setpass
Установите и настройте Active Directory
У машин с Active Directory нет доступа в интернет, поэтому их следует настраивать через ВМ jump-server-vm
с помощью RDP
-
Подключитесь к ВМ
jump-server-vm
с помощью RDP. Используйте логинAdministrator
и ваш пароль. -
Запустите RDP и подключитесь к ВМ
ad-vm-a
— используйте ее локальный IP-адрес, имя пользователяAdministrator
и ваш пароль. -
Запустите PowerShell и задайте статический IP-адрес:
netsh interface ip set address "eth0" static 10.1.0.3 255.255.255.0 10.1.0.1
-
Установите роли Active Directory:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Результат:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Active Directory Domain Services, Group P...
-
Создайте лес Active Directory:
Install-ADDSForest -DomainName 'yantoso.net' -Force:$true
Затем введите пароль и подтвердите его.
Windows перезапустится автоматически. Снова подключитесь к
ad-vm-a
и откройте PowerShell. -
Переименуйте сайт по умолчанию в
ru-central1-a
:Get-ADReplicationSite 'Default-First-Site-Name' | Rename-ADObject -NewName 'ru-central1-a'
-
Создайте еще два сайта для других зон доступности:
New-ADReplicationSite 'ru-central1-b' New-ADReplicationSite 'ru-central1-d'
-
Создайте подсети и привяжите их к сайтам:
New-ADReplicationSubnet -Name '10.1.0.0/16' -Site 'ru-central1-a' New-ADReplicationSubnet -Name '10.2.0.0/16' -Site 'ru-central1-b' New-ADReplicationSubnet -Name '10.3.0.0/16' -Site 'ru-central1-d'
-
Переименуйте сайт-линк и настройте репликацию:
Get-ADReplicationSiteLink 'DEFAULTIPSITELINK' | ` Set-ADReplicationSiteLink -SitesIncluded @{Add='ru-central1-b'} -ReplicationFrequencyInMinutes 15 -PassThru | ` Set-ADObject -Replace @{options = $($_.options -bor 1)} -PassThru | ` Rename-ADObject -NewName 'ru-central1'
-
Укажите сервер переадресации DNS:
Set-DnsServerForwarder '10.1.0.2'
-
Настройте DNS-клиент:
Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.2.0.3,127.0.0.1"
Настройте второй контроллер домена
-
Подключитесь к ВМ
jump-server-vm
с помощью RDP. -
С помощью RDP подключитесь к ВМ
ad-vm-b
— используйте ее локальный IP-адрес, имя пользователяAdministrator
и ваш пароль. -
Установите роли Active Directory:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Результат:
Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No NoChangeNeeded {}
-
Настройте DNS-клиент:
Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.1.0.3,127.0.0.1"
-
Настройте статический IP-адрес:
netsh interface ip set address "eth0" static 10.2.0.3 255.255.255.0 10.2.0.1
-
Добавьте контроллер в домен:
Install-ADDSDomainController ` -Credential (Get-Credential "yantoso\Administrator") ` -DomainName 'yantoso.net' ` -Force:$true
Затем введите пароль и подтвердите его.
Windows перезапустится автоматически. Снова подключитесь к
ad-vm-b
и откройте PowerShell. -
Укажите сервер переадресации DNS:
Set-DnsServerForwarder '10.2.0.2'
Проверьте работу Active Directory
-
Подключитесь к ВМ
jump-server-vm
с помощью RDP. -
С помощью RDP подключитесь к ВМ
ad-vm-b
— используйте ее локальный IP-адрес, имя пользователяAdministrator
и ваш пароль. Запустите PowerShell. -
Создайте тестового пользователя:
New-ADUser testUser
-
Убедитесь, что пользователь присутствует на обоих серверах:
Get-ADUser testUser -Server 10.1.0.3 Get-ADUser testUser -Server 10.2.0.3
Результаты обеих команд должны совпадать:
DistinguishedName : CN=testUser,CN=Users,DC=yantoso,DC=net Enabled : False GivenName : Name : testUser ObjectClass : user ObjectGUID : 7202f41a-(...)-2d168ecd5271 SamAccountName : testUser SID : S-1-5-21-(...)-1105 Surname : UserPrincipalName :
Как удалить созданные ресурсы
Чтобы перестать платить за развернутые серверы, достаточно удалить все созданные ВМ.