本文目录导读:
在微软的生态中,“沙盒域环境”通常有以下几种常见的理解场景,针对不同的场景,配置方法差异很大,为了给你最准确的答复,请先确认你是属于以下哪种情况:
- Windows Sandbox(Windows 沙盒)联网并加入域(最典型):在一个隔离的临时虚拟机里,让沙盒能访问公司的域控制器进行测试。
- Microsoft Defender for Cloud Apps 的 Cloud Discovery 沙盒:用于测试应用发现功能的模拟环境。
- Azure AD B2C 或 Microsoft Entra ID 的沙盒租户:用于测试条件访问或域功能。
最核心、最常见的场景是第一种:在 Windows Sandbox(Windows 沙盒)中加入域(Domain Join)。
由于 Windows Sandbox 默认是基于主机网络隔离且每次关闭会完全重置,所以配置它加入域需要一些特殊技巧。
方案:在 Windows Sandbox 中加入域(适用于技术测试)
这是通过脚本自动配置来实现的,因为沙盒无法手动永久保存配置。
前提条件
- 主机必须是 Windows 10/11 专业版或企业版(开启 Hyper-V 功能)。
- 域控制器必须是沙盒网络可达的(通常需要配置沙盒使用主机的物理网络适配器,或者域控和沙盒在同一局域网)。
- 你有一个域用户账户(如
domain\user)的密码。
步骤 1:创建配置文件(.wsb)
在桌面上新建一个文本文件,命名为 DomainBox.wsb。
步骤 2:编写配置 XML
打开该文件,粘贴以下内容。重要:请根据你的实际环境修改其中的占位符。
<Configuration>
<!-- 使用主机的物理网络适配器(桥接模式),这样沙盒才能找到你的域控制器 -->
<Networking>Standard</Networking>
<!-- 关闭沙盒的剪贴板共享(可选,为了安全) -->
<ClipboardRedirection>Disable</ClipboardRedirection>
<!-- 内存分配(至少 4GB 以避免域加入超时) -->
<MemoryInMB>4096</MemoryInMB>
<!-- 自动执行脚本加入域 -->
<LogonCommand>
<Command>powershell -ExecutionPolicy Bypass -File C:\Users\WDAGUtilityAccount\Desktop\JoinDomain.ps1</Command>
</LogonCommand>
<!-- 将脚本文件映射到沙盒桌面 -->
<MappedFolders>
<MappedFolder>
<!-- 主机上的一个文件夹路径,里面存放 JoinDomain.ps1 脚本 -->
<HostFolder>D:\SandboxScripts</HostFolder>
<ReadOnly>true</ReadOnly>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop\Scripts</SandboxFolder>
</MappedFolder>
</MappedFolders>
<!-- 可选:如果域控需要特定的 DNS,可以在这里配置(较复杂),或者直接在脚本中配置 -->
<DNS>172.16.0.10</DNS> <!-- 你的域控制器 IP -->
</Configuration>
步骤 3:创建加入域的 PowerShell 脚本
在主机上创建一个文件夹(D:\SandboxScripts),在里面新建一个文件 JoinDomain.ps1。
# JoinDomain.ps1
param(
[string]$DomainName = "yourdomain.com", # 替换为你的域名
[string]$UserName = "yourdomain\admin", # 替换为有加域权限的账户
[string]$Password = "YourPassword123!" # 替换为密码(注意:明文不安全,仅用于测试沙盒)
)
# 配置 DNS 为域控(如果未在 wsb 中配置)
# netsh interface ip set dns "Ethernet" static 172.16.0.10
Write-Host "正在配置网络和 DNS..." -ForegroundColor Yellow
$adapter = Get-NetAdapter -Name "Ethernet"
# 如果域控不在 172.16.x.x 段,请修改 IP 配置
# 这里假设 DHCP 已分配正确 IP,只改 DNS
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses ("172.16.0.10") # 你的域控 IP
Write-Host "正在尝试加入域 $DomainName ..." -ForegroundColor Yellow
# 将密码转为安全字符串
$securePassword = ConvertTo-SecureString $Password -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential ($UserName, $securePassword)
# 加入域
try {
Add-Computer -DomainName $DomainName -Credential $credential -Restart -Force
Write-Host "域加入成功!沙盒将重启。" -ForegroundColor Green
}
catch {
Write-Host "域加入失败: $_" -ForegroundColor Red
# 保持窗口打开以便查看错误
Read-Host "按 Enter 关闭"
}
安全警告:直接在脚本里写明文密码非常危险,在生产环境建议使用凭据文件(
Export-CliXml)或Azure Key Vault,但在临时沙盒中为了快速测试,明文密码是可接受的(因为沙盒关闭后所有数据消失)。
步骤 4:双击运行域沙盒
直接双击前面创建的 DomainBox.wsb 文件,Windows 会启动一个沙盒,自动执行脚本尝试加入域。
如果脚本正确,沙盒会自动重启并完成加域。
如果你的场景是其他情况:
Microsoft Defender for Cloud Apps 沙盒
这是纯SaaS 控制台配置,不需要本地机器:
- 登录 Microsoft Defender 门户(
security.microsoft.com)。 - 进入 Cloud Apps -> Cloud Discovery -> Create snapshot report(或使用自动日志收集器)。
- 上传流量日志即可,没有“域”的配置概念。
Azure AD(Entra ID)沙盒租户
- 使用 Microsoft 365 开发人员计划申请一个沙盒租户(90 天有效期)。
- 在 Entra 管理中心 -> 自定义域名 -> 添加你自己的域名(如
lab.contoso.com)。 - 创建用户,配置 AD Connect(如需要同步本地域)。
常见问题排查
-
沙盒无法 ping 通域控:
- 检查
.wsb文件中的<Networking>Standard</Networking>是否写对,如果写成了Default或Disable,沙盒就无法访问局域网。 - 确保主机能 ping 通域控,如果主机能通而沙盒不能,尝试在主机上关闭 Windows Defender 防火墙的“专用网络” 隔离(仅在测试时)。
- 检查
-
加域时报“找不到网络路径”:
- 通常是 DNS 解析 问题,沙盒的 DNS 必须指向域控(如
16.0.10),不能是8.8.8或路由器地址。 - 确保域控开启了 135 端口和动态 RPC 端口。
- 通常是 DNS 解析 问题,沙盒的 DNS 必须指向域控(如
-
沙盒每次重启都需要重新加域:
- 这是正常的,Windows Sandbox 的设计就是“无状态”,所有更改(包括加域)在关闭后丢失。
- 替代方案:如果你需要一个持久化的沙盒域环境,建议使用 Hyper-V 虚拟机 或 Azure Virtual Desktop(AVD) 来创建一个包含域的模板。
总结建议:先确认你的“沙盒域环境”具体指什么,如果是开发测试域,推荐使用 Hyper-V 快照 或 Vagrant + VirtualBox 来搭建,会比 Windows Sandbox 更稳定且可持久化,如果需要更详细的针对某种场景的配置手册,可以告诉我你的具体业务需求。
标签: Microsoft沙盒域
