1 前置条件
因为需要调试LDAP相关的功能,因此进行了部署,仅作个人记录
Windows Server 2016 ,我用的DataCenter版本
2 安装过程
2.1 说明
- 请务必按顺序进行安装,不要多装或少装。
- 根据实战结果来看,要使用目录服务,必须先有域,单装目录服务会面临无法管理的困境。
2.2 配置域服务
- 服务器管理器->添加角色和功能,安装“Active Directory域服务”(AD DS)和“Active Directory轻型目录服务” (AD LDS)。
- 在“服务器管理器”中的“AD DS”,按照提示进行配置,将此服务器设置为域控制器。按照向导一步步下去即可。
注意事项:
1) 选择“新建林”,名称需要符合域名样式,比方说"ldaptest.mytest.com"。
2) 域名系统(DNS)服务器,无特殊需求不要勾选。
3) 如果本机配置了DNS,可能会比较慢。
4) NetBIOS 名即你的域名称。
- 配置完成后,系统重启。注意,例如你的域设置为"ldaptest",那么重启后的登录系统账号就变成需要"ldaptest\Administrator"才行,密码不变。
2.3 配置目录服务
- 升级为域控制后,已经有一个默认的目录服务。可使用“Active Directory 管理中心”对LDAP进行管理。
- 在默认根目录下右键新建一个“组织单位”作为实际使用的根节点,在该节点下面进行组织结构和用户的添加工作。“组织单位”即目录层级,“用户”即联系人,“组”即一系列用户的集合。
- 建议配置一个账户(比方说admin),为其分配同时拥有Domain Admins和IIS_USERS角色,后面有用。
配置完毕后,如果此时不需要加密登录,已经可以用了。
2.4 配置证书服务
- 还是在“ 服务器管理器”,选择添加“Active Directory 证书服务”。
- AD CS的配置中的“角色服务”选择中,注意全选。
- 安装完成时进行配置,勾选“证书颁发机构”、“证书颁发机构WEB注册”、“联机响应程序”,一路下一步即可。
- 配置完成后,会提示你进行继续配置,将剩下未勾选的项目勾上。配置过程中,提示你配置NDES的服务账户,就需要用到前面提到的admin账户。
- 全部配置完成,重启服务器后可支持加密登录。
2.5 设置NTP同步
图形化的设置时间界面目前已不让修改,是因为已经进入域了。
可以进入Powershell,输入以下命令进行NTP源设置:
w32tm /config /manualpeerlist:"时间服务器地址" /syncfromflags:manual /reliable:yes /update
3 客户端配置
如果只是为了在远端看AD,可以用微软的这个AD Explorer,超级小。
如果想比较专业的测试各类连接效果,推荐Apache Directory Studio,注意需要JDK11以上,可以自行官网下载,我用的JDK21
如果本机有多个JDK,可能会错误认到老版本,可以修改ApacheDirectoryStudio.ini进行手工指定
-vm
C:\Program Files\Java\jdk-21\bin\javaw.exe
参考配置:
OU名称是你根节点组织目录的名称,如果是希望子节点则多级OU,可登陆后右键看到,也可以通过Fetch Base DNs获取推荐值。