一而晒、環(huán)境信息
1.1喳篇、主機(jī)列表
| IP | Hostname | role |
|---|---|---|
| 10.10.100.60 | ad01 | 主域控 |
| 10.10.100.61 | ad02 | 輔域控 |
1.2、網(wǎng)絡(luò)配置
ad01:
image.png
ad02:
image.png
二九榔、安裝主域控
2.1板丽、依次打開(kāi)服務(wù)器管理器,添加角色和功能
image.png
2.2刹勃、進(jìn)入“添加角色和功能向?qū)А苯缑婵昂睿c(diǎn)擊“下一步”
image.png
2.3、選擇安裝類型荔仁,點(diǎn)擊“下一步”
image.png
2.4伍宦、選擇目標(biāo)服務(wù)器,點(diǎn)擊“下一步”
image.png
2.5乏梁、勾選“Active Directory域服務(wù)”
image.png
2.6次洼、彈出確認(rèn),點(diǎn)擊“添加功能”遇骑,然后點(diǎn)擊“下一步”
image.png
2.7卖毁、選擇功能,直接點(diǎn)擊“下一步”
image.png
2.8落萎、進(jìn)入AD DS菜單亥啦,直接點(diǎn)擊“下一步”
image.png
2.9、確認(rèn)安裝所選內(nèi)容练链,勾選“如果需要翔脱,自動(dòng)重啟目標(biāo)服務(wù)器”,然后點(diǎn)擊“安裝”
image.png
2.10媒鼓、開(kāi)始安裝
image.png
2.11届吁、角色安裝完成后错妖,點(diǎn)擊“將此服務(wù)器提升為域控制器”
image.png
2.12、進(jìn)入AD域服務(wù)配置向?qū)Ь毋澹催x“添加新林”暂氯,并“根域名”輸入框內(nèi)填入自己的域名(盡量不要跟自己已有外網(wǎng)訪問(wèn)域名沖突),然后點(diǎn)擊“下一步”
image.png
2.13濒旦、選擇林和域功能級(jí)別株旷,并輸入目錄還原模式密碼,然后點(diǎn)擊“下一步”
image.png
2.14尔邓、進(jìn)入DNS選項(xiàng)晾剖,會(huì)出現(xiàn)一個(gè)警告,因?yàn)檫€沒(méi)有安裝DNS梯嗽,直接忽略齿尽,點(diǎn)擊“下一步”
image.png
2.15、其他選項(xiàng)菜單灯节,直接下一步
image.png
2.16循头、配置路徑,使用默認(rèn)的炎疆,直接點(diǎn)擊“下一步”
image.png
2.17卡骂、查看選項(xiàng),直接“下一步”
image.png
2.18形入、進(jìn)入先決條件檢查
image.png
2.19全跨、等待所有先決條件檢查通過(guò)后,點(diǎn)擊“安裝”
image.png
2.20亿遂、等待安裝完成
image.png
2.21浓若、安裝完成后,會(huì)提示重啟蛇数。重啟完成后挪钓,重新登陸域服務(wù)器
image.png
2.22、升級(jí)為域控后耳舅,計(jì)算機(jī)管理中就不存在用戶和組管理了
image.png
2.23碌上、用戶和組管理都在“Active Directory用戶和計(jì)算機(jī)”中
image.png
2.24、域控安裝完成
image.png
三挽放、安裝輔助域控
3.1绍赛、將輔助域控加入域
image.png
image.png
3.2、主域控制器和DNS集成辑畦,為了讓輔域控制器的DNS同步主域控制器DNS,需要把主域控制器的DNS服務(wù)器_msdcs.k8sre.com和k8sre.com 的起始授權(quán)機(jī)構(gòu)(SOA)區(qū)域傳送設(shè)置成允許腿倚。
image.png
image.png
3.3纯出、輔域控加入域重啟后,使用主域管理員賬號(hào)密碼進(jìn)行登錄。然后打開(kāi)服務(wù)管理器暂筝,添加角色和功能
image.png
3.4箩言、進(jìn)入添加角色和功能向?qū)Вc(diǎn)擊“下一步”
image.png
3.5焕襟、進(jìn)入選擇安裝類型陨收,點(diǎn)擊“下一步”
image.png
3.6、進(jìn)入服務(wù)器選擇鸵赖,點(diǎn)擊“下一步”
image.png
3.7务漩、進(jìn)入服務(wù)器角色選擇,勾選“Active Directory域服務(wù)和DNS服務(wù)器”它褪,點(diǎn)擊“下一步”
image.png
3.8饵骨、進(jìn)入功能選擇,點(diǎn)擊“下一步”
image.png
3.9茫打、進(jìn)入AD DS居触,點(diǎn)擊“下一步”
image.png
3.10、進(jìn)入DNS服務(wù)器菜單老赤,點(diǎn)擊“下一步”
image.png
3.11轮洋、進(jìn)入確認(rèn)菜單,勾選“如果需要抬旺,自動(dòng)重新啟動(dòng)目標(biāo)服務(wù)器”弊予,點(diǎn)擊安裝
image.png
3.12、開(kāi)始安裝輔域控
image.png
3.13嚷狞、安裝完成块促,點(diǎn)擊“將服務(wù)器提升為域控制器”
image.png
3.14、進(jìn)入部署配置床未,選擇“將域控制器添加到現(xiàn)有域”竭翠,并指定域及憑證,然后點(diǎn)擊“下一步”
image.png
3.15薇搁、設(shè)置安裝主域控時(shí)設(shè)置的目錄還原密碼斋扰,點(diǎn)擊“下一步”
image.png
3.16、進(jìn)入DNS選項(xiàng)啃洋,點(diǎn)擊“下一步”
image.png
3.17传货、進(jìn)入其他選項(xiàng),指定其他復(fù)制選項(xiàng)宏娄,點(diǎn)擊“下一步”
image.png
3.18问裕、進(jìn)入路徑選項(xiàng),點(diǎn)擊“下一步”
image.png
3.19孵坚、進(jìn)入查看選項(xiàng)粮宛,點(diǎn)擊“下一步”
image.png
3.20窥淆、進(jìn)入先決條件檢查,完成后點(diǎn)擊“安裝”
image.png
3.21巍杈、安裝完成后忧饭,重啟輔域控
image.png
3.22、打開(kāi)輔域控上的DNS服務(wù)筷畦,確認(rèn)安裝是否正常
image.png
3.23词裤、至此,輔域控部署完畢
四鳖宾、配置LDAPS
4.1吼砂、打開(kāi)服務(wù)器管理器,添加角色和功能
image.png
4.2攘滩、后面步驟都點(diǎn)擊“下一步”帅刊,進(jìn)入到選擇服務(wù)器角色菜單,勾選“Actice Directory證書服務(wù)”
image.png
4.3漂问、后面步驟點(diǎn)擊“下一步”赖瞒,直到進(jìn)入角色服務(wù)菜單,勾選“證書頒發(fā)機(jī)構(gòu)”蚤假、“證書頒發(fā)機(jī)構(gòu) Web 注冊(cè)”栏饮、“證書注冊(cè)策略 Web 服務(wù)”
image.png
4.4、后面步驟點(diǎn)擊“下一步”磷仰,直到進(jìn)入安裝
image.png
4.5袍嬉、安裝完成后,點(diǎn)擊“配置目標(biāo)服務(wù)器上的Actice Directory證書服務(wù)”
image.png
4.6灶平、憑據(jù)伺通,直接“下一步”
image.png
4.7、角色服務(wù)逢享,勾選“證書頒發(fā)機(jī)構(gòu)”罐监、“證書頒發(fā)機(jī)構(gòu) Web 注冊(cè)”、“證書注冊(cè)策略 Web 服務(wù)”瞒爬,然后“下一步”
image.png
4.8弓柱、CA設(shè)置類型必須選擇企業(yè)CA,如此選項(xiàng)是灰色的侧但,請(qǐng)檢查AD配置
image.png
4.9矢空、CA類型選擇“根CA”,點(diǎn)擊“下一步”
image.png
4.10禀横、私鑰類型選擇“創(chuàng)建新的私鑰”屁药,點(diǎn)擊“下一步”
image.png
4.11、使用默認(rèn)加密選項(xiàng)即可
image.png
4.12柏锄、指定CA名稱者祖,會(huì)根據(jù)主機(jī)名自動(dòng)生成立莉,點(diǎn)擊“下一步”
image.png
4.13绢彤、指定證書有效期七问,可以根據(jù)需求修改
image.png
4.14、指定CA數(shù)據(jù)庫(kù)位置茫舶,點(diǎn)擊“下一步”
image.png
4.15械巡、進(jìn)入服務(wù)器證書配置,選擇“選擇證書并稍后為 SSL 分配”
image.png
4.16饶氏、進(jìn)入配置確認(rèn)讥耗,點(diǎn)擊“配置”
image.png
4.17、配置完成疹启,重啟主AD服務(wù)器
image.png
4.18 古程、輔域控配置AD證書服務(wù)
使用Win鍵+R鍵打開(kāi)運(yùn)行窗口,在“打開(kāi)”中輸入“mmc”喊崖,打開(kāi)控制臺(tái)根節(jié)點(diǎn)配置頁(yè)面
image.png
4.19挣磨、選擇“文件 > 添加/刪除管理單元”,進(jìn)入添加或刪除管理單元配置頁(yè)面
image.png
4.20荤懂、在“可用的管理單元”列表中茁裙,雙擊“證書”,進(jìn)入證書管理單元頁(yè)面
image.png
4.21节仿、選擇“計(jì)算機(jī)帳戶”晤锥,單擊“下一步”,進(jìn)入選擇計(jì)算機(jī)頁(yè)面
image.png
4.22廊宪、選擇“本地計(jì)算機(jī)(運(yùn)行此控制臺(tái)的計(jì)算機(jī))”矾瘾,單擊“完成”,單擊“確定”
image.png
4.23箭启、在控制臺(tái)根節(jié)點(diǎn)下壕翩,展開(kāi)證書。選擇“個(gè)人 > 證書”册烈,進(jìn)入個(gè)人證書列表頁(yè)面戈泼。
image.png
4.24、右鍵單擊“預(yù)期目的”為“所有”的證書赏僧,選擇“所有任務(wù) > 導(dǎo)出”大猛,進(jìn)入證書導(dǎo)出向?qū)ы?yè)面
image.png
4.25、單擊“下一步”淀零,進(jìn)入導(dǎo)出私鑰配置頁(yè)面挽绩。選擇“是,導(dǎo)出私鑰”驾中,單擊“下一步”唉堪,進(jìn)入文件格式配置頁(yè)面
image.png
4.26模聋、選擇“個(gè)人信息交換-PKCS#12(.PFX)”,勾選“如果可能唠亚,則包括證書路徑中的所有證書”链方,單擊“下一步”,進(jìn)入安全配置頁(yè)面
image.png
4.27灶搜、勾選“組或用戶名(建議)”祟蚀,勾選“密碼”并設(shè)置密碼。單擊“下一步”割卖,進(jìn)入文件名稱配置頁(yè)面前酿。請(qǐng)記錄該密碼,后續(xù)導(dǎo)入證書時(shí)需使用鹏溯。
image.png
4.28抄肖、單擊“瀏覽”岖研,選擇證書保存路徑薪鹦,并設(shè)置證書名稱走敌,單擊“保存”,單擊“下一步”取试,進(jìn)入信息確認(rèn)頁(yè)面
image.png
4.29悬槽、確認(rèn)信息無(wú)誤后,單擊“完成”
image.png
4.30瞬浓、登錄備AD服務(wù)器初婆,將4.29步中導(dǎo)出的主AD服務(wù)器證書,復(fù)制至備AD服務(wù)器上猿棉。
4.31磅叛、打開(kāi)“服務(wù)器管理器”,進(jìn)入服務(wù)器配置頁(yè)面萨赁,在“儀表板”頁(yè)面中間弊琴,單擊“添加角色和功能”,彈出“添加角色和功能向?qū)А睂?duì)話框
image.png
