Я действительно новичок в Active Directory, и я пытаюсь настроить Active Directory на виртуальной машине Windows 2016 Azure, а затем предоставить контроллер в Интернет, чтобы я мог присоединить компьютер к каталогу. Поскольку это только для целей тестирования, безопасность не имеет значения.
Я выполнил шаги по созданию Active Directory в виртуальной машине по этой ссылке: http://pc-addicts.com/setup-active-directory-server-2016/
У меня также есть собственный домен, но для этого вопроса я скрою его как testdomaincontroller.com Имя компьютера - adreg, поэтому сервер стал adreg.testdomaincontroller.com
Во время тестирования я использовал имя корневого домена: testdomaincontroller.com
Теперь я хотел сделать активный каталог общедоступным, чтобы я мог присоединить компьютер к контроллеру домена. Я не могу найти никаких документов или руководств о том, как это сделать, так что для этого нужно сделать? Что нужно добавить в мою зону DNS-записей, чтобы образец ПК с Windows 10 мог присоединиться к домену? Какой порт должен быть доступен в NSG и разрешен в брандмауэре виртуальной машины?
В будущем при развертывании реального домена вы должны использовать поддомен вашего зарегистрированного домена в качестве FQDN вашего домена. Как бы то ни было, вам, вероятно, следует вернуться и сделать это. Пока это плохая идея (даже для тестирования).
Я бы начал с нуля, используя ad.testdomaincontroller.com. Я бы создал делегирование DNS в вашей общедоступной зоне DNS для ad.testdomaincontroller.com, чтобы он указывал на IP-адрес вашего будущего DNS-сервера. Затем я бы повторил процесс, используя новое имя, и позволил контроллеру домена (действующему как DNS-сервер для нового домена) создать все необходимые служебные записи для домена. Без этой части вам придется вручную создать связка субдоменов, записей локатора сервисов и записей A - не беспокойтесь об этом. Это невыполнимо, и для тестовой среды это, вероятно, больше проблем, чем того стоит.
Вы, вероятно, будете не найдите любую документацию о том, как предоставить доступ к контроллеру домена через общедоступный Интернет, потому что это недопустимая или желательная конфигурация.
Вот подробное сообщение в блоге Эйса Фекая, в котором подробно описывается, какие порты требуются для связи между DC и DC и между клиентом и DC: https://blogs.msmvps.com/acefekay/category/dc-to-client-communications-firewall-ports/
Вот некоторые дополнительные сведения о запуске AD через NAT, просто для справки: https://support.microsoft.com/en-us/help/978772/description-of-support-boundaries-for-active-directory-over-nat