AD域搭建 & 山石防火墙 SSL关联AD域用户实现远程办公

实验环境

Windows Server 2019

山石防火墙E2300

 

 

目录

搭建AD域... 3

第一步... 3

第二步... 3

第三步... 3

加入域-Monkey.com... 3

第一步-创建组和用户... 3

第二步-加入域... 3

山石网科防火墙配置SSL.. 3

不关联AD域，使用LOCAL. 3

防火墙关联AD域 

 

搭建AD域

第一步

准备一台Windows Server，这里我用的是2019版本，大同小异。搭建过程很简单，基本都是下一步。最重要的设置IP地址

域服务器DNS指向本机

第二步

服务器开机，进入服务器管理器，如下

点击添加角色和功能，下一步

 

下一步

下一步

下一步

勾选Active Directory 域服务并添加功能，下一步

这里功能都会默认添加，下一步

 

直接开始安装

这里安装完毕后，点击‘将此服务器提升为域控制器’

第三步

开始正式配置AD域服务器，选择添加新林，并定义根域名，尽量想好，定义后修改比较麻烦，下一步

输入目录还原模式密码，下一步

因为我们还没有创建DNS服务器，之后系统会自己创建DNS服务器，下一步

点击查看脚本，可以看到Windows PowerShell配置AD的参数，会看到自动安装DNS服务器，下一步

安装完成，需要重启计算机

安装了AD 域服务和DNS服务器之后的服务器管理器

尽情的使用吧~

加入域-Monkey.com

第一步-创建组和用户

第二步-加入域

这里配置切换到win10电脑

DNS指向AD域服务器

加入域

这里要输入AD域的管理员用户名和密码

下一步，然后重启，成功加入域

这里发现一个很不爽的东西，就是如果电脑退出域后，无法使用原来的用户登陆，显示密码错误。

山石网科防火墙配置SSL

不关联AD域，使用LOCAL

下一步，完成，就可以了

 

防火墙关联AD域

这里有很多需要注意的地方

 

Base-dn 是指当前AD服务器搜索的路径起始点。以服务器域名为abc.xyz.com为例，Base-dn的输入格式是“dc=abc,dc=xyz,dc=com"

 

*这里标准写法是：dc=Monkey,dc=com

同步AD域服务器里所有的目录与用户

*在Base-dn目录里，5.5以后的版本加入了可以只过滤某一个用户组目录

写法是：ou=CHINAMSSP,dc=Monkey,dc=com

 

Login-dn当认证方式指定为明文时，需要配置Login-dn的属性值，即有权限读取用 户信息的AD服务器的用户名。输入格式是“cn=xxx, DC=xxx,...”，举例说 明：服务器的域名为abc.xyz.com, AD服务器的管理员名为administrator，该管理员名位于“Users”路径下，那么login-dn应写为“cn=administrator,cn=users,dc=abc,dc=xyz,dc=com”

 

*这里标准写法是：cn=Administrator,cn=Users,dc=Monkey,dc=com

 

 

sAMAccountName

当认证方式指定为MD5时，需要配置sAMAccountName的属性值，即有 权限读取用户信息的AD服务器的用户名。输入格式是“xxx”,举例说 明：AD服务器的管理员名为administrator，那么sAMAccountName应写 为“administrator”。

 

认证方式

指定用户认证或用户同步方法，明文或MD5摘要。默认为MD5摘要。

指定使用MD5摘要方法后需要配置sAMAccountName属性值，如果没有 配置，那么从服务器同步用户的过程中将使用明文方法，认证用户的过程 中将使用MD5摘要方法。

 

密钥

指定登录AD服务器的用户名所对应的密码。

 

我这里加了过滤条件，只同步CHINAMSSP里的用户

回到SSL这里，先把之前配置的LOCAL服务器删除，然后选择Monkey.com，添加-

完成。测试一下是否可以使用第三方服务器的用户登陆

                成功！