如何让 Linux 机器加入 Windows 的 AD 域

对于帐户统一管理系统或软件来说，在 Linux 下你可能知道 NIS、OpenLDAP、samba 或者是 RedHat、IBM 的产品，在 Windows 下当然就是最出名的活动目录 （AD）了，这里就来探讨一下如何让 Linux 的计算机加入 AD 域。

首先，先简单介绍一下 AD 域。自 Windows 2000 以来，AD 一直是 Windows 的身份验证和目录服务，AD 基于 LDAP 实现其功能，其使用 DNS 进行主机名的解析，使用 Kerberos V5 进行用户身份验证，使用 LDAP V3 进行统一的帐户管理。

目标：在 AD 域中，将 Linux 服务器加入 AD，以使 Domain Admins 用户组成员可以登录操作 Linux 服务器，不需要在 Linux 服务器中单独创建帐户。

环境：一台 Windows Server 2012 R2 操作系统的服务器，安装有 AD 并作为域控制器（DC），同时也作为 DNS 服务器和时间服务器；一台 RedHat Enterprise Linux 6x 的服务器，请自行配置好网络及 YUM 源。有关 AD 域服务器的搭建，由于比较简单，请自行查阅资料完成，这里不再详述。

这里以 Windows 服务器地址为 1921682122，域名为 contosocom，主机名为 adcontosocom；Linux 服务器地址为 1921682150，主机名为 lemon20contosocom。

1、安装所需软件：

# yum -y install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation ntpdate

2、设置服务自启动并启动服务：

# chkconfig smb on

# chkconfig winbind on

# service smb start

# service winbind start

3、修改 /etc/hosts 文件，添加主机对应记录：

127001 localhost localhostlocaldomain localhost4 localhost4localdomain4

::1 localhost localhostlocaldomain localhost6 localhost6localdomain6

1921682150 lemon20contosocom lemon20

4、设置 DNS 地址并与 AD 服务器同步时间：

# echo "nameserver 1921682122" >> /etc/resolvconf

# ntpdate adcontosocom

5、设置 Kerberos 票据（可选）：

销毁已经存在的所有票据：

# kdestroy

查看当前是否还存在票据：

# klist

klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

生成新的票据，注意域名大写。

# kinit administrator@CONTOSOCOM

# klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: administrator@CONTOSOCOM

Valid starting Expires Service principal

08/02/16 22:35:26 08/03/16 08:35:29 krbtgt/CONTOSOCOM@CONTOSOCOM

renew until 08/09/16 22:35:26

6、以命令方式设置 samba 与 Kerberos，并加入 AD 域：

#authconfig --enablewinbind --enablewins --enablewinbindauth --smbsecurity ads --smbworkgroup=CONTOSO --smbrealm CONTOSOCOM --smbservers=adcontosocom --enablekrb5 --krb5realm=CONTOSOCOM --krb5kdc=adcontosocom --krb5adminserver=adcontosocom --enablekrb5kdcdns --enablekrb5realmdns --enablewinbindoffline --winbindtemplateshell=/bin/bash --winbindjoin=administrator --update --enablelocauthorize --enablemkhomedir --enablewinbindusedefaultdomain

注意命令中的大小写，此步骤也可以使用 authconfig-tui 完成。

7、增加 sudo 权限（可选）：

# visudo

加入下列设置：

%MYDOMAIN\\domain\ admins ALL=(ALL) NOPASSWD: ALL

8、确认是否正确加入 AD 域：

查看 AD 的相关信息

# net ads info

查看 MYDOMAIN\USERID 的使用者帐户

# wbinfo -u

补充：

如果启用 selinux 的话，需要安装 oddjobmkhomedir 并启动其服务，这样才能确保系统对创建的家目录设置合适的 SELinux 安全上下文。

1 首先AD的首选dns应设置为dns服务器所在地址，然后在AD上ping域名，如果可以ping通，说明dns服务器没有问题，否则dns服务器有问题。

2 在域中dns服务器最好和AD绑定在一起，动态更新，这样就不需要自行配置了。

3 把别的电脑首选dns设置为dns服务器所在地址，ping域名，如果ping不通，检查dns服务器上是否有防火墙，如果有需要关闭。

根据本人使用经验，公司200人。主域（同时担任文件服务器）和备份域控，采用普通台式机：双核CPU，4G内存，win2003操作系统，平均重启时间30天，运行七年至今，未发生任何故障。

我的意思是想告诉你，只要双核、4G以上内存，就能完美运行并支持200人左右的用户运行。

所以，完全不用考虑配置问题。除非你将来有很大规模发展或者资金足够多，那么有多好的就买多好的。

你说的详细配置是指的什么？IP？

第一：先要规划好网络；

第二;再搭建好域控服务器;

第三：客户端和服务器通讯正常：虚拟机VM1，VM2，VM3位于同一个物理虚拟网段；

下面是逻辑网络：

VM1是域控服务器：

IP：17216248253，

子网掩码：2552552550，

网关：17216248254

DNS：17216248253

VM2：

IP:172162481

子网：2552552550

网关：17216248253

DNS：17216248253

VM3：

IP:172162482

子网：2552552550

网关：17216248253

DNS：17216248253

俩台电脑用交叉线连接，一台windows2003server

做ad域服务器，xp做客户端，怎么配置

-----同种设备相排斥，所以是交叉线才能相互通讯。同一个网段即可。如果有用交换机就不用交叉线了；

要配置DNS服务器，首先必须添加角色。打开“服务器管理器”，在“仪表板”里面点击“添加角色和功能”。

2

进入“添加角色和功能向导”，检查到静态IP地址（为192168100100）已配置完成，管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略，点击“下一步”。

3

我们在本地运行的物理计算机上安装，故安装类型选择第一项“基于角色或基于功能的安装”。

4

服务器选择服务器池中的本地服务器“dc”。

5

服务器角色中勾选上“DNS服务器”，同时也在该服务器上安装DNS服务器管理工具。

6

DNS服务器的安装不需要添加其他功能，功能安装页面直接点击“下一步”。

7

注意事项中说明当DNS服务器和Active Directory域服务器集成时，DNS服务器会自动复制DNS数据及其他目录服务数据；AD域服务器上必须安装DNS服务器。点击“下一步”。

8

确认选择无误，点击“安装”按钮开始安装，安装完毕关闭添加角色和功能向导。

9

由于这里没有上一级DNS服务器，只能将本地IP地址配置为主DNS服务器地址，在“Internet协议版本4(TCP/IPv4)属性”的“首选DNS服务器”中填“127001”。到此，DNS服务器配置完成。

客户端的DNS配置

首先测试客服端和DNS服务器的网络连接是否正常。在客户端中ping 192168100100，连接正常。

如果客户端无法ping通DNS服务器，请检查DNS服务器的防火墙是否配置正确。可以直接关闭DNS服务器的防火墙或者在防火墙的高级设置的入站规则中启用规则“文件和打印机共享(回显请求 - ICMPv4-In)”和“文件和打印机共享(回显请求 - ICMPv6-In)”。如下图所示：

在客户端相应网卡的“Internet协议版本4(TCP/IPv4)属性”的“首选DNS服务器”中填上DNS服务器的IP地址，到此客户端的DNS配置完成，客户端的域名请求就可以正常解析。

1首先，打开“服务器管理器”，点击“添加功能和角色”。2进入“添加角色和功能向导”，检查到静态IP地址（为192168100100）已配置完成，管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略，点击“下一步”。

3我们在本地运行的物理计算机上安装，故安装类型选择第一项“基于角色或基于功能的安装”。

4服务器选择服务器池中的本地服务器“dc”。

5服务器角色中确保已安装了“DNS服务器”，如果没有安装将“DNS服务器”勾选上。然后勾选上“Active Directory域服务”，同时也在该服务器上安装域服务管理工具。

6在Windows Server 2012R2上Active Directory域服务的安装不需要添加额外的功能，直接点击“下一步”。

7确认选择无误，点击“安装”按钮开始安装。

8 “Active Directory域服务”安装完成之后，点击“将此服务器提升为域控制器”。如果不慎点了“结束”按钮关闭了向导，也可以在“服务器管理器”中找到，如图所示。

9进入“Active Directory域服务配置向导”，部署操作选择“添加新林”并输入根域名，必须使用允许的 DNS 域命名约定。

10创建新林，“域控制器选项”页将显示以下选项。

11默认情况下，林和域功能级别设置为Windows Server 2012。

12在 Windows Server 2012域功能级别提供了一个新的功能：“支持动态访问控制和 Kerberos 保护”的 KDC 管理模板策略具有两个需要 Windows Server 2012 域功能级别的设置（“始终提供声明”和“未保护身份验证请求失败”）。

Windows Server 2012 林功能级别不提供任何新功能，但可确保在林中创建的任何新域都自动在 Windows Server 2012 域功能级别运行。除了支持动态访问控制和 Kerberos 保护之外，Windows Server 2012 域功能级别不提供任何其他新功能，但可确保域中的任何域控制器都能运行 Windows Server 2012。

13超过功能级别时，运行 WindowsServer 2012 的域控制器将提供运行早期版本的 Windows Server 的域控制器不提供的附加功能。例如，运行 Windows Server 2012 的域控制器可用于虚拟域控制器克隆，而运行早期版本的 Windows Server 的域控制器则不能。

创建新林时，默认情况下选择 DNS 服务器。林中的第一个域控制器必须是全局目录 (GC) 服务器，且不能是只读域控制器 (RODC)。

14需要目录服务还原模式 (DSRM) 密码才能登录未运行 ADDS 的域控制器。指定的密码必须遵循应用于服务器的密码策略，且默认情况下无需强密码；仅需非空密码。总是选择复杂强密码或首选密码。

15安装 DNS 服务器时，应该在父域名系统(DNS) 区域中创建指向 DNS 服务器且具有区域权限的委派记录。委派记录将传输名称解析机构和提供对授权管理新区域的新服务器对其他 DNS 服务器和客户端的正确引用。由于本机父域指向的是自己，无法进行DNS服务器的委派，不用创建 DNS 委派。

16确保为域分配了NetBIOS名称。

17 “路径”页可以用于覆盖 AD DS 数据库、数据库事务日志和SYSVOL 共享的默认文件夹位置。默认位置始终位于 %systemroot% 中，保持默认即可。

18 “审查” 选项页可以用于验证设置并确保在开始安装前满足要求。这不是停止使用服务器管理器安装的最后一次机会。此页只是让你先查看和确认设置，然后再继续配置。

19此页面上显示的一些警告包括：

运行 Windows Server 2008 或更高版本的域控制器具有一个用于“允许执行兼容 Windows NT 4 加密算法”的默认设置，在建立安全通道会话时它可以防止加密算法减弱。

无法创建或更新 DNS 委派。

点击“安装”按钮开始安装。

20安装完毕之后系统会自动重启，重启之后将以域管理员的身份登录，到此，域控制器配置完毕。

1 一个公网IP地址，这个公网IP地址是需要发布ADFS服务，从而在从Azure

AD重定向到ADFS服务时能找到。实际环境中，可以使用ADFS Proxy或者Windows Application

Proxy，或者其他反向代理将ADFS发布出来。测试环境中，我们会Azure的虚拟机，因为Azure虚拟机所在的Cloud

Service提供了一个公网地址。

2 一个公网证书，这是客户端通过https的ADFS服务时需要的证书，测试环境中我们就不适用公网证书了，使用自建的CA服务器，缺点是客户端访问会报证书错误，或者得提前在客户端安装证书，但这不影响实际功能使用。

3 DC

4 ADFS

5 公网域名

以下测试环境中需要使用Azure，至少需要一个Azure订阅，具体步骤如下

1 首先登陆Azure的门户，在网络中创建一个虚拟网络

2 创建完成后，我们创建2个Server 2012 r2 虚拟机，一台为DC，一台为ADFS。在虚拟机的设置里，网络选择我们刚刚创建的CorpNet，针对ADFS，我们需要在端口上把HTTPS和HTTP都打开。

3 在创建过程中，我们先下载一下Azure的PowerShell组件，我们需要为这两个虚拟机固定一下IP地址。

注：Azure Powershell是需要net framework 45的，所以如果你目前的PC是Win7或者更老版本的话，请安装NET framework 45

4

使用MSTSC远程登陆创建好的DC和ADFS，查看这两台服务器的目前分配得到的IP地址，这是用我们创建的CorpNet的DHCP分配的，我们需要

让他们固定使用这两个IP，以免在虚拟机重启后得到不一样的IP。特别是DC，我们必须保证DC和上面的DNS始终是用一个IP地址。

5 记录下来后打开我们安装好的Azure PowerShell,首先连接到我们的Azure账户

如果是中国的Azure

Add-AzureAccount -Environment azurechinacloud

如果是Global的Azure

Add-AzureAccount

6 登录后，使用以下命令设定固定IP，替换你自己的虚拟机名字以及IP地址。

Get-AzureVM -Name corp-dc -ServiceName corp-dc| Set-AzureStaticVNetIP -IPAddress 10006 | Update-AzureVM

Get-AzureVM -Name corp-adfs -ServiceName corp-adfs | Set-AzureStaticVNetIP -IPAddress 10005 | Update-AzureVM

注: 这里我们设定的是固定的内部IP，Azure支持设定固定的外部IP地址，这里不详细介绍，具体方法请参阅http://msdnmicrosoftcom/en-us/library/azure/dn690120aspx

7 设置完成后，我们在DC上，安装DC、DNS的角色。忽略关于DNS的非静态IP的报错。

8 安装完成后，在服务器管理器中选择将此台服务器提升为域控。创建一个新的域。其中在域名这一块，填入你公网域名相同的名字，或者子域名。

我拥有jashuangcn，我这里使用了子域名corp1jashuangcn作为我的域，你也可以使用一级域名。

然后一路下一步直到安装。

9 安装完成后重启DC。

10 然后我们在DC上安装我们的证书服务，然后一路下一步直到安装。

11 安装完成后，选择配置，在角色服务上，选择证书颁发机构，然后一路下一步，然后选择配置。

12 完成后，我们需要新建一张SSL的证书，用户ADFS的HTTPS通信。运行命令certsrvmsc，在证书模板上右击，选择管理

13 在新窗口招到web服务器证书，右击选择复制模板。在常规标签项，命名为ADFS SSL。

进入安全选项卡，添加 domain users,domain computers，权限选择注册和读取

进入使用者名称 选项卡， 使用者名称格式变为:公用名，勾选 DNS 名

14 回到证书颁发机构，右击证书模板，点击新建要颁发的证书模板，选择ADFS SSL

15 然后，运行命令domainmsc,打开域和信任管理窗口，我们需要添加UPN名。右击Active Directory域和信任关系，选择属性。在UPN标签项填入我们的域名，点击添加 – > 应用 – > 完成。

15 到此，我们把DC配置完成了。现在先登录到Azure的门户，打开我们之前创建的虚拟网络，在配置选项里，我们需要指定虚拟网络的DNS，将他指向DC，再添加一个指向Azure public DNS的记录（否则外网无法解析），然后点击保存。

16 重启一下ADFS。然后将ADFS加入域中。重启后使用域管理员登录。

17 现在我们在ADFS的HOST文件（路径C:windowssystem32driversetcHosts）中加2条DNS记录，按照自己的域名和DC名以及IP地址加入这两条记录，主要是为了防止DNS解析出现问题时能找到DC。

corp1jashuangcn 10006

corp-dccorp1jashuangcn 10006

18 之后需要安装之前我们的证书。打开 MMC， 点击文件-添加、删除管理单元，选择计算机账户， 选择本地计算机，点击确定，右击 个人，点击 所有任务—申请新证书，一直点击下一步，在证书注册中选择ADFS SSL。然后选择注册

19 安装证书完成后，在DC服务器上打开Powershell，运行以下命令。

Add-kdsrootKey –effectivetime (get-date)addhours(-10)

New-adserviceaccount fsgmsa –dnshostname corp-adfscorp1jashuangcn –serviceprincipalnames http/corp-adfscorp1jashuangcn

20 然后回到ADFS，在ADFS上安装ADFS角色

21 完成后，点击配置ADFS。在指定服务属性里，选择我们之前导入的证书，在服务账号选择fsgmsa，然后一直下一步直到配置完成。

23 配置完成后，安装Web服务器角色，这主要是为了安装IIS管理器。

24 安装完成后，打开IIS管理器， 右击Default Website,选择编辑绑定，点击添加，然后添加HTTPS,证书选择之前我们导入的证书。

22 配置完成后，可以打开IE，输入以下网址，尝试登录，简单测试ADFS是否正常。