Развертывание Active Directory

Статья создана

Подготовьте облако к работе
- Необходимые платные ресурсы
Создайте облачную сеть и подсети
Создайте скрипт для управления локальной учетной записью администратора
Создайте ВМ для Active Directory
Создайте ВМ для бастионного хоста
Установите и настройте Active Directory
Настройте второй контроллер домена
Проверьте работу Active Directory
Как удалить созданные ресурсы

Важно

В Yandex Cloud продукты Microsoft можно использовать только с вашими собственными лицензиями и только на выделенных хостах. Подробнее см. Использование своей лицензии для продуктов Microsoft и Подготовка собственных образов с продуктами Microsoft.

В сценарии приводится пример развертывания Active Directory в Yandex Cloud.

Чтобы развернуть инфраструктуру Active Directory:

Если инфраструктура вам больше не нужна, удалите все используемые ею ресурсы.

Подготовьте облако к работе

Перед работой нужно зарегистрироваться в Yandex Cloud и создать платежный аккаунт:

Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Примечание

Проверьте, что в платежном аккаунте указаны пользовательские данные, необходимые для выполнения требований лицензионной политики Microsoft. Без этих данных вы не сможете запустить продукт.

Необходимые платные ресурсы

В стоимость инсталляции Active Directory входят:

плата за постоянно запущенные виртуальные машины (см. тарифы Yandex Compute Cloud);
плата за использование динамических или статических публичных IP-адресов (см. тарифы Yandex Virtual Private Cloud);
стоимость исходящего трафика из Yandex Cloud в интернет (см. тарифы Yandex Compute Cloud).

Создайте облачную сеть и подсети

Создайте облачную сеть ad-network с подсетями во всех зонах доступности, где будут находиться виртуальные машины.

Создайте облачную сеть:
Консоль управления

CLI
Чтобы создать облачную сеть:
1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать облачную сеть.
2. Нажмите кнопку Создать сеть.
3. Задайте имя сети: ad-network.
4. Нажмите кнопку Создать сеть.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

Чтобы создать облачную сеть, выполните команду:
```
yc vpc network create --name ad-network
```
Создайте три подсети в сети ad-network:
Консоль управления

CLI
Чтобы создать подсеть:
1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать подсеть.
2. Нажмите на имя облачной сети.
3. Нажмите кнопку Добавить подсеть.
4. Заполните форму: введите имя подсети ad-subnet-a, выберите зону доступности ru-central1-a из выпадающего списка.
5. Введите CIDR подсети: IP-адрес и маску подсети: 10.1.0.0/16. Подробнее про диапазоны IP-адресов в подсетях читайте в разделе Облачные сети и подсети.
6. Нажмите кнопку Создать подсеть.
Повторите шаги еще для двух подсетей:
- Название: ad-subnet-b. Зона доступности: ru-central1-b. CIDR: 10.2.0.0/16.
- Название: ad-subnet-c. Зона доступности: ru-central1-c. CIDR: 10.3.0.0/16.
Чтобы создать подсети, выполните команды:
```
yc vpc subnet create \
  --name ad-subnet-a \
  --zone ru-central1-a \
  --network-name ad-network \
  --range 10.1.0.0/16

yc vpc subnet create \
  --name ad-subnet-b \
  --zone ru-central1-b \
  --network-name ad-network \
  --range 10.2.0.0/16

yc vpc subnet create \
  --name ad-subnet-c \
  --zone ru-central1-c \
  --network-name ad-network \
  --range 10.3.0.0/16
```

Создайте скрипт для управления локальной учетной записью администратора

При создании виртуальных машин через CLI необходимо устанавливать пароль для локальной учетной записи администратора.

Для этого в корневой директории командной строки создайте файл с названием setpass и без расширения. Скопируйте в файл скрипт и укажите ваш пароль:

#ps1
Get-LocalUser | Where-Object SID -like *-500 | Set-LocalUser -Password (ConvertTo-SecureString "<ваш пароль>" -AsPlainText -Force)

Пароль должен соответствовать требованиям к сложности.

Подробные рекомендации по защите Active Directory читайте на сайте разработчика.

Создайте ВМ для Active Directory

Создайте две виртуальных машины для контроллеров домена Active Directory. Эти машины не будут иметь доступа в интернет.

Консоль управления

CLI

На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.
В поле Имя введите имя виртуальной машины: ad-vm-a.
Выберите зону доступности ru-central1-a.
В блоке Выбор образа/загрузочного диска → Cloud Marketplace нажмите кнопку Посмотреть больше. В открывшемся окне выберите образ Windows Server 2022 Datacenter и нажмите Использовать.
В блоке Диски укажите размер загрузочного диска 50 ГБ.
В блоке Вычислительные ресурсы:
- Выберите платформу Intel Ice Lake.
- Укажите необходимое количество vCPU и объем RAM:
  - vCPU — 4.
  - Гарантированная доля vCPU — 100%.
  - RAM — 8 ГБ.
В блоке Сетевые настройки:
- Выберите подсеть ad-subnet-a.
- Публичный адрес — Без адреса.
- Внутренний адрес — выберите Вручную и укажите 10.1.0.3.
В блоке Доступ в поле Пароль укажите ваш пароль.
Нажмите кнопку Создать ВМ.

Повторите операцию для ВМ с именем ad-vm-b в зоне доступности ru-central1-b, подключите ее к подсети ad-subnet-b и вручную укажите внутренний адрес 10.2.0.3.

yc compute instance create \
  --name ad-vm-a \
  --hostname ad-vm-a \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-a \
  --network-interface subnet-name=ad-subnet-a,ipv4-address=10.1.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

yc compute instance create \
  --name ad-vm-b \
  --hostname ad-vm-b \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-b \
  --network-interface subnet-name=ad-subnet-b,ipv4-address=10.2.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

Создайте ВМ для бастионного хоста

Для настройки машин с Active Directory будет использоваться файловый сервер с выходом в интернет.

Консоль управления

CLI

На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.
В поле Имя введите имя виртуальной машины: jump-server-vm.
Выберите зону доступности ru-central1-c.
В блоке Выбор образа/загрузочного диска → Cloud Marketplace нажмите кнопку Посмотреть больше. В открывшемся окне выберите образ Windows Server 2022 Datacenter и нажмите Использовать.
В блоке Диски укажите размер загрузочного диска 50 ГБ.
В блоке Вычислительные ресурсы:
- Выберите платформу: Intel Ice Lake.
- Укажите необходимое количество vCPU и объем RAM:
  - vCPU — 2.
  - Гарантированная доля vCPU — 100%.
  - RAM — 4 ГБ.
В блоке Сетевые настройки выберите подсеть ad-subnet-c. В блоке Публичный адрес выберите вариант Автоматически.
В блоке Доступ в поле Пароль укажите ваш пароль.
Нажмите кнопку Создать ВМ.

yc compute instance create \
  --name jump-server-vm \
  --hostname jump-server-vm \
  --memory 4 \
  --cores 2 \
  --zone ru-central1-c \
  --network-interface subnet-name=ad-subnet-c,nat-ip-version=ipv4 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2022-dc-gvlk \
  --metadata-from-file user-data=setpass

Установите и настройте Active Directory

У машин с Active Directory нет доступа в интернет, поэтому их следует настраивать через ВМ jump-server-vm с помощью RDP.

Подключитесь к ВМ jump-server-vm с помощью RDP. Используйте логин Administrator и ваш пароль.
Запустите RDP и подключитесь к виртуальной машине ad-vm-a — используйте ее локальный IP адрес, имя пользователя Administrator и ваш пароль.

Запустите PowerShell и задайте статический адрес:

netsh interface ip set address "eth0" static 10.1.0.3 255.255.255.0 10.1.0.1

Установите роли Active Directory:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Результат:

Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Active Directory Domain Services, Group P...

Создайте лес Active Directory:
```
Install-ADDSForest -DomainName 'yantoso.net' -Force:$true
```
Затем введите пароль и подтвердите его.

Windows перезапустится автоматически. Снова подключитесь к ad-vm-a и откройте PowerShell.

Переименуйте сайт по умолчанию в ru-central1-a:

Get-ADReplicationSite 'Default-First-Site-Name' | Rename-ADObject -NewName 'ru-central1-a'

Создайте еще два сайта для других зон доступности:
```
New-ADReplicationSite 'ru-central1-b'
New-ADReplicationSite 'ru-central1-c'
```

Создайте подсети и привяжите их к сайтам:

New-ADReplicationSubnet -Name '10.1.0.0/16' -Site 'ru-central1-a'
New-ADReplicationSubnet -Name '10.2.0.0/16' -Site 'ru-central1-b'
New-ADReplicationSubnet -Name '10.3.0.0/16' -Site 'ru-central1-c'

Переименуйте сайт-линк и настройте репликацию:

Get-ADReplicationSiteLink 'DEFAULTIPSITELINK' | `
    Set-ADReplicationSiteLink -SitesIncluded @{Add='ru-central1-b'} -ReplicationFrequencyInMinutes 15 -PassThru | `
    Set-ADObject -Replace @{options = $($_.options -bor 1)} -PassThru | `
    Rename-ADObject -NewName 'ru-central1'

Укажите сервер переадресации DNS:
```
Set-DnsServerForwarder '10.1.0.2'
```

Настройте DNS-клиент:

Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.2.0.3,127.0.0.1"

Настройте второй контроллер домена

Подключитесь к ВМ jump-server-vm с помощью RDP.
С помощью RDP подключитесь к виртуальной машине ad-vm-b — используйте ее локальный IP адрес, имя пользователя Administrator и ваш пароль.

Установите роли Active Directory:

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Результат:

Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             NoChangeNeeded {}

Настройте DNS-клиент:

Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.1.0.3,127.0.0.1"

Настройте статический IP-адрес:

netsh interface ip set address "eth0" static 10.2.0.3 255.255.255.0 10.2.0.1

Добавьте контроллер в домен:
```
Install-ADDSDomainController `
    -Credential (Get-Credential "yantoso\Administrator") `
    -DomainName 'yantoso.net' `
    -Force:$true
```
Затем введите пароль и подтвердите его.

Windows перезапустится автоматически. Снова подключитесь к ad-vm-b и откройте PowerShell.
Укажите сервер переадресации DNS:
```
Set-DnsServerForwarder '10.2.0.2'
```

Проверьте работу Active Directory

Подключитесь к ВМ jump-server-vm с помощью RDP.
С помощью RDP подключитесь к виртуальной машине ad-vm-b — используйте ее локальный IP адрес, имя пользователя Administrator и ваш пароль. Запустите PowerShell.
Создайте тестового пользователя:
```
New-ADUser testUser
```

Убедитесь, что пользователь присутствует на обоих серверах:

Get-ADUser testUser -Server 10.1.0.3
Get-ADUser testUser -Server 10.2.0.3

Результаты обеих команд должны совпадать:

DistinguishedName : CN=testUser,CN=Users,DC=yantoso,DC=net
Enabled           : False
GivenName         :
Name              : testUser
ObjectClass       : user
ObjectGUID        : 7202f41a-(...)-2d168ecd5271
SamAccountName    : testUser
SID               : S-1-5-21-(...)-1105
Surname           :
UserPrincipalName :

Как удалить созданные ресурсы

Чтобы перестать платить за развернутые серверы, достаточно удалить все созданные виртуальные машины.