文前說明
作為碼農中的一員,需要不斷的學習,我工作之餘將一些分析總結和學習筆記寫成博客與大家一起交流,也希望採用這種方式記錄自己的學習之旅。
最終:搭建兩臺服務器 172.30.1.103 與 172.30.1.104。
在 172.30.1.103 中搭建主要 AD 域控制及證書服務與 DNS 服務。
在 172.30.1.104 中搭建額外 AD 域與 DNS 服務。
172.30.1.103
- 安裝 Window server 2008 R2 操作系統。
- 配置固定 IP 地址,首選 DNS 服務器設置與自身 IP 一致。
IP配置
- 安裝 Active Directory 域服務。
命令行中輸入:dcpromo
命令行輸入
安裝嚮導 → 下一步
域服務安裝嚮導
操作系統兼容性 → 下一步
操作系統兼容性
選擇某一部署配置 → 在新林中新建域 → 下一步
新建林
命名林根域 → 輸入域名(例如:sdcad6.com) → 下一步
命名林根域
設置林功能級別 → 選擇功能級別(例如:windows server 2008 R2) → 下一步
設置林功能級別
其他域控制器選項 → 勾選DNS服務器 → 下一步
其他域控制器選項
彈出無法創建 DNS 服務器委派的提示窗口 → 選擇 “是”
無法創建 DNS 服務器委派的提示窗口
數據庫、日誌文件和 SYSVOL 的位置 → 下一步
數據庫、日誌文件和 SYSVOL 的位置
目錄服務還原模式的 Administrator 密碼 → 輸入密碼 → 下一步
目錄服務還原模式的 Administrator 密碼
摘要 → 下一步
摘要
等待安裝 → 安裝完成(安裝時會將DNS一起安裝) → “完成”按鈕,然後重啟
安裝完成
打開 “開始” 菜單 → “管理工具” → “服務器管理器”
服務器管理器
安裝 DNS 服務器安裝成功,應該包含 dc 、domains 等目錄
安裝 DNS 服務器安裝成功
選擇創建的 DNS 域名(sdcad6.com),右鍵 “新建主機”
新建主機
命令行中輸入:ping sdcad6.com,可以 ping 通才行
命令行中輸入
(已經安裝了AD域和DNS服務器從這裡開始)
- 安裝 Active Directory 證書和 web 服務器(IIS)
服務器管理器中,添加角色(選擇 Active Directory 證書和 web服務器(IIS))
服務器管理器中,添加角色
證書簡介 → 下一步
證書簡介
選擇角色服務 → 下一步
選擇角色服務
指定安裝類型 → 企業 → 下一步
指定安裝類型
指定 CA 類型 → 跟 CA → 下一步
指定CA類型
設置私鑰 → 新建私鑰 → 下一步
設置私鑰
為 CA 配置加密 → 使用默認的加密服務提供程序、算法和密鑰長度 → 下一步
為 CA 配置加密
配置 CA 名稱 → 使用默認的名稱 → 下一步
配置 CA 名稱
設置有效期 → 使用默認的五年有效期 → 下一步
設置有效期
配置證書數據庫 → 使用默認的保存位置 → 下一步
配置證書數據庫
IIS 的配置全部選擇下一步即可
IIS 的配置
選擇角色服務
確認安裝選擇
選擇 web 服務器(IIS) → Internet信息服務(IIS)管理器 → 服務器證書
服務器證書
創建域證書(通用名稱填寫域名:例如 sdcad6.com ),其他的信息任意填寫
創建域證書
選擇本機根證書頒發證書(定義一個名稱,該名稱會作為後續綁定操作中 SSL 證書選擇的名稱,例如:test) → 完成
聯機證書頒發機構
選擇 web服務器(IIS) → Internet信息服務(IIS)管理器 → Default web Site → 最右側的 綁定 操作
網站綁定
選擇 SSL 設置
SSL設置
選擇 接受
接受
“開始”菜單 → “管理工具” → 證書頒發機構,查看頒發的證書,可以看見域控制器證書才行
頒發的證書
在目錄 C:\Windows\System32\certsrv\CertEnroll,找到根證書 *.crt
根證書
將根證書拷貝到 engine 服務器上
- 增加域用戶管理員
“開始”菜單 → 管理工具 → 選擇 Active Directory 用戶和計算機 → user → 新建用戶
新建用戶
填寫姓名、用戶登錄名等。(例如:超級管理員,sdcadmin),設置密碼,分配權限(添加 Domain Admins 權限)
設置密碼
分配權限
172.30.1.104
- 在 172.30.1.104 安裝 window server 2008 R2 操作系統
- 配置固定 IP 地址,首選 DNS 服務器設置為主域控服務器 IP(172.30.1.103),備用設置與自身 IP 一致。
- 安裝Active Directory域服務
命令行中輸入:dcpromo
安裝嚮導 → 下一步
選擇功能級別(例如:windows server 2008 R2 ) → 下一步
選擇某一部署配置 → 現有林 → 下一步
選擇某一部署配置
網絡憑據 → 輸入主域控的 DNS 名稱 → 備用憑據 → 設置(登錄帳號與密碼) → 下一步
網絡憑據
Windows 安全
選擇域 → 下一步
選擇域
請選擇一個站點 → 下一步
請選擇一個站點
其他域控制器選項 → 下一步
其他域控制器選項
彈出無法創建 DNS 服務器委派的提示窗口 → 選擇 “是”
數據庫、日誌文件和 SYSVOL 的位置 → 下一步
目錄服務還原模式的 Administrator 密碼 → 輸入密碼 → 下一步
摘要 → 下一步
等待安裝 → 安裝完成(安裝時會將 DNS 一起安裝) → “完成” 按鈕,然後重啟
打開 “開始” 菜單 → “管理工具” → 服務器管理器
安裝 DNS 服務器安裝成功,應該包含 dc、domains 等目錄
可以查看到主域控(172.30.1.103)的 DNS 配置信息
可以查看到主域控
域用戶也進行了同步,可以查看到主域控先前新增的姓名為超級管理員的用戶
域用戶也進行了同步
命令行中輸入:ping sdcad6.com,可以 ping 通才行
命令行中輸入
主域控服務器上同樣也能看見額外域控(172.30.1.104)的DNS配置信息
- engine 服務器的 DNS 配置文件 /etc/resolv.conf 文件中,將主域控寫在最前面,額外域寫後面
nameserver 172.30.1.103
nameserver 172.30.1.104
配置 AD 域及證書服務與 DNS 服務說明
閱讀更多 騎單車去帶娃 的文章
