实验环境
Windows Server 2019
山石防火墙E2300
目录
搭建AD域
第一步
准备一台Windows Server,这里我用的是2019版本,大同小异。搭建过程很简单,基本都是下一步。最重要的设置IP地址
域服务器DNS指向本机
第二步
服务器开机,进入服务器管理器,如下
点击添加角色和功能,下一步
下一步
下一步
下一步
勾选Active Directory 域服务并添加功能,下一步
这里功能都会默认添加,下一步
直接开始安装
这里安装完毕后,点击‘将此服务器提升为域控制器’
第三步
开始正式配置AD域服务器,选择添加新林,并定义根域名,尽量想好,定义后修改比较麻烦,下一步
输入目录还原模式密码,下一步
因为我们还没有创建DNS服务器,之后系统会自己创建DNS服务器,下一步
点击查看脚本,可以看到Windows PowerShell配置AD的参数,会看到自动安装DNS服务器,下一步
安装完成,需要重启计算机
安装了AD 域服务和DNS服务器之后的服务器管理器
尽情的使用吧~
加入域-Monkey.com第一步-创建组和用户
这里配置切换到win10电脑
DNS指向AD域服务器
加入域
这里要输入AD域的管理员用户名和密码
下一步,然后重启,成功加入域
这里发现一个很不爽的东西,就是如果电脑退出域后,无法使用原来的用户登陆,显示密码错误。
山石网科防火墙配置SSL不关联AD域,使用LOCAL
下一步,完成,就可以了
防火墙关联AD域
这里有很多需要注意的地方
Base-dn 是指当前AD服务器搜索的路径起始点。以服务器域名为abc.xyz.com为例,Base-dn的输入格式是“dc=abc,dc=xyz,dc=com"
*这里标准写法是:dc=Monkey,dc=com
同步AD域服务器里所有的目录与用户
*在Base-dn目录里,5.5以后的版本加入了可以只过滤某一个用户组目录
写法是:ou=CHINAMSSP,dc=Monkey,dc=com
Login-dn当认证方式指定为明文时,需要配置Login-dn的属性值,即有权限读取用 户信息的AD服务器的用户名。输入格式是“cn=xxx, DC=xxx,...”,举例说 明:服务器的域名为abc.xyz.com, AD服务器的管理员名为administrator,该管理员名位于“Users”路径下,那么login-dn应写为“cn=administrator,cn=users,dc=abc,dc=xyz,dc=com”
*这里标准写法是:cn=Administrator,cn=Users,dc=Monkey,dc=com
sAMAccountName
当认证方式指定为MD5时,需要配置sAMAccountName的属性值,即有 权限读取用户信息的AD服务器的用户名。输入格式是“xxx”,举例说 明:AD服务器的管理员名为administrator,那么sAMAccountName应写 为“administrator”。
认证方式
指定用户认证或用户同步方法,明文或MD5摘要。默认为MD5摘要。
指定使用MD5摘要方法后需要配置sAMAccountName属性值,如果没有 配置,那么从服务器同步用户的过程中将使用明文方法,认证用户的过程 中将使用MD5摘要方法。
密钥
指定登录AD服务器的用户名所对应的密码。
我这里加了过滤条件,只同步CHINAMSSP里的用户
回到SSL这里,先把之前配置的LOCAL服务器删除,然后选择Monkey.com,添加-
完成。测试一下是否可以使用第三方服务器的用户登陆
成功!
