在Windows实例上搭建AD域并将客户端加入AD域

准备工作需要创建两台ECS实例，其中一台ECS实例作为AD域的域控制器DC（Domain Controllers），另外一台作为客户端（Client）加入该域。关于如何创建ECS实例的具体操作，请参见自定义购买实例。

本文环境示例信息如下：

组网信息：网络类型采用专有网络VPC，交换机的私有网段为172.31.0.0/16。

域名信息：AD域的根域名信息，示例域名为example.com。

ECS实例IP信息：作为DC的ECS实例IP地址为172.31.106.88，作为客户端的ECS实例IP地址为172.31.106.87。

重要 如果进行了搭建AD域的操作，请保证相关的ECS实例始终使用相同的IP地址，否则IP地址变化会导致访问异常。

步骤一：部署AD域控制器重要 阿里云不推荐您使用已有的域控制器创建自定义镜像来部署新的域控。如果必须使用，请注意新建实例的主机名（hostname）和创建自定义镜像之前实例的主机名必须保持一致，否则可能会报错服务器上的安全数据库没有此工作站信任关系；您也可以在创建实例后修改成相同的主机名，解决此问题。

远程连接作为域控制器的ECS实例。

具体操作，请参见连接实例。

打开服务器管理器。

在桌面左下角单击图标，在搜索框输入服务器管理器，然后单击服务器管理器。

在服务器管理器中，为服务器添加角色和功能。

本文以将AD域服务和DNS服务部署在同一台服务器上为例，操作步骤如下：

重要 除额外说明的配置外，部分配置步骤已省略，配置时保持默认配置，单击下一步即可。

单击添加角色和功能。

选择安装类型。

选择要安装角色和功能的服务器。

选中要安装在服务器上的角色，即Active Directory 域服务和DNS 服务器。

安装完成后，单击关闭。

将ECS实例设置为域服务器。

重要 除额外说明的配置外，部分配置步骤已省略，配置时保持默认配置，单击下一步即可。

单击服务器管理器右上角的图标，然后单击将此服务器提升为域控制器。

在Active Directory 域服务配置向导中，选择添加新林，并在根域名中设置域名。

本文操作中，AD域的示例域名为example.com。

配置域服务器参数，然后单击下一步。

配置DNS选项，然后单击下一步。

配置NetBIOS域名，然后单击下一步。

检查并确认您的选择，单击下一步。

所有先决条件都检查通过后，单击安装。

安装完成后将自动重启该服务器，重新连接该服务器后可以在系统配置中查看安装结果，当您的DC相关信息无误时，表示安装成功，如下图所示。

步骤二：将客户端加入AD域重要 对于作为客户端的ECS实例，阿里云不推荐您使用已加入AD域的客户端实例来创建自定义镜像，否则新镜像创建的实例会报错服务器上的安全数据库没有此工作站信任关系。如果确实需要，建议您在创建新的自定义镜像前先退出域。

由于使用非公共镜像创建的ECS实例具有相同的安全标识符（Security Identifier，简称SID），因此当客户端与域控制器均源自同一自定义镜像时，需修改客户端的SID，具体操作请参见修改客户端的SID。

远程连接作为客户端的ECS实例。

具体操作，请参见连接实例。

修改客户端DNS服务器地址。

将客户端的DNS服务器地址更改为您已部署的DNS服务器的IP地址。由于步骤一：部署AD域控制器已将AD域服务和DNS服务部署在同一台ECS实例上（IP地址为172.31.106.88），所以，指定DNS服务器的地址为172.31.106.88。

检查是否能ping通DNS服务器IP地址。

如图所示，正常返回相关参数，表示可以ping通DNS服务器。

将客户端加入到AD域中。

进入控制面板的系统页面。

在桌面左下角单击图标，在搜索框输入控制面板，并在搜索结果中单击控制面板。

选择系统和安全 > 系统。

在计算机名、域和工作组设置区域右侧，单击更改设置。

在系统属性页面，单击更改。

在计算机名/域更改页面，添加AD域信息。

请填写步骤一：部署AD域控制器设置的AD域根域名，本文示例为example.com。

重新启动服务器，使修改生效。

如果您的计算机信息中自动加上了AD域的根域名，则表示该客户端已成功加入AD域。

相关操作修改客户端的SID使用Windows提供的Sysprep工具修改SID。

找到Sysprep.exe，通常位于C:\Windows\System32\Sysprep目录下。

以管理员权限运行Sysprep.exe，并勾选“通用”选项，点击确定。

重启系统后，SID将被修改，此时可以尝试重新加入域‌。

如何使用AD域在您成功在ECS实例上搭建AD域并将客户端加入AD域后，可以根据实际需求进行相关操作，例如创建用户和组织单位等。有关更多信息，请参见Active Directory 域服务概述。

常见问题如果您无法将多台客户端加入AD域或加入AD域后实例间无法互相访问，您可以参考实例之间无法互相访问AD域或同时加入AD域怎么办？进行处理。

如果您在Windows实例中安装域控制器时出现如下提示，您可以参考在Windows系统的ECS实例中安装AD域控制器的注意事项及常见问题说明进行处理。

安装Active Directory域服务二进制文件失败

此计算机具有动态分配的IP地址

0x0000232B RC0DE_NAME_ERROR

找不到网络路径

当客户端加入AD域时提示“无法完成域加入，原因是试图加入的域的SID与本计算机的SID相同。”时，解决方案请参见修改客户端的SID。