Windows Server 2016安装AD并开启SSL

2019-07-24
lework
 
 AD
 LDAP  AD
本文 2725 字,阅读全文约需 8 分钟

原文地址 https://lework.github.io/2019/07/24/ad-install/


AD是Active Directory的简写,中文称活动目录。活动目录(Active Directory)主要提供以下功能:

  • 1、服务器及客户端计算机管理
  • 2、用户服务
  • 3、资源管理
  • 4、桌面配置
  • 5、应用系统支撑等;

更多AD DS概述请查看微软技术文档,本文详细介绍AD DS的部署。

森林模型

c50a3c6a-b0e4-43ec-ad62-f05d05f0bbd2.png

这里不描述系统安装过程

AD域角色安装

在需要安装AD域控制器的电脑上打开服务器管理器,点击添加角色和功能

1563962585628

打开添加角色和功能向导,点击下一步

1563962606688

安装类型选择基于角色或基于功能的安装,点击下一步

1563962625329

服务器选择从服务器池中选择服务器,再选中池中的本地服务器,点击下一步

1563962640569

服务器角色选择Active Directory域服务,会弹出添加Active Directory域服务所需的功能?,点击添加功能

1563962664796

点击下一步, 这里不需要选择

1563962687136

点击下一步

1563962706693

确认这里勾选如果需要,自动重新启动目标服务器,点击安装

1563962726163

Active Directory域服务角色安装完成,点关闭

1563962784046

运行部署向导

运行AD DS(Active Directory域服务的简称)部署向导,打开本地服务器的服务器管理器,点击通知-将此服务器提升为域控制器

1563962810531

打开AD DS的部署向导,由于我们这里是部署新的AD控制器,所以部署配置选择添加新林,把根域名设置成lework.com,点击下一步

1563962844122

解释:

  • 将域控制器添加到现有域:在现有的域控制器中添加新的域控制器
  • 将新域添加到现有林:在现有的林中新建域,与林中现有的域不同
  • 添加新林:在没有林的情况下新建林

设置域密码,点击下一步

1563962964073

域控制器选项:

  • 林功能级别(包含Windows Server 2008到Windows Server 2016级别都有):Windows Server 2016
  • 域功能级别(只包含Windows Server 2016域功能):Windows Server 2016 指定域控制器功能:默认

点击下一步

1563962976933

点击下一步

1563963009466

设置AD DS的数据库、日志文件和SYSVOL的位置,点击下一步

1563963055372

点击下一步

1563963068970

先决条件检查通过,点击安装,如果不通过请根据提示查看原因

1563963127740

正在进行自动部署,部署完成后会自动重启服务器

AD域控制器部署完成,打开服务器管理器-工具-Active Directory用户和计算机

1563963502244

就可以看到我们刚才部署好的域,这样一个完整的域就部署完成了

启用LDAPS

创建证书颁发机构

添加Active Directory 证书服务 角色

1563963533190

选择证书颁发机构

1563963547423

点击下一步进行安装

1563963589516

配置域证书

点击通知-配置目标服务器上的Active Directory 证书服务

1563963618106

点击下一步

1563963701273

勾选证书颁发机构,点击下一步

1563963712630

选择企业CA,点击下一步

1563963785147

选择根CA,点击下一步

1563963754110

选择创建新的私钥,点击下一步

1563964040955

指定CA的加密,默认即可.点击下一步

1563964055082

指定CA名称,点击下一步

1563964106388

指定有效期,这里设置为10年,点击下一步

1563964236799

指定CA数据库的位置,默认即可.点击下一步

1563964255519

确认证书的配置,点击配置.点击下一步

1563964268482

配置完成后,点击关闭页面

1563964289350

配置完成后,重启下服务器

在证书颁发机构中可以看到给域控颁发的证书

1563964545925

连接AD

运行–>ldp.exe

LDAP:\\\WIN-V5SBNPSNFOM.lework.com:389

1563964600770

LDAPS:\\WIN-V5SBNPSNFOM.lework.com:636

1563964651346

在Active Directory服务器上执行以下命令来导出证书,供客户端连接使用

C:\Users\Administrator>certutil -ca.cert client.crt
CA 证书[0]: 3 -- 有效
CA 证书[0]:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

CertUtil: -ca.cert 命令成功完成。

原文地址 https://lework.github.io/2019/07/24/ad-install/