我对 Active Directory 还很陌生,我正在尝试在 Windows 2016 Azure VM 上设置 Active Directory,然后将控制器公开到 Internet,这样我就可以将 PC 加入目录。由于这仅用于测试目的,因此安全性并不重要。
我按照此链接中的步骤在 VM 中创建 Active Directory:http://pc-addicts.com/setup-active-directory-server-2016/
我也有自己的域名,但对于这个问题,我将其隐藏为 testdomaincontroller.com 计算机名称是 adreg,因此服务器变成了 adreg.testdomaincontroller.com
在我的测试中,我使用的根域名是:testdomaincontroller.com
现在我想将活动目录公开,以便我可以将 PC 加入域控制器。我找不到有关如何执行此操作的任何文档或教程,那么需要哪些步骤?应该在我的热门 DNS 记录区域上添加什么,以便示例 Windows 10 PC 可以加入域?应该将哪些端口公开到 NSG 中,并允许其进入 VM 防火墙?
答案1
将来,当启动真实域时,您应该使用注册域的子域作为域的 FQDN。就目前情况而言,您可能应该回去这样做。虽然这不是一个好主意(即使对于测试也是如此)。
我将使用 ad.testdomaincontroller.com 从头开始。我将在您的公共 DNS 区域中为 ad.testdomaincontroller.com 创建 DNS 委派,以指向您即将成为 DNS 服务器的 IP 地址。然后,我将使用新名称重新执行该过程,并让域控制器(充当新域的 DNS 服务器)为该域创建所有必要的服务记录。如果没有这部分,您将被迫手动创建一个束子域名、服务定位器记录和 A 记录 - 不必为此烦恼。这不可行,而且对于测试环境来说,这样做可能得不偿失。
你可能会不是查找有关如何在公共互联网上公开域控制器的任何文档,因为这不是一个有效或理想的配置。
以下是 Ace Fekay 的一篇详细博客文章,详细介绍了 DC 到 DC 通信以及客户端到 DC 通信所需的端口:https://blogs.msmvps.com/acefekay/category/dc-to-client-communications-firewall-ports/
以下是有关通过 NAT 运行 AD 的一些其他详细信息,仅供参考:https://support.microsoft.com/en-us/help/978772/description-of-support-boundaries-for-active-directory-over-nat