Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Практические руководства

Развертывание Active Directory

Статья создана

В сценарии приводится пример развертывания Active Directory в Yandex Cloud.

Чтобы развернуть инфраструктуру Active Directory:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсети.
  3. Создайте скрипт для управления локальной учетной записью администратора.
  4. Создайте ВМ для Active Directory.
  5. Создайте ВМ для бастионного хоста.
  6. Установите и настройте Active Directory.
  7. Настройте второй контроллер домена.
  8. Проверьте работу Active Directory.

Если инфраструктура вам больше не нужна, удалите все используемые ею ресурсы.

Подготовьте облако к работе

Перед работой нужно зарегистрироваться в Yandex Cloud и создать платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Примечание

Проверьте, что в платежном аккаунте указаны пользовательские данные, необходимые для выполнения требований лицензионной политики Microsoft. Без этих данных вы не сможете запустить продукт.

В стоимость инсталляции Active Directory входят:

Создайте облачную сеть и подсети

Создайте облачную сеть ad-network с подсетями во всех зонах доступности, где будут находиться виртуальные машины.

  1. Создайте облачную сеть:

    Чтобы создать облачную сеть:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать облачную сеть.
    2. Нажмите кнопку Создать сеть.
    3. Задайте имя сети: ad-network.
    4. Нажмите кнопку Создать сеть.

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    Чтобы создать облачную сеть, выполните команду:

    yc vpc network create --name ad-network

  2. Создайте три подсети в сети ad-network:

    Чтобы создать подсеть:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать подсеть.
    2. Нажмите на имя облачной сети.
    3. Нажмите кнопку Добавить подсеть.
    4. Заполните форму: введите имя подсети ad-subnet-a, выберите зону доступности ru-central1-a из выпадающего списка.
    5. Введите CIDR подсети: IP-адрес и маску подсети: 10.1.0.0/16. Подробнее про диапазоны IP-адресов в подсетях читайте в разделе Облачные сети и подсети.
    6. Нажмите кнопку Создать подсеть.

    Повторите шаги еще для двух подсетей:

    • Название: ad-subnet-b. Зона доступности: ru-central1-b. CIDR: 10.2.0.0/16.
    • Название: ad-subnet-c. Зона доступности: ru-central1-c. CIDR: 10.3.0.0/16.

    Чтобы создать подсети, выполните команды:

    yc vpc subnet create \
  --name ad-subnet-a \
  --zone ru-central1-a \
  --network-name ad-network \
  --range 10.1.0.0/16

yc vpc subnet create \
  --name ad-subnet-b \
  --zone ru-central1-b \
  --network-name ad-network \
  --range 10.2.0.0/16

yc vpc subnet create \
  --name ad-subnet-c \
  --zone ru-central1-c \
  --network-name ad-network \
  --range 10.3.0.0/16

Создайте скрипт для управления локальной учетной записью администратора

При создании виртуальных машин через CLI необходимо устанавливать пароль для локальной учетной записи администратора.

Для этого в корневой директории командной строки создайте файл с названием setpass и без расширения. Скопируйте в файл скрипт и укажите ваш пароль:

#ps1
Get-LocalUser | Where-Object SID -like *-500 | Set-LocalUser -Password (ConvertTo-SecureString "<ваш пароль>" -AsPlainText -Force)

Пароль должен соответствовать требованиям к сложности.

Подробные рекомендации по защите Active Directory читайте на сайте разработчика.

Создайте ВМ для Active Directory

Создайте две виртуальных машины для контроллеров домена Active Directory. Эти машины не будут иметь доступа в интернет.

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В поле Имя введите имя виртуальной машины: ad-vm-a.

  3. Выберите зону доступности ru-central1-a.

  4. В блоке Выбор образа/загрузочного дискаCloud Marketplace нажмите кнопку Посмотреть больше. В открывшемся окне выберите образ Windows Server 2019 Datacenter и нажмите Использовать.

  5. В блоке Диски укажите размер загрузочного диска 50 ГБ.

  6. В блоке Вычислительные ресурсы:

    • Выберите платформу Intel Ice Lake.
    • Укажите необходимое количество vCPU и объем RAM:
      • vCPU — 4.
      • Гарантированная доля vCPU — 100%.
      • RAM — 8 ГБ.

  7. В блоке Сетевые настройки:

    • Выберите подсеть ad-subnet-a.
    • Публичный адресБез адреса.
    • Внутренний адрес — выберите Вручную и укажите 10.1.0.3.

  8. В блоке Доступ в поле Пароль укажите ваш пароль.

  9. Нажмите кнопку Создать ВМ.

Повторите операцию для ВМ с именем ad-vm-b в зоне доступности ru-central1-b, подключите ее к подсети ad-subnet-b и вручную укажите внутренний адрес 10.2.0.3.

yc compute instance create \
  --name ad-vm-a \
  --hostname ad-vm-a \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-a \
  --network-interface subnet-name=ad-subnet-a,ipv4-address=10.1.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2019-dc-gvlk \
  --metadata-from-file user-data=setpass

yc compute instance create \
  --name ad-vm-b \
  --hostname ad-vm-b \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-b \
  --network-interface subnet-name=ad-subnet-b,ipv4-address=10.2.0.3 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2019-dc-gvlk \
  --metadata-from-file user-data=setpass

Создайте ВМ для бастионного хоста

Для настройки машин с Active Directory будет использоваться файловый сервер с выходом в интернет.

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В поле Имя введите имя виртуальной машины: jump-server-vm.

  3. Выберите зону доступности ru-central1-c.

  4. В блоке Выбор образа/загрузочного дискаCloud Marketplace нажмите кнопку Посмотреть больше. В открывшемся окне выберите образ Windows Server 2019 Datacenter и нажмите Использовать.

  5. В блоке Диски укажите размер загрузочного диска 50 ГБ.

  6. В блоке Вычислительные ресурсы:

    • Выберите платформу: Intel Ice Lake.
    • Укажите необходимое количество vCPU и объем RAM:
      • vCPU — 2.
      • Гарантированная доля vCPU — 100%.
      • RAM — 4 ГБ.

  7. В блоке Сетевые настройки выберите подсеть ad-subnet-c. В блоке Публичный адрес выберите вариант Автоматически.

  8. В блоке Доступ в поле Пароль укажите ваш пароль.

  9. Нажмите кнопку Создать ВМ.

yc compute instance create \
  --name jump-server-vm \
  --hostname jump-server-vm \
  --memory 4 \
  --cores 2 \
  --zone ru-central1-c \
  --network-interface subnet-name=ad-subnet-c,nat-ip-version=ipv4 \
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2019-dc-gvlk \
  --metadata-from-file user-data=setpass

Установите и настройте Active Directory

У машин с Active Directory нет доступа в интернет, поэтому их следует настраивать через ВМ jump-server-vm с помощью RDP.

  1. Подключитесь к ВМ jump-server-vm с помощью RDP. Используйте логин Administrator и ваш пароль.

  2. Запустите RDP и подключитесь к виртуальной машине ad-vm-a — используйте ее локальный IP адрес, имя пользователя Administrator и ваш пароль.

  3. Запустите PowerShell и задайте статический адрес:

    netsh interface ip set address "eth0" static 10.1.0.3 255.255.255.0 10.1.0.1

  4. Установите роли Active Directory:

    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

    Результат:

    Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Active Directory Domain Services, Group P...

  5. Создайте лес Active Directory:

    Install-ADDSForest -DomainName 'yantoso.net' -Force:$true

    Затем введите пароль и подтвердите его.

    Windows перезапустится автоматически. Снова подключитесь к ad-vm-a и откройте PowerShell.

  6. Переименуйте сайт по умолчанию в ru-central1-a:

    Get-ADReplicationSite 'Default-First-Site-Name' | Rename-ADObject -NewName 'ru-central1-a'

  7. Создайте еще два сайта для других зон доступности:

    New-ADReplicationSite 'ru-central1-b'
New-ADReplicationSite 'ru-central1-c'

  8. Создайте подсети и привяжите их к сайтам:

    New-ADReplicationSubnet -Name '10.1.0.0/16' -Site 'ru-central1-a'
New-ADReplicationSubnet -Name '10.2.0.0/16' -Site 'ru-central1-b'
New-ADReplicationSubnet -Name '10.3.0.0/16' -Site 'ru-central1-c'

  9. Переименуйте сайт-линк и настройте репликацию:

    Get-ADReplicationSiteLink 'DEFAULTIPSITELINK' | `
    Set-ADReplicationSiteLink -SitesIncluded @{Add='ru-central1-b'} -ReplicationFrequencyInMinutes 15 -PassThru | `
    Set-ADObject -Replace @{options = $($_.options -bor 1)} -PassThru | `
    Rename-ADObject -NewName 'ru-central1'

  10. Укажите сервер переадресации DNS:

    Set-DnsServerForwarder '10.1.0.2'

  11. Настройте DNS-клиент:

    Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.2.0.3,127.0.0.1"

Настройте второй контроллер домена

  1. Подключитесь к ВМ jump-server-vm с помощью RDP.

  2. С помощью RDP подключитесь к виртуальной машине ad-vm-b — используйте ее локальный IP адрес, имя пользователя Administrator и ваш пароль.

  3. Установите роли Active Directory:

    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

    Результат:

    Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             NoChangeNeeded {}

  4. Настройте DNS-клиент:

    Get-NetAdapter | Set-DnsClientServerAddress -ServerAddresses "10.1.0.3,127.0.0.1"

  5. Настройте статический IP-адрес:

    netsh interface ip set address "eth0" static 10.2.0.3 255.255.255.0 10.2.0.1

  6. Добавьте контроллер в домен:

    Install-ADDSDomainController `
    -Credential (Get-Credential "yantoso\Administrator") `
    -DomainName 'yantoso.net' `
    -Force:$true

    Затем введите пароль и подтвердите его.

    Windows перезапустится автоматически. Снова подключитесь к ad-vm-a и откройте PowerShell.

  7. Укажите сервер переадресации DNS:

    Set-DnsServerForwarder '10.2.0.2'

Проверьте работу Active Directory

  1. Подключитесь к ВМ jump-server-vm с помощью RDP.

  2. С помощью RDP подключитесь к виртуальной машине ad-vm-b — используйте ее локальный IP адрес, имя пользователя Administrator и ваш пароль. Запустите PowerShell.

  3. Создайте тестового пользователя:

    New-ADUser testUser

  4. Убедитесь, что пользователь присутствует на обоих серверах:

    Get-ADUser testUser -Server 10.1.0.3
Get-ADUser testUser -Server 10.2.0.3

    Результат:

    DistinguishedName : CN=testUser,CN=Users,DC=yantoso,DC=net
Enabled           : False
GivenName         :
Name              : testUser
ObjectClass       : user
ObjectGUID        : 7202f41a-(...)-2d168ecd5271
SamAccountName    : testUser
SID               : S-1-5-21-(...)-1105
Surname           :
UserPrincipalName :

DistinguishedName : CN=testUser,CN=Users,DC=yantoso,DC=net
Enabled           : False
GivenName         :
Name              : testUser
ObjectClass       : user
ObjectGUID        : 7202f41a-(...)-2d168ecd5271
SamAccountName    : testUser
SID               : S-1-5-21-(...)-1105
Surname           :
UserPrincipalName :

Как удалить созданные ресурсы

Чтобы перестать платить за развернутые серверы, достаточно удалить все созданные виртуальные машины.

Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье: