1. 安装AD DS
1.打开服务器管理器,点击 “添加角色和功能”
2.默认,点击下一步
3.默认,点击下一步
4.选择服务器
5.服务器角色选择“Active Directory域服务”,会弹出“添加Active Directory域服务所需的功能?”,点击“添加功能”
6.默认,点击下一步
7.默认,点击下一步
8.确认安装信息
9.安装完成
10.点击上图中将此服务器提升为域控制器,或者打开本地服务器的服务器管理器,点“通知”-“将此服务器提升为域控制器”
11.我们这里是部署新的AD控制器,所以部署配置选择“添加新林”,把“根域名”设置成“”,点击“下一步
12.键入目录服务还原模式(DSRM)密码(自己设置复杂性密码):********
点击“下一步”
13.默认,点击下一步
14.默认,点击下一步
DS的数据库、日志文件和SYSVOL的位置默认在C盘目录下,为了安全起见建议修改放在其它盘,点击“下一步”
16.查看选项,点击下一步
17.先决条件检查通过,点击“安装”
18.安装完成,重启机器
2. 安装配置证书服务
2.1. 安装CA
1.打开服务器管理器,点击 “添加角色和功能”
2.默认,点击下一步
3.默认,点击下一步
4.选择服务器
5.勾选 “Active Directory 证书服务”,然后选择添加所需的功能,最后点“下一步”继续
6.默认,点击下一步
7.默认,点击下一步
8.勾选 CA 相关服务(证书颁发机构和证书颁发机构Web注册), 点击下一步
9.默认,点击下一步
10.默认,点击下一步
11.默认,点击下一步
12.安装完成
2.2. 配置证书服务
安装完成后,如图点击提示图标后,选择“配置目标服务器上的 Active Directory 证书服务”
2.默认,点击下一步
3.勾选所需要配置的服务
4.选择企业根
5.创建新的私钥
6.选择加密选项
7.指定 CA 名称
8.指定有效期
9.指定数据库位置
10.确认配置信息
11.配置完成
2.3. 创建证书
1.打开IIS管理器,选择【服务器证书】
2.点击右侧栏创建证书申请
3.填写属性
4.默认,点击下一步
5.选择文件存储的路径
2.4. 配置证书
1.浏览器输入http://127.0.0.1/certsrv/,如下:
2.选择申请证书——>高级证书申请
3.选择使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请
4.将创建证书生成的cert.txt ,粘贴进去,证书模板选择 web服务器,提交
5.下载证书,保存到本地
6.回到iis管理器,选择完成证书申请
7.将default web site 的 https 绑定证书改为刚才完成的证书
选择 default web site , 右键 编辑绑定,选择 https(没有则添加) , 点击编辑,选择 ssl 证书:( 这个证书在安装adfs时使用该证书)
3. 创建用户
域控制器部署完成,打开服务器管理器-工具-Active Directory用户和计算机
2.输入新建用户的相关信息,如:姓名、登录账号等,如下图:
3.输入新建用户的密码,可以勾选“用户下次登录时必须更改密码”选项,这样新建的账户在首次登录时将修改密码,确保账户的安全性:
4.创建用户成功
4. 安装AD FS
1.打开服务器管理器,点击 “添加角色和功能”
2.默认,点击下一步
3.默认,点击下一步
4.选择服务器
5.勾选 “Active Directory联合身份验证服务” 安装服务角色
6.默认,下一步
7.确认后,开始安装
8.安装完成
9.点击上图中的配置联合身份验证服务链接,开始配置ADFS,ADFS的先决条件是必须满足的,在下方我们选创建第一台联合服务器
10.指定一个具有域管理员权限的账号,使用默认administrator账号进行配置
11.选择证书,填写联合身份验证服务显示名称
12.选择adfs账号
13.指定配置数据库
14.查看选项,下一步
15.先决条件检查
16.配置完成
5. 其它注意事项
1.安装完adfs,访问失败,抛出异常,Microsoft.IdentityServer.Web.IdPInitiatedSignonPageDisabledException: MSIS7012: 处理请求时出错。请与管理员联系了解详细信息。
解决方法:Set-ADFSProperties -EnableIdPInitiatedSignonPage:$true
2.访问adfs
https://127.0.0.1/adfs/ls/idpinitiatedsignon.aspx
