更新时间:2024-03-07 GMT+08:00
如何启用AD服务器的LDAPS服务?
企业需要云桌面与AD服务器应用程序之间通过LDAPS通信时,可参考如下操作在AD服务器上启用LDAPS。
- 如果是单独的AD服务器,其配置流程为:启用主AD服务器的LDAPS>验证主AD服务器的LDAPS连接。
- 如果是主备模式的AD服务器,其配置流程为:启用主AD服务器的LDAPS>验证主AD服务器的LDAPS连接>启用备AD服务器的LDAPS>验证备AD服务器的LDAPS连接。
启用主AD服务器的LDAPS
- 登录主AD服务器,在左下角的任务栏,单击,选择并打开“服务器管理器”,进入服务器配置页面,如图1所示。
- 在“仪表板”页面中间,单击“添加角色和功能”,弹出“添加角色和功能向导”对话框。
- 连续单击“下一步”,进入“选择目标服务器”页面。
- 选择目标服务器。
目标服务器名称及IP地址可从服务器管理器的仪表板页面,选择“工具 > Active Directory 用户和计算机 > Domain Controllers”获取。
- 单击“下一步”,进入“选择服务器角色”页面。
- 选择“Active Directory 证书服务”,进入添加Active Directory证书服务功能页面。
- 保持默认配置,单击“添加功能”。
- 连续单击“下一步”,进入AD CS角色服务页面。
- 选择“证书颁发机构 Web 注册”,单击“添加功能”。
- 选择“证书注册策略 Web 服务”,单击“添加功能”。
- 连续单击“下一步”,进入确认页面。
- 单击“安装”。
- 安装完成后,单击“Active Directory 证书服务”下的“配置目标服务器上的 Active Directory 证书服务”,如图2所示,进入AD CS配置页面。
- 保持默认配置,单击“下一步”,进入角色服务页面。
- 选择“证书颁发机构”、“证书颁发机构 Web 注册”、“证书注册策略 Web 服务”,单击“下一步”,进入设置类型页面。
- 选择“企业 CA”,单击“下一步”,进入CA类型配置页面。
- 选择“根 CA”,单击“下一步”,进入私钥配置页面。
- 选择“创建新的私钥”,单击“下一步”,进入加密配置页面。
- 选择密钥长度为“2048”,选择对CA证书进行签名的哈希算法为“SHA256”其他保持默认,如图3所示。
- 连续单击“下一步”,进入服务器证书页面。
- 选择“选择证书并稍后为 SSL 分配”,单击“下一步”,进入确认页面。
- 单击“配置”。
- 配置成功后,单击“关闭”。
- 重启主AD服务器。
验证主AD服务器的LDAPS连接
- 在主AD服务器桌面,单击,输入“Ldp”,打开Ldp。
- 在连接菜单上,单击“连接”。
- 在“服务器”中输入要连接的域名,例如vdesktop.domain.com。
目标域名请从服务器管理器的仪表板页面,选择“工具 > Active Directory 域和信任关系”,进入域列表页面获取。域列表中“名称”列即为所需域名,如图4所示。
- 在“端口”中输入636。
- 勾选“SSL”。
- 单击“确定”。
右侧窗口中有打印RootDSE信息,则连接成功。
启用备AD服务器的LDAPS
- 在主AD服务器桌面,单击,输入“运行”,打开运行应用。
- 在“打开”中输入“mmc”,打开控制台根节点配置页面。
- 选择“文件 > 添加/删除管理单元”,进入添加或删除管理单元配置页面。
- 在“可用的管理单元”列表中,双击“证书”,进入证书管理单元页面。
- 选择“计算机帐户”,单击“下一步”,进入选择计算机页面。
- 选择“本地计算机(运行此控制台的计算机)”,单击“完成”,单击“确定”。
- 在控制台根节点下,展开证书。
- 选择“个人 > 证书”,进入个人证书列表页面。
- 右键单击“预期目的”为“所有”的证书,选择“所有任务 > 导出”,进入证书导出向导页面。
- 单击“下一步”,进入导出私钥配置页面。
- 选择“是,导出私钥”,单击“下一步”,进入文件格式配置页面。
- 选择“个人信息交换-PKCS#12(.PFX)”,勾选“如果可能,则包括证书路径中的所有证书”,单击“下一步”,进入安全配置页面。
- 勾选“组或用户名(建议)”,勾选“密码”并设置密码。单击“下一步”,进入文件名称配置页面。
请记录该密码,后续导入证书时需使用。
- 单击“浏览”,选择证书保存路径,并设置证书名称,单击“保存”,单击“下一步”,进入信息确认页面。
- 确认信息无误后,单击“完成”。
- 登录备AD服务器。
- 将15中导出的主AD服务器证书,复制至备AD服务器上。
- 打开“服务器管理器”,进入服务器配置页面。
- 在“仪表板”页面中间,单击“添加角色和功能”,弹出“添加角色和功能向导”对话框。
- 连续单击“下一步”,进入“选择目标服务器”页面。
- 选择目标服务器。
目标服务器名称及IP地址可从服务器管理器的仪表板页面,选择“工具 > Active Directory 用户和计算机 > Domain Controllers”查看。
- 单击“下一步”,进入“选择服务器角色”页面。
- 选择“Active Directory 证书服务”,进入添加Active Directory证书服务功能页面。
- 保持默认配置,单击“添加功能”。
- 连续单击“下一步”,进入AD CS角色服务页面。
- 选择“证书颁发机构 Web 注册”,单击“添加功能”。
- 选择“证书注册策略 Web 服务”,单击“添加功能”。
- 连续单击“下一步”,进入确认页面。
- 单击“安装”。
- 安装完成后,单击“Active Directory 证书服务”下的“配置目标服务器上的 Active Directory 证书服务”,如图5所示,进入AD CS配置页面。
- 保持默认配置,单击“下一步”,进入角色服务页面。
- 选择“证书颁发机构”、“证书颁发机构 Web 注册”、“证书注册策略 Web 服务”,单击“下一步”,进入设置类型页面。
- 选择“企业 CA”,单击“下一步”,进入CA类型配置页面。
- 选择“根 CA”,单击“下一步”,进入私钥配置页面。
- 选择“使用现有私钥”,勾选“选择一个证书并使用其关联私钥”,单击“下一步”,进入现有证书配置页面。
- 单击“导入”,选择17中复制至备AD服务器上的证书文件,并输入13中设置的密码,单击“确定”。
- 证书导入成功后,在“证书”列表区域,选中该证书,连续单击“下一步”,进入服务器证书页面。
- 选择“选择证书并稍后为 SSL 分配”,单击“下一步”,进入确认页面。
- 单击“配置”。
- 配置成功后,单击“关闭”。
- 重启备AD服务器。
验证备AD服务器的LDAPS连接
- 在备AD服务器桌面,单击,输入“Ldp”,打开Ldp。
- 在连接菜单上,单击“连接”。
- 在“服务器”中输入要连接的域名,例如vdesktop.domain.com。
目标域名请从服务器管理器的仪表板页面,选择“工具 > Active Directory 域和信任关系”,进入域列表页面获取。域列表中“名称”列即为所需域名,如图6所示。
- 在“端口”中输入636。
- 勾选“SSL”。
- 单击“确定”。
右侧窗口中有打印RootDSE信息,则连接成功。
父主题: 管理员常见问题