电脑怎么搭建成完整服务器?
家用的电脑可以轻易地搭建各种服务器!
我自己尝试过的就有:
1
web服务器
;供网站使用;
2
DNS服务器
;动态解析域内的域名;
3
DHCP服务器
;域内计算机动态获取IP;
4exchange服务器;邮箱服务器
5AD服务器;
域名服务器
;
6杀毒服务器;为局域网内提供安全环境
7备份服务器;为域内的计算机备份重要的工作资料;
8
FTP服务器
;
以上的各种服务器可以通过微软的软件去搭建或者是其他的开源软件,网上很多教程的!
在搭建的时候一定要机器多!
不能总在一两台电脑上面新建
虚拟机
来做实验!
这样会与你的真实设备的网卡冲突,影响实验效果!
1、安装所需软件:
# yum -y install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation ntpdate
2、设置服务自启动并启动服务:
# chkconfig smb on
# chkconfig winbind on
# service smb start
# service winbind start
3、修改 /etc/hosts 文件,添加主机对应记录:
127001 localhost localhostlocaldomain localhost4 localhost4localdomain4::1 localhost localhostlocaldomain localhost6 localhost6localdomain
1921682150 lemon20contosocom
4、设置 DNS 地址并与 AD 服务器同步时间:
# echo "19216844108" >> /etc/resolvconf
# ntpdate adcontosocom
5、设置 Kerberos 票据(可选):
销毁已经存在的所有票据:
# kdestroy
查看当前是否还存在票据:
# klist klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
生成新的票据,注意域名大写。
#kinit administrator@SANYCOMCN #检查krb5能否正确请求kerbroes票据
6、以命令方式设置 samba 与 Kerberos,并加入 AD 域:
#authconfig --enablewinbind --enablewins --enablewinbindauth --smbsecurity domain --smbworkgroup=CONTOSO --smbrealm CONTOSOCOM --smbservers=adcontosocom --enablekrb5 --krb5realm=CONTOSOCOM --krb5kdc=adcontosocom --krb5adminserver=adcontosocom --enablekrb5kdcdns --enablekrb5realmdns --enablewinbindoffline --winbindtemplateshell=/bin/bash --winbindjoin=administrator --update --enablelocauthorize --enablemkhomedir --enablewinbindusedefaultdomain
注意命令中的大小写,此步骤也可以使用 authconfig-tui 完成,加入后会提示No DNS domain configured for pmsamba Unable to perform DNS Update
DNS update failed: NT_STATUS_INVALID_PARAMETER ,此警告可以忽略!
7、增加 sudo 权限(可选):
# visudo
加入下列设置:
%MYDOMAIN//domain/ admins ALL=(ALL) NOPASSWD: ALL
8、确认是否正确加入 AD 域:
查看 AD 的相关信息
# net ads info
# wbinfo -u
#wbinfo -t
#wbinfo -g
#getent passwd
#getent group
#testparm #测试smbconf是否正确
问题排错:
Cannot find KDC for requested realm while getting initial credentials dns未正确指向
KDC reply did not match expectations while getting initial credentials 域名不对或者时间不同步
一般检测会提示:
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter
(by default Samba will discover the correct DC to contact automatically)
系统认为己设置了“security = ADS”就不必设置“password server =”因为samba会自己认到,可以忽略此警告!
首先,打开“服务器管理器”,点击“添加功能和角色”。
2
进入“添加角色和功能向导”,检查到静态IP地址(为192168100100)已配置完成,管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略,点击“下一步”。
3
我们在本地运行的物理计算机上安装,故安装类型选择第一项“基于角色或基于功能的安装”。
4
服务器选择服务器池中的本地服务器“dc”。
5
服务器角色中确保已安装了“DNS服务器”,如果没有安装将“DNS服务器”勾选上。然后勾选上“Active Directory域服务”,同时也在该服务器上安装域服务管理工具。
6
在Windows Server 2012 R2上Active Directory域服务的安装不需要添加额外的功能,直接点击“下一步”。
确认选择无误,点击“安装”按钮开始安装。
“Active Directory域服务”安装完成之后,点击“将此服务器提升为域控制器”。如果不慎点了“结束”按钮关闭了向导,也可以在“服务器管理器”中找到,如图所示。
进入“Active Directory域服务配置向导”,部署操作选择“添加新林”并输入根域名,必须使用允许的 DNS 域命名约定。
创建新林,“域控制器选项”页将显示以下选项。
默认情况下,林和域功能级别设置为 Windows Server 2012。
在 Windows Server 2012 域功能级别提供了一个新的功能:“支持动态访问控制和 Kerberos 保护”的 KDC 管理模板策略具有两个需要 Windows Server 2012 域功能级别的设置(“始终提供声明”和“未保护身份验证请求失败”)。
Windows Server 2012 林功能级别不提供任何新功能,但可确保在林中创建的任何新域都自动在 Windows Server 2012 域功能级别运行。除了支持动态访问控制和 Kerberos 保护之外,Windows Server 2012 域功能级别不提供任何其他新功能,但可确保域中的任何域控制器都能运行 Windows Server 2012。
超过功能级别时,运行 Windows Server 2012 的域控制器将提供运行早期版本的 Windows Server 的域控制器不提供的附加功能。例如,运行 Windows Server 2012 的域控制器可用于虚拟域控制器克隆,而运行早期版本的 Windows Server 的域控制器则不能。
创建新林时,默认情况下选择 DNS 服务器。林中的第一个域控制器必须是全局目录 (GC) 服务器,且不能是只读域控制器 (RODC)。
需要目录服务还原模式 (DSRM) 密码才能登录未运行 AD DS 的域控制器。指定的密码必须遵循应用于服务器的密码策略,且默认情况下无需强密码;仅需非空密码。总是选择复杂强密码或首选密码。
安装 DNS 服务器时,应该在父域名系统 (DNS) 区域中创建指向 DNS 服务器且具有区域权限的委派记录。委派记录将传输名称解析机构和提供对授权管理新区域的新服务器对其他 DNS 服务器和客户端的正确引用。由于本机父域指向的是自己,无法进行DNS服务器的委派,不用创建 DNS 委派。
确保为域分配了NetBIOS名称。
“路径”页可以用于覆盖 AD DS 数据库、数据库事务日志和 SYSVOL 共享的默认文件夹位置。默认位置始终位于 %systemroot% 中,保持默认即可。
“审查” 选项页可以用于验证设置并确保在开始安装前满足要求。这不是停止使用服务器管理器安装的最后一次机会。此页只是让你先查看和确认设置,然后再继续配置。
此页面上显示的一些警告包括:
运行 Windows Server 2008 或更高版本的域控制器具有一个用于“允许执行兼容 Windows NT 4 加密算法”的默认设置,在建立安全通道会话时它可以防止加密算法减弱。
无法创建或更新 DNS 委派。
点击“安装”按钮开始安装。
安装完毕之后系统会自动重启,重启之后将以域管理员的身份登录,到此,域控制器配置完毕。
1 一个公网IP地址,这个公网IP地址是需要发布ADFS服务,从而在从Azure
AD重定向到ADFS服务时能找到。实际环境中,可以使用ADFS Proxy或者Windows Application
Proxy,或者其他反向代理将ADFS发布出来。测试环境中,我们会Azure的虚拟机,因为Azure虚拟机所在的Cloud
Service提供了一个公网地址。
2 一个公网证书,这是客户端通过https的ADFS服务时需要的证书,测试环境中我们就不适用公网证书了,使用自建的CA服务器,缺点是客户端访问会报证书错误,或者得提前在客户端安装证书,但这不影响实际功能使用。
3 DC
4 ADFS
5 公网域名
以下测试环境中需要使用Azure,至少需要一个Azure订阅,具体步骤如下
1 首先登陆Azure的门户,在网络中创建一个虚拟网络
2 创建完成后,我们创建2个Server 2012 r2 虚拟机,一台为DC,一台为ADFS。在虚拟机的设置里,网络选择我们刚刚创建的CorpNet,针对ADFS,我们需要在端口上把HTTPS和HTTP都打开。
3 在创建过程中,我们先下载一下Azure的PowerShell组件,我们需要为这两个虚拟机固定一下IP地址。
注:Azure Powershell是需要net framework 45的,所以如果你目前的PC是Win7或者更老版本的话,请安装NET framework 45
4
使用MSTSC远程登陆创建好的DC和ADFS,查看这两台服务器的目前分配得到的IP地址,这是用我们创建的CorpNet的DHCP分配的,我们需要
让他们固定使用这两个IP,以免在虚拟机重启后得到不一样的IP。特别是DC,我们必须保证DC和上面的DNS始终是用一个IP地址。
5 记录下来后打开我们安装好的Azure PowerShell,首先连接到我们的Azure账户
如果是中国的Azure
Add-AzureAccount -Environment azurechinacloud
如果是Global的Azure
Add-AzureAccount
6 登录后,使用以下命令设定固定IP,替换你自己的虚拟机名字以及IP地址。
Get-AzureVM -Name corp-dc -ServiceName corp-dc| Set-AzureStaticVNetIP -IPAddress 10006 | Update-AzureVM
Get-AzureVM -Name corp-adfs -ServiceName corp-adfs | Set-AzureStaticVNetIP -IPAddress 10005 | Update-AzureVM
注: 这里我们设定的是固定的内部IP,Azure支持设定固定的外部IP地址,这里不详细介绍,具体方法请参阅http://msdnmicrosoftcom/en-us/library/azure/dn690120aspx
7 设置完成后,我们在DC上,安装DC、DNS的角色。忽略关于DNS的非静态IP的报错。
8 安装完成后,在服务器管理器中选择将此台服务器提升为域控。创建一个新的域。其中在域名这一块,填入你公网域名相同的名字,或者子域名。
我拥有jashuangcn,我这里使用了子域名corp1jashuangcn作为我的域,你也可以使用一级域名。
然后一路下一步直到安装。
9 安装完成后重启DC。
10 然后我们在DC上安装我们的证书服务,然后一路下一步直到安装。
11 安装完成后,选择配置,在角色服务上,选择证书颁发机构,然后一路下一步,然后选择配置。
12 完成后,我们需要新建一张SSL的证书,用户ADFS的HTTPS通信。运行命令certsrvmsc,在证书模板上右击,选择管理
13 在新窗口招到web服务器证书,右击选择复制模板。在常规标签项,命名为ADFS SSL。
进入安全选项卡,添加 domain users,domain computers,权限选择注册和读取
进入使用者名称 选项卡, 使用者名称格式变为:公用名,勾选 DNS 名
14 回到证书颁发机构,右击证书模板,点击新建要颁发的证书模板,选择ADFS SSL
15 然后,运行命令domainmsc,打开域和信任管理窗口,我们需要添加UPN名。右击Active Directory域和信任关系,选择属性。在UPN标签项填入我们的域名,点击添加 – > 应用 – > 完成。
15 到此,我们把DC配置完成了。现在先登录到Azure的门户,打开我们之前创建的虚拟网络,在配置选项里,我们需要指定虚拟网络的DNS,将他指向DC,再添加一个指向Azure public DNS的记录(否则外网无法解析),然后点击保存。
16 重启一下ADFS。然后将ADFS加入域中。重启后使用域管理员登录。
17 现在我们在ADFS的HOST文件(路径C:windowssystem32driversetcHosts)中加2条DNS记录,按照自己的域名和DC名以及IP地址加入这两条记录,主要是为了防止DNS解析出现问题时能找到DC。
corp1jashuangcn 10006
corp-dccorp1jashuangcn 10006
18 之后需要安装之前我们的证书。打开 MMC, 点击文件-添加、删除管理单元,选择计算机账户, 选择本地计算机,点击确定,右击 个人,点击 所有任务—申请新证书,一直点击下一步,在证书注册中选择ADFS SSL。然后选择注册
19 安装证书完成后,在DC服务器上打开Powershell,运行以下命令。
Add-kdsrootKey –effectivetime (get-date)addhours(-10)
New-adserviceaccount fsgmsa –dnshostname corp-adfscorp1jashuangcn –serviceprincipalnames http/corp-adfscorp1jashuangcn
20 然后回到ADFS,在ADFS上安装ADFS角色
21 完成后,点击配置ADFS。在指定服务属性里,选择我们之前导入的证书,在服务账号选择fsgmsa,然后一直下一步直到配置完成。
23 配置完成后,安装Web服务器角色,这主要是为了安装IIS管理器。
24 安装完成后,打开IIS管理器, 右击Default Website,选择编辑绑定,点击添加,然后添加HTTPS,证书选择之前我们导入的证书。
22 配置完成后,可以打开IE,输入以下网址,尝试登录,简单测试ADFS是否正常。
0条评论