Хотите централизованно управлять серверами и пользователями, даже если всё крутится в облаке? Для этого достаточно развернуть Active Directory на VPS. В материале рассказали, как это сделать.
Введение
Представьте, что у вас несколько серверов и множество учётных записей, которыми нужно управлять. Настраивать права доступа на каждом компьютере отдельно неудобно, хочется централизованного управления пользователями и ресурсами. В таких случаях на помощь системному администратору приходит технология Active Directory. Причём развернуть собственный домен можно не только в локальной сети, но и на удалённом VPS-сервере в облаке, и это не так сложно, как может показаться на первый взгляд.
В статье объяснили, как с нуля развернуть контроллер домена на Windows Server. Пошагово прошли через настройку сети, установку AD DS и создание пользователей в домене.
Аренда VPS/VDS — от ₽219/месяц
Почему выбирают VPS от AdminVPS:
✓ Дешевле физического сервера
✓ Более гибкий и мощный, чем обычный хостинг
✓ Бесплатная защита от DDoS и техподдержка 24/7
✓ Масштабируется под любые задачи
Виртуальный сервер VPS/VDS — ваш личный сервер для сайтов, магазинов, ботов и других проектов.
Что такое Active Directory
Active Directory Domain Services (AD DS) — это реализация службы каталогов от Microsoft, предназначенная для централизованного хранения данных аутентификации и управления доступом в сети. Проще говоря, Active Directory позволяет администраторам создавать домен — единую среду, где компьютеры и пользователи регистрируются на сервере-контроллере и получают доступ к ресурсам по единым учётным записям. В домене AD все учётные данные, права и политики хранятся централизованно на контроллере, что упрощает поддержку безопасности и управление, особенно в корпоративных сетях. Например, добавив пользователя в группу в AD, можно сразу дать ему доступ к нужным ресурсам на всех компьютерах, входящих в домен, вместо настройки на каждом отдельном сервере.
Сегодня многие инфраструктуры переезжают на виртуальные серверы. Если у вас несколько Windows-серверов в облаке (VPS/VDS) или сочетание локальных и удалённых машин, объединение их в единый домен Active Directory даст те же преимущества централизованного управления. Вы сможете администрировать пользователей и права доступа из одного места, даже если серверы физически разбросаны.
Узнать больше о том, что такое Active Directory в Windows, вы можете в статье.
Подготовка Windows Server перед установкой домена
Перед началом проверьте, есть ли у вас доступ к Windows Server с правами администратора. На VPS достаточно подключиться по RDP под учётной записью Admin или Administrator. Рекомендуется сразу обновить систему и создать надёжный пароль, если это ещё не сделано.
Первым делом стоит задать понятное имя серверу, оно должно вписываться в будущую структуру домена. Windows по умолчанию присваивает машине случайное имя вроде WIN-XYZ..., и если не сменить его заранее, потом, после установки Active Directory, это будет уже проблематично. Переименуйте сервер сейчас. Для этого откройте «Этот компьютер», кликните правой кнопкой мыши, выберите «Свойства» и нажмите «Изменить параметры» напротив текущего имени. Введите, например, DC1, если это будет первый контроллер домена, подтвердите и перезагрузите сервер. После перезагрузки он уже будет работать под новым именем.
Далее настройте сеть: доменному контроллеру важен фиксированный IP. Откройте свойства сетевого адаптера (через Win+R и ncpa.cpl), выберите нужное подключение и вручную пропишите адрес, маску и шлюз, так сервер не потеряется в сети после перезапуска. Важно, чтобы IP находился в той же сети, что и остальные устройства, которые будут включаться в домен. В качестве DNS-сервера временно можно указать адрес шлюза или публичный DNS от провайдера. После установки роли Active Directory контроллер сам будет выполнять функции DNS, и тогда его IP можно будет вписать в этом поле. Если вы используете несколько VPS, объедините их в одну приватную сеть через панель управления хостингом. Это позволит серверам обращаться друг к другу по внутренним адресам. После внесения всех изменений обязательно убедитесь, что сервер по-прежнему доступен по RDP уже с новым IP.
Установка роли Active Directory Domain Services
Когда система готова, переходите к установке Active Directory Domain Services. Делается это через мастер добавления ролей в Windows Server.
Откройте «Диспетчер серверов», значок можно найти в меню «Пуск» или на панели задач. В главном окне нажмите «Добавить роли и компоненты». Запустится мастер. На первом экране сразу переходите далее.
Выберите тип установки «Установка ролей или компонентов». Затем укажите сервер из списка. Обычно он там один, так что просто продолжайте.
В списке ролей найдите и отметьте «Доменные службы Active Directory». Система предложит установить дополнительные компоненты, в том числе .NET Framework, соглашайтесь. Если планируется использовать этот же сервер как DNS, что логично для одиночного контроллера, стоит проверить, выбрана ли служба DNS. Даже если не отметить её вручную, мастер установки всё равно может добавить её позже, но лучше не полагаться на автомат.
Далее останется подтвердить установку. Мастер отобразит выбранные роли и компоненты. Проверьте, всё ли на месте, и запускайте установку. Процесс займёт несколько минут. Когда он завершится, появится сообщение об успешной установке. Однако сам домен пока не работает, это только программная основа. Чтобы сервер начал выполнять роль контроллера, его ещё нужно повысить, что мы и сделаем далее.
Развёртывание нового домена Active Directory
После установки роли AD DS в «Диспетчере серверов» загорится флажок уведомлений. Кликните по нему и выберите вариант повышения сервера — это откроет мастер, через который вы создадите домен и превратите машину в полноценный контроллер.
Если это первый домен в сети, выберите создание нового леса. Задайте имя домена, например, example.local. Оно должно состоять минимум из двух частей и не пересекаться с реальными публичными доменами, чтобы избежать проблем с DNS. Убедитесь, что работаете под учёткой администратора, это необходимо для завершения всех этапов установки.
На следующем экране останутся параметры по умолчанию: уровни функциональности, роль DNS и создание каталога. Оставьте всё как есть и задайте пароль режима восстановления AD. Этот пароль понадобится только в случае серьёзных сбоев, но его обязательно сохранить в надёжном месте.
Мастер может предупредить об отсутствии делегирования DNS, просто продолжайте. NetBIOS-имя домена обычно подставляется автоматически, менять его не обязательно. Пути для базы данных и журналов тоже можно оставить стандартными.
На финальном шаге появится сводка настроек. Проверьте имя домена и другие параметры, затем запускайте установку. После этого сервер сам выполнит перезагрузку. Когда он загрузится, в системе уже будет активный контроллер домена со всеми необходимыми службами.
Создание учётных записей пользователей в домене
Когда домен уже развёрнут, самое время заняться управлением учётными записями. Начать стоит с создания нового пользователя. На контроллере откройте «Диспетчер серверов», перейдите в раздел доменных служб и вызовите контекстное меню на имени сервера. В списке выберите пункт «Пользователи и компьютеры Active Directory», откроется панель для администрирования AD.
Найдите контейнер Users или нужную организационную единицу, кликните правой кнопкой и выберите создание нового пользователя. Укажите имя, логин (обычно латиницей) и перейдите к установке пароля. Сервер попросит задать сложный пароль, включающий разные символы, и предложит опции: смена пароля при первом входе, запрет его изменения, бессрочность учётки и так далее.
Если есть ещё один администратор, добавьте нового пользователя в группу Domain Admins. Откройте свойства, перейдите на вкладку «Членство в группах» и добавьте нужную роль через «Проверку имён».
Для проверки попробуйте зайти в систему под новой учёткой. При входе через RDP или на рабочей станции введите имя в формате user@домен или домен\user. Если всё работает, контроллер функционирует как положено.
Если при подключении возникают проблемы, загляните в настройки сети. Брандмауэр может мешать. Для внешнего трафика защита должна быть включена, но внутренняя сеть, через которую пользователи обращаются к контроллеру, не должна блокировать сервисы Active Directory. В доменной сети Windows обычно сама настраивает нужные порты. Если сеть приватная, проверьте, чтобы файрвол был настроен правильно или отключён для этой зоны. Иначе подключения будут срываться, даже если остальная настройка выполнена верно.
Заключение
После того как вы развернули на удалённом Windows-сервере полноценный контроллер домена Active Directory все необходимые настройки — от имён компьютеров до паролей пользователей — хранятся централизованно, и управлять ими вы можете из одной консоли. Даже небольшой виртуальный сервер в облаке способен выполнять роль доменного контроллера для группы ваших машин, облегчая администрирование. Освоив базовую установку, вы можете дальше изучать возможности Active Directory: групповая политика, службы сертификатов, файловые сервисы и многое другое легко интегрируется в ваш новый домен. Главное регулярно делайте резервные копии (бекапы) системного состояния контроллера и следите за безопасностью.
Читайте в блоге:
- Настраиваем nftables для защиты веб-сервера на Ubuntu 24.04
- Как обновить ядро Linux на Ubuntu 24.04 и откатить изменения при ошибках
- Как перенести Ubuntu 24.04 на новый сервер без переустановки
