本文档适用Server2012R2、Server2016、Server2019(server2022虽然没试,但应该是可以的,server2016/2019都是NT10,server2022也是NT10)
以下是公共镜像新买的机器操作,如果不是干净的环境,建议备份数据后重装系统为公共镜像操作。全程在VNC里操作是为了能完整看到全过程。
1、VNC登录,Network Location Wizard选"是"
如果新建的机器主机名没生效,需要手动重启下。运行control system看下主机名是否需要重启生效,是的话,先重启使主机名生效,比如下图:
2、配置静态IP(不配也可以,忽略后面的静态IP的告警即可)
3、powershell安装dotnet
Get-WindowsFeature net-*|Install-WindowsFeature
4、配置域控,可以用3句powershell命令实现自动化安装
Install-WindowsFeature -Name DNS -IncludeManagementTools
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
第3句(替换5处红底标记)
密码:QYv_lr6dx6cj
域:citrixlab.local
第3句命令里的数字,你域控是2012R2系统就取6,是2016/2019就取7 信息(密码、域、系统代号)替换成自己的
Install-ADDSForest -SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "QYv_lr6dx6cj" -Force) -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "7" -DomainName "citrixlab.local" -DomainNetbiosName "CITRIXLAB" -ForestMode "7" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$false -SysvolPath "C:\Windows\SYSVOL" -Force:$true
5、域控配置好以后,运行dsa.msc创建域用户
选一下密码永不过期
6、在控制台修改VPC的DNS,把域控的内网IP加到前面,并重启域控机器
7、避免在公网使用53端口、445端口的业务,安全组请先对内网网段放行,然后禁止0.0.0.0/0访问
53端口主要是安全合规的背景
445端口主要是黑客攻击的背景
安全组配置不当使得DNS在公网能访问的话,就会被平台封禁53端口流量,影响机器内外网53端口业务
针对53端口,建议内网放行全部,外网禁止所有,参考下图
8、登录要入域的机器执行入域(运行sysdm.cpl,更改 → 隶属于)
入域后就可以用第5步里设置的域用户登录了
