搭建兩臺服務器 172.30.1.103 與 172.30.1.104。
在 172.30.1.103 中搭建主要 AD 域控制及證書服務與 DNS 服務。
在 172.30.1.104 中搭建額外 AD 域與 DNS 服務。
172.30.1.103
- 安裝 Window server 2008 R2 操作系統。
- 配置固定 IP 地址,首選 DNS 服務器設置與自身 IP 一致。
IP配置
- 安裝 Active Directory 域服務。
命令行中輸入:dcpromo
命令行輸入
安裝向導 → 下一步
域服務安裝向導
操作系統兼容性 → 下一步
操作系統兼容性
選擇某一部署配置 → 在新林中新建域 → 下一步
新建林
命名林根域 → 輸入域名(例如:sdcad6.com) → 下一步
命名林根域
設置林功能級別 → 選擇功能級別(例如:windows server 2008 R2) → 下一步
設置林功能級別
其他域控制器選項 → 勾選DNS服務器 → 下一步
其他域控制器選項
彈出無法創建 DNS 服務器委派的提示窗口 → 選擇 “是”
無法創建 DNS 服務器委派的提示窗口
數據庫、日志文件和 SYSVOL 的位置 → 下一步
數據庫、日志文件和 SYSVOL 的位置
目錄服務還原模式的 Administrator 密碼 → 輸入密碼 → 下一步
目錄服務還原模式的 Administrator 密碼
摘要 → 下一步
摘要
等待安裝 → 安裝完成(安裝時會將DNS一起安裝) → “完成”按鈕,然后重啟
安裝完成
打開 “開始” 菜單 → “管理工具” → “服務器管理器”
服務器管理器
安裝 DNS 服務器安裝成功,應該包含 dc 、domains 等目錄
安裝 DNS 服務器安裝成功
選擇創建的 DNS 域名(sdcad6.com),右鍵 “新建主機”
新建主機
命令行中輸入:ping sdcad6.com,可以 ping 通才行
命令行中輸入
(已經安裝了AD域和DNS服務器從這里開始)
- 安裝 Active Directory 證書和 web 服務器(IIS)
服務器管理器中,添加角色(選擇 Active Directory 證書和 web服務器(IIS))
服務器管理器中,添加角色
證書簡介 → 下一步
證書簡介
選擇角色服務 → 下一步
選擇角色服務
指定安裝類型 → 企業 → 下一步
指定安裝類型
指定 CA 類型 → 跟 CA → 下一步
指定CA類型
設置私鑰 → 新建私鑰 → 下一步
設置私鑰
為 CA 配置加密 → 使用默認的加密服務提供程序、算法和密鑰長度 → 下一步
為 CA 配置加密
配置 CA 名稱 → 使用默認的名稱 → 下一步
配置 CA 名稱
設置有效期 → 使用默認的五年有效期 → 下一步
設置有效期
配置證書數據庫 → 使用默認的保存位置 → 下一步
配置證書數據庫
IIS 的配置全部選擇下一步即可
IIS 的配置
選擇角色服務
確認安裝選擇
選擇 web 服務器(IIS) → Inte.NET信息服務(IIS)管理器 → 服務器證書
服務器證書
創建域證書(通用名稱填寫域名:例如 sdcad6.com ),其他的信息任意填寫
創建域證書
選擇本機根證書頒發證書(定義一個名稱,該名稱會作為后續綁定操作中 SSL 證書選擇的名稱,例如:test) → 完成
聯機證書頒發機構
選擇 web服務器(IIS) → Internet信息服務(IIS)管理器 → Default web Site → 最右側的 綁定 操作
網站綁定
選擇 SSL 設置
SSL設置
選擇 接受
接受
“開始”菜單 → “管理工具” → 證書頒發機構,查看頒發的證書,可以看見域控制器證書才行
頒發的證書
在目錄 C:WindowsSystem32certsrvCertEnroll,找到根證書 *.crt
根證書
將根證書拷貝到 engine 服務器上
- 增加域用戶管理員
“開始”菜單 → 管理工具 → 選擇 Active Directory 用戶和計算機 → user → 新建用戶
新建用戶
填寫姓名、用戶登錄名等。(例如:超級管理員,sdcadmin),設置密碼,分配權限(添加 Domain Admins 權限)
設置密碼
分配權限
172.30.1.104
- 在 172.30.1.104 安裝 window server 2008 R2 操作系統
- 配置固定 IP 地址,首選 DNS 服務器設置為主域控服務器 IP(172.30.1.103),備用設置與自身 IP 一致。
- 安裝Active Directory域服務
命令行中輸入:dcpromo
安裝向導 → 下一步
選擇功能級別(例如:windows server 2008 R2 ) → 下一步
選擇某一部署配置 → 現有林 → 下一步
選擇某一部署配置
網絡憑據 → 輸入主域控的 DNS 名稱 → 備用憑據 → 設置(登錄帳號與密碼) → 下一步
網絡憑據
Windows 安全
選擇域 → 下一步
選擇域
請選擇一個站點 → 下一步
請選擇一個站點
其他域控制器選項 → 下一步
其他域控制器選項
彈出無法創建 DNS 服務器委派的提示窗口 → 選擇 “是”
數據庫、日志文件和 SYSVOL 的位置 → 下一步
目錄服務還原模式的 Administrator 密碼 → 輸入密碼 → 下一步
摘要 → 下一步
等待安裝 → 安裝完成(安裝時會將 DNS 一起安裝) → “完成” 按鈕,然后重啟
打開 “開始” 菜單 → “管理工具” → 服務器管理器
安裝 DNS 服務器安裝成功,應該包含 dc、domains 等目錄
可以查看到主域控(172.30.1.103)的 DNS 配置信息
可以查看到主域控
域用戶也進行了同步,可以查看到主域控先前新增的姓名為超級管理員的用戶
域用戶也進行了同步
命令行中輸入:ping sdcad6.com,可以 ping 通才行
命令行中輸入
主域控服務器上同樣也能看見額外域控(172.30.1.104)的DNS配置信息
- engine 服務器的 DNS 配置文件 /etc/resolv.conf 文件中,將主域控寫在最前面,額外域寫后面
nameserver 172.30.1.103
nameserver 172.30.1.104
配置 AD 域及證書服務與 DNS 服務說明
配置Windows Server 2016 遠程桌面帳戶允許多用戶同時登錄
啟用遠程桌面
打開任務欄左下角的"服務器管理器",在左側列表中選中"本地服務器"
然后將右側"遠程桌面"功能的選項修改為"啟用","遠程管理"功能的選項修改為"啟用"。
修改本地組策略,允許遠程桌面帳戶的多用戶訪問
同時按住 "Win鍵"+R 組合鍵調出運行窗口,輸入"gpedit.msc"調出組策略編輯器:
按照 計算機配置->管理模板->Windows 組件->遠程桌面服務->遠程桌面會話主機->連接 的路徑,找到"將遠程桌面服務的用戶限制到單獨的遠程桌面會話"配置項:
雙擊打開配置界面,選擇"已禁用"選項,確定即可:
現在你不用重啟服務器就可以多人使用不同帳戶同時遠程操作服務器了。
