Пошаговое руководство: создание инфраструктуры Active Directory в AWS EC2

В этой статье мы создадим базовую инфраструктуру на Amazon EC2 (Elastic Compute Cloud) для поддержки нового контроллера домена и рядовых серверов, присоединяющихся к этой новой инфраструктуре. Мы начнем с сетевой стороны, затем сделаем первый экземпляр контроллером домена и завершим настройку, чтобы убедиться, что инфраструктура поддерживает новую среду Active Directory. (Для администраторов Azure, не знакомых с AWS, ознакомьтесь с нашей предыдущей статьей здесь.) Когда мы закончим, вы создадите инфраструктуру Active Directory в AWS EC2.

Наша среда будет простой: один контроллер домена, использующий DNS-имя домена и в качестве NetBIOS. Однако те же принципы, что и в этой статье, можно использовать при расширении центра обработки данных с локального на облачное или при наличии сложной облачной среды, содержащей более двух сайтов.

Инфраструктура Active Directory в AWS EC2: настройка сети VPC

Войдите в консоль AWS, нажмите «Сервисы», а затем «VPC», после чего откроется . Поскольку мы используем совершенно новую подписку, у нас должно быть всего несколько элементов по умолчанию. Наша первая цель — создать сеть для поддержки нашей Active Directory в облаке AWS. Нажмите Start VPC Wizard, чтобы начать процесс создания сети.

. У нас будет четыре шаблона для начала. Самый простой — это . В этом сценарии администратор может контролировать доступ к серверам либо с помощью , либо . Это конфигурация VPC, которую мы будем использовать в этой статье. Щелкните Выбрать.

. Первый шаг — определить блок IPv4 для нашего VPC. Мы будем использовать 10.0.0.0/16, и нам нужно назвать VPC; в нашем случае он будет называться . После этого нам нужно определить одну подсеть, связать ее с зоной доступности и определить для нее имя.

Соглашение об именовании является ключом к обеспечению согласованности в вашей облачной среде. В этой статье мы используем имя, которое предоставляет информацию о сайте (CAC1A), типе объекта (NWS для сетевой подсети) и краткое описание (сегмент сервера). После настройки базовой сети нажмите «Создать VPC».

По умолчанию новая подсеть, созданная во время работы этого мастера, не будет назначать общедоступный IPv4 для серверов, что является хорошей встроенной функцией безопасности.

Однако в этой статье у нас нет VPN-подключения между нашей локальной средой и нашим облаком AWS. Таким образом, нам потребуется доступ в Интернет для управления этими серверами. Мы изменим настройки по умолчанию, щелкнув «Подсети», выбрав новую подсеть, которую мы только что создали (CAC1A-NWS-Servers), и нажмите «Действия подсети», выберите «Изменить параметры автоматического назначения IP» и выберите «Включить автоматическое назначение». общедоступный IPv4-адрес на новой странице и нажмите «Сохранить», а затем «Закрыть».

Создание нового контроллера домена

На этом этапе мы создали базовую сетевую инфраструктуру для поддержки нашей новой среды. Наш следующий шаг — создать экземпляр для первого контроллера домена. Войдите в консоль AWS, щелкните Services, EC2 и на странице щелкните Launch Instance. Это шаги, необходимые для создания первого экземпляра, на котором будет работать контроллер домена.

, выберите базу Windows Server 2016.

, оставьте настройки по умолчанию.

. На этом шаге обязательно настройте новый VPC, который мы создали в предыдущем разделе, а также подсеть. Еще одна вещь — настроить роль IAM. Мы будем использовать роль с полным разрешением на управление экземплярами EC2.

Прежде чем продолжить работу с мастером, мы добавим командлет PowerShell для переименования имени компьютера в рамках процесса подготовки. Мы добавим следующий текст в раздел (см. снимок экрана ниже). Этот командлет будет выполнен во время первой загрузки после создания экземпляра.

. Оставьте настройки по умолчанию.

. Настройте имя так, чтобы оно соответствовало имени, которое мы добавили в командлет имени сервера PowerShell.

. На этой странице мы создадим группу безопасности, которая будет связана со всеми серверами из этой статьи. Мы будем использовать простое соглашение об именах, в котором мы указываем центр обработки данных (CAC, то есть Canada Central), двузначное число для типа объекта (SG для группы безопасности) и краткое описание.

Помимо обычного RDP из Интернета для подключения к экземплярам, мы собираемся разрешить весь трафик между серверами из подсети, которую мы создали как часть нашего нового VPC (10.0.0.0/16). Нажмите «Обзор и запуск» и начните подготовку первого экземпляра.

Нам понадобится закрытый ключ для подключения к серверу. Мы создадим один для всех экземпляров Windows Server, которые будут частью нашей инфраструктуры. Создайте новую и назовите ее файлом windows.pem.

Сборка первого контроллера домена и настройка DHCP

Войдя в новый экземпляр (используя закрытый ключ, который мы создали на предыдущем шаге), наша первая задача — получить текущий IP-адрес нашего нового экземпляра. В нашей статье IP 10.0.0.74. Эта информация понадобится нам для настройки параметра DNS-сервера, который будет назначен всем серверам, подключенным к нашему VPC.

Войдите в консоль AWS, нажмите Services, а затем VPC. На новой странице нажмите «Наборы параметров DHCP», а затем нажмите «Создать набор параметров DHCP » и настройте параметры DNS, домен и т. д.

Последний шаг — связать эту совершенно новую опцию DHCP с VPC. Щелкните элемент Your VPCs слева, выберите , щелкните Actions, а затем Edit DHCP Options Set. На новой странице выберите набор параметров DHCP и нажмите «Сохранить».

После внесения изменений в DHCP у нас есть два варианта обновления настроек экземпляра, который будет нашим будущим контроллером домена. Мы можем либо перезапустить экземпляр, либо запустить ipconfig /release && ipconfig /renew в командной строке от имени администратора.

Время настроить контроллер домена: первый шаг — добавить роль доменных служб Active Directory на сервер, и это можно легко сделать с помощью PowerShell следующим образом:

Add-WindowsFeature AD-Domain-Services -IncludeManagementTools

После этого нам нужно завершить процесс с помощью Диспетчера серверов и с помощью опции Повысить уровень этого сервера до контроллера домена. В этой статье мы создаем с нуля, поэтому требуется только принятие решения на первой странице, где нам нужно выбрать Добавить новый лес, а затем ввести желаемое доменное имя (в нашем случае ). Также не забудьте указать имя домена NetBIOS, когда его попросят. В нашем примере это будет .

После завершения работы мастера сервер будет перезапущен, и сервер будет готов к использованию. После первого входа я рекомендую создать вторую учетную запись администратора и переименовать пароль для администратора. С этого момента этот сервер больше не будет использовать закрытый ключ для расшифровки пароля.

Добавление дополнительных серверов

Теперь, когда у нас есть инфраструктура и наш первый контроллер домена запущен и работает, мы можем начать подготовку новых серверов. Обязательно переименуйте серверы, прежде чем присоединять их к домену. Если вы собираетесь создать один экземпляр из консоли AWS, обязательно добавьте пользовательские данные для нового сервера, который автоматически переименует его. Если нет, обязательно переименуйте сервер перед присоединением к домену.

После запуска и запуска экземпляра просто присоедините компьютер к домену, как показано на изображении ниже, и процесс должен пройти без проблем. Просто введите доменное имя и введите учетные данные.

В этих нескольких шагах мы продемонстрировали, как создать инфраструктуру AWS EC2 для поддержки контроллера домена, работающего на инстансе EC2, и всех новых контроллеров домена.