Как развернуть Active Directory на VPS: пошаговый гайд для Windows Server

Представьте себе империю — не из камня и стали, а из серверов, пользователей, политик и прав доступа. В этой империи царит хаос: каждый компьютер требует отдельного управления, каждый пользователь — уникальных настроек, каждое приложение — своих разрешений. Администратор, как император, бегает от одного трона к другому, вручную выдавая короны и скрипты. Но есть путь к просветлению — путь к централизованной власти. Этот путь называется Active Directory.

И пусть вас не смущает, что ваша империя не занимает целый офисный этаж — сегодня она может уместиться в облачном VPS, арендованном за несколько долларов в месяц. Да, именно так: доменный контроллер, полный власти и функциональности, можно развернуть на виртуальном сервере, расположенном где-то в дата-центре на другом конце света. И в этой статье мы не просто расскажем, как это сделать — мы проведём вас по каждому шагу, как по коридорам древнего замка, раскрывая тайны, термины и технологии, чтобы вы вышли из процесса не просто администратором, а владыкой цифрового домена.

Active Directory: сердце цифровой империи, где правят учётные записи и политики

Что же такое Active Directory Domain Services (AD DS)? Это не просто служба. Это — живой каталог, древо власти, где каждый лист — это пользователь, каждый корень — группа, каждый ствол — политика безопасности. Это реализация службы каталогов от Microsoft, созданная для того, чтобы превратить хаотичную сеть компьютеров в единое, управляемое государство — домен.

В домене все компьютеры и пользователи регистрируются на контроллере домена — сервере, который хранит единую базу данных обо всех субъектах и объектах в сети. Это как центральный архив всех удостоверений личности, ключей от дверей и законов, регулирующих поведение граждан. Когда пользователь входит в систему, он аутентифицируется не на локальной машине, а на контроллере. Когда администратор хочет дать доступ к файловому серверу — он не бегает по машинам, а просто добавляет пользователя в нужную группу в AD. Всё просто. Всё централизовано. Всё под контролем.

Active Directory — это не только для корпораций с сотнями сотрудников. Это для всех, кто хочет порядка. Даже если у вас три сервера в облаке — VPS с Windows Server, ещё один для базы данных и третий для веб-приложения — вы можете объединить их в домен. Это позволит:

• Централизованно управлять учётными записями — один пароль, один логин, один вход для всех ресурсов.
• Автоматически применять политики безопасности — через Group Policy Objects (GPO).
• Упрощать аудит и мониторинг — все события аутентификации и авторизации логируются на контроллере.
• Масштабировать инфраструктуру — добавление нового сервера в домен занимает минуты.

И да, всё это можно развернуть на VPS. Главное — выбрать подходящий образ Windows Server (2016, 2019 или 2022), выделить минимум 2 ГБ оперативной памяти (рекомендуется 4 ГБ и выше) и подготовиться к великой миссии построения цифрового царства.

Подготовка трона: настройка Windows Server перед восшествием на доменный престол

Прежде чем короновать сервер контроллером домена, нужно подготовить его к правлению. Это не просто перезагрузка и обновление — это ритуал инициации, в котором каждое действие имеет значение.

Шаг 1: Обновление и Защита

Первое, что делает мудрый администратор — обновляет систему. Подключитесь к серверу через RDP (Remote Desktop Protocol) под учётной записью Administrator. Откройте «Параметры» → «Обновление и безопасность» → «Центр обновления Windows» и установите все доступные обновления. Перезагрузите сервер, если потребуется.

Затем — смените пароль администратора на надёжный. Не используйте «123456» или «password». Используйте минимум 12 символов: заглавные и строчные буквы, цифры, спецсимволы. Это ваш первый рубеж безопасности.

Шаг 2: Именование Сервера — Первый Акт Власти

По умолчанию Windows Server имеет имя вроде WIN-ABCD1234XYZ. Это имя — позор для будущего контроллера домена. Его нужно сменить до установки AD DS, иначе потом это будет невозможно без демонтажа домена.

Как переименовать:

1. Щёлкните правой кнопкой мыши по «Этот компьютер» → «Свойства».
2. Нажмите «Изменить параметры» рядом с именем устройства.
3. В открывшемся окне нажмите «Изменить…».
4. Введите новое имя, например: DC01 (Domain Controller 01) или AD-PRIMARY.
5. Нажмите «ОК» → «ОК» → «Перезагрузить сейчас».

После перезагрузки сервер будет отвечать на новое имя. Убедитесь, что вы можете подключиться к нему по RDP с новым именем (если DNS в вашей сети настроен) или по IP.

Шаг 3: Настройка Сети — Фундамент Империи

Контроллер домена должен иметь статический IP-адрес. Динамический адрес — это предательство стабильности. Представьте: сервер перезагрузился, получил новый IP, и все клиенты потеряли к нему доступ. Катастрофа.

Как настроить статический IP:

1. Нажмите Win + R, введите ncpa.cpl и нажмите Enter.
2. Щёлкните правой кнопкой по активному сетевому адаптеру → «Свойства».
3. Выберите «IP версии 4 (TCP/IPv4)» → «Свойства».
4. Выберите «Использовать следующий IP-адрес».
5. Введите:
   • IP-адрес: например, 192.168.1.10 (в вашей подсети)
   • Маска подсети: 255.255.255.0
   • Основной шлюз: 192.168.1.1
6. В поле «Предпочитаемый DNS-сервер» пока укажите публичный DNS, например, 8.8.8.8 (Google DNS) или 1.1.1.1 (Cloudflare). После установки AD DS вы замените его на свой собственный IP!
7. Нажмите «ОК» → «Закрыть».

Если вы используете несколько VPS в облаке, обязательно объедините их в приватную сеть через панель управления хостинга (например, в DigitalOcean — Private Networking, в AWS — VPC). Это обеспечит безопасное и быстрое взаимодействие между серверами без прохождения через публичный интернет.

Проверьте связь:

ping 8.8.8.8
nslookup google.com

Если всё отвечает — сеть настроена. Теперь сервер готов к восхождению.

Коронация: установка роли Active Directory Domain Services — первый шаг к власти

Теперь, когда сервер назван, защищён и подключён — пришло время дать ему власть. Для этого нужно установить роль Active Directory Domain Services. Это как вручить скипетр и державу.

Процесс установки:

1. Откройте Диспетчер серверов (Server Manager) — иконка на панели задач или в меню «Пуск».
2. В правом верхнем углу нажмите «Управление» → «Добавить роли и компоненты».
3. Откроется мастер. Нажмите «Далее» на экране «Перед началом работы».
4. Выберите «Установка ролей или компонентов» → «Далее».
5. Выберите «Выбором из пула серверов» → выберите ваш сервер (обычно он один) → «Далее».
6. В списке ролей найдите и отметьте галочкой: «Службы Active Directory Domain Services».

Система предупредит: «Для установки этой роли требуются дополнительные компоненты». Нажмите «Добавить компоненты».

Также рекомендуется установить:

• DNS-сервер — без него домен не будет работать. AD DS сам предложит его установить, но лучше проверить.
• .NET Framework 4.8 — для совместимости с современными инструментами.

Продолжайте нажимать «Далее», пока не дойдёте до экрана подтверждения. Проверьте список выбранных ролей и компонентов. Должно быть:

• Active Directory Domain Services
• DNS Server
• .NET Framework 4.8 Features

Нажмите «Установить». Процесс займёт 5–10 минут. Не закрывайте окно — по завершении появится кнопка «Закрыть» и уведомление: «Установка завершена успешно».

Но! Сервер пока не контроллер. Он только получил «лицензию на власть». Теперь нужно повысить его до контроллера домена.

Восхождение на престол: развёртывание нового домена — рождение цифрового царства

После установки роли в «Диспетчере серверов» появится жёлтый флажок с восклицательным знаком. Это не предупреждение — это призыв к действию. Кликните по нему и выберите: «Повысить этот сервер до контроллера домена».

Откроется мастер развёртывания Active Directory. Вот ключевые шаги:

Шаг 1: Выбор типа развёртывания

Если вы создаёте первый домен в сети (а вы создаёте!), выберите: «Добавить новый лес». В поле «Имя корневого домена в новом лесу» введите имя домена, например:

mycompany.local

Важно: Не используйте публичные домены (например, mycompany.com), если у вас нет делегирования DNS. Используйте .local, .lan, .internal. Это частные зоны, не конфликтующие с интернетом.

Шаг 2: Уровни функциональности

Оставьте значения по умолчанию:

• Уровень функциональности леса: Windows Server 2016 (или ваша версия)
• Уровень функциональности домена: Windows Server 2016
• Установить службы DNS на этом сервере — галочка должна стоять
• Создать каталог NTDS — оставить по умолчанию

Шаг 3: Пароль режима восстановления служб каталогов (DSRM)

Задайте сложный пароль (не менее 12 символов). Этот пароль нужен только в аварийных ситуациях, когда домен не запускается. Сохраните его в надёжном месте — например, в менеджере паролей или сейфе. Без него вы не сможете восстановить контроллер при катастрофе.

Шаг 4: Параметры DNS

Система может выдать предупреждение: «Предварительные проверки не пройдены. Не удалось разрешить имя этого сервера…». Это нормально — DNS ещё не настроен. Нажмите «Да» и продолжайте.

Шаг 5: NetBIOS-имя домена

Система автоматически предложит имя, например: MYCOMPANY. Оставьте его или измените, если нужно. NetBIOS используется для совместимости со старыми системами.

Шаг 6: Пути к файлам

Оставьте пути по умолчанию:

• База данных Active Directory: C:\Windows\NTDS
• Журналы Active Directory: C:\Windows\NTDS
• Общий системный том (SYSVOL): C:\Windows\SYSVOL

Если у вас отдельный диск для данных — можно указать его, но для VPS с одним диском — оставьте как есть.

Шаг 7: Параметры проверки

Нажмите «Далее». Мастер выполнит проверку. Если будут ошибки — исправьте их. Чаще всего это предупреждения о DNS — игнорируйте, если уверены в настройках.

Шаг 8: Подтверждение и установка

На последнем экране вы увидите сводку. Проверьте:

• Имя домена
• Роль: Контроллер домена
• Установка DNS — да

Поставьте галочку: «Перезагрузить сервер автоматически после установки». Нажмите «Установить».

Процесс займёт 10–20 минут. Сервер перезагрузится автоматически. После загрузки — поздравляем! Вы стали правителем нового домена.

Население царства: создание учётных записей пользователей — первые подданные

Домен создан. Но он пуст. Как империя без граждан? Пора создавать пользователей.

Шаг 1: Открытие консоли управления

После перезагрузки:

1. Откройте «Диспетчер серверов».
2. Разверните «Службы Active Directory» → щёлкните правой кнопкой по вашему серверу → «Пользователи и компьютеры Active Directory».

Откроется консоль dsa.msc — ваш главный инструмент управления доменом.

Шаг 2: Создание первого пользователя

1. В левой панели разверните ваш домен (например, mycompany.local).
2. Откройте контейнер «Users».
3. Щёлкните правой кнопкой → «Создать» → «Пользователь».
4. Заполните поля:
   • Имя: Иван
   • Фамилия: Иванов
   • Имя для входа в домен: ivanov (логин)
5. Нажмите «Далее».
6. Задайте пароль (минимум 8 символов, сложный). Снимите галочку «Пользователь должен сменить пароль при следующем входе в систему», если хотите, чтобы пароль был постоянным.
7. Поставьте галочку: «Пароль никогда не истекает» — для служебных учёток или если не хотите регулярной смены.
8. Нажмите «Далее» → «Готово».

Шаг 3: Назначение прав

Чтобы пользователь мог администрировать домен, добавьте его в группу Domain Admins:

1. В консоли найдите созданного пользователя → щёлкните правой кнопкой → «Свойства».
2. Перейдите на вкладку «Членство».
3. Нажмите «Добавить».
4. Введите: Domain Admins → нажмите «Проверить имена» → «ОК».
5. Нажмите «Применить» → «ОК».

Шаг 4: Проверка входа

Попробуйте войти на сервер (или на другой компьютер, присоединённый к домену) под новой учётной записью. Форматы входа:

• mycompany.local\ivanov
• Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript.

Если вход успешен — поздравляем! Гражданин зарегистрирован.

Шаг 5: Настройка брандмауэра (если есть проблемы)

Если вход не работает, проверьте брандмауэр. На контроллере домена должны быть разрешены входящие подключения для:

• Active Directory Domain Services
• DNS-сервер
• Службы каталогов

Как проверить:

1. Откройте «Брандмауэр Защитника Windows» → «Дополнительные параметры».
2. Проверьте, включены ли правила для профиля «Доменная сеть».
3. Если сеть не определяется как доменная — временно отключите брандмауэр для теста (не для продакшена!):

netsh advfirewall set allprofiles state off

После теста включите обратно:

netsh advfirewall set allprofiles state on

Заключение: Вы — Владыка Цифрового Домена. Что Дальше?

Поздравляем. Вы прошли путь от простого VPS до полноценного контроллера домена Active Directory. Ваша инфраструктура теперь — единое целое. Вы можете:

• Добавлять новые серверы в домен одной командой: netdom join %COMPUTERNAME% /domain:mycompany.local /userd:Administrator /passwordd:*
• Создавать организационные единицы (OU) для структурирования пользователей.
• Настраивать групповые политики (GPO) для автоматического применения настроек безопасности, скриптов, ограничений.
• Интегрировать службы: DHCP, файловые серверы, принтеры, RDS — всё под контролем AD.

Но помните: с властью приходит ответственность. Регулярно делайте бэкапы системного состояния контроллера. Используйте команду:

wbadmin start systemstatebackup -backuptarget:E:

Храните бэкапы в безопасном месте. Обновляйте систему. Мониторьте события в «Просмотре событий» → «Журналы Windows» → «Службы каталогов».

Active Directory — это не конечная точка, а начало пути. Впереди вас ждут: репликация с дополнительными контроллерами, службы сертификатов, федеративные службы, Azure AD Connect и многое другое. Но теперь вы знаете основы. Вы построили трон. Осталось только править.