前置概述
本文转载于以下原文并根据实时更新优化。
全文转载:https://m.freebuf.com/vuls/274091.html
本文作者:hahfun
来自网站:FreeBuf.COM
搭建域环境
操作系统: 域控:Windows server 2008 R2 域成员: Windows Server 2012 、 Windows 7
对于将要安装成为 DC 的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其 IP 属性。作为服务器 DC 的 IP 地址一定要是静态的 IP 地址,虽然不一定需要配置默认网关,但是 DNS 服务器指向一定要配置正确,因为 AD 的工作是紧密依赖于 DNS 服务的。本实例中整个微软网络环境都是白手起家的,考虑让这第一台 DC 同时充当企业网络中的 DNS 服务器,故需要将其首选 DNS 服务器地址配置为本台计算机的 IP 地址。
安装 DNS 服务
首先应该配置 DNS 服务器的静态 IP
DNS 服务器的地址设置为自己的地址 127.0.0.1:
开始菜单 -> 管理工具 -> 服务器管理器, 选择左侧树形菜单 "角色" 节点,右键 "添加角色",此处的 "角色" 表示此服务器要被配置为什么功能的服务器,即提供什么样的服务:
勾选 "DNS 服务器" 角色,安装
安装 Active Directory 域服务
进入 "服务器管理器" 中添加 AD 域服务角色:
此处推荐使用 dcpromo 来配置,点击开始菜单 -> 运行 -> 输入命令 "dcpromo" ,然后回车.
dcpromo 命令是一个 "开关" 命令。如果 Windows Server 2008 计算机是成员服务器,则 运行 dcpromo 命令会安装 AD 活动目录,将其升级为域控制器;如果 Windows Server 2008 计算机已经是域控制器,则运行 dcpromo 命令会卸载 AD 活动目录,将其降级为成员服务器。
进入安装界面界面:
注意:如果是第一次搭建也是你整个内网中的第一台域控制器,那么需要选择第二项 "在新林中新建域",第一项是内网中已经存在 AD 环境再想搭建额外域控制器的时候使用的。
选择 "在新林中新建域” 并点击",点击 "下一步" 按钮:
下一步之后,配置命名你的域名,这个要慎重,因为这个配置完毕之后要修改很麻烦的,而且域重命名的风险不是一般的大
进入林功能级别设置界面
这里需要强调的是,如果你的 AD 中以后可能会出现 server 2003 系统的域控制器,请务必选择 2003 的域功能级别,要不你以后那些 server 2003 的服务器就做不了域控制器了,保险起见的话,安装第一台 DC 的时候,都选择的低一点吧,以后要升到 2008 的域功能级别是没问题的,但是选了 2008 的功能级别,以后要降级就难了!
点击 "下一步" 按钮:
如果最初没有安装 DNS 服务器,此处可以勾选并安装:
如果已经安装,此处即为灰色。
弹出 DNS 提示框,不用理会,点击 "是" 按钮,继续安装:
进入 AD 域的数据库文件、日志文件和共享文件位置设置页面,此处保持默认设置,点击 "下一步" 按钮:
进入 "域还原密码" 设置界面,此密码相当的重要,后续做数据库迁移、备份、整理、恢复的时候都可能用到,务必要牢记:
下一步之后就是查看一下你整个 DC 搭建的配置信息了,你可以导出到一个位置保持起来,以便后续排错时查阅,也可以作为 DC 安装时的无人值守安装的脚本
下一步之后,等待几分钟就会显示安装完成,
重启机器之后,AD 就正式搭建成功了。
(在完成域控制器的安装后,系统会自动的将该服务器的用户账号转移到 AD 数据库中。)
检查 DC 是否已经注册到 DNS
域控制器 DC 会将自己扮演的角色注册到 DNS 服务器内,以便让其他计算机能够通过 DNS 服务器来找到这台域控制器,因此先检查 DNS 服务器内是否已经存在这些记录。利用域系统管理员(YOKAN/Administrator)登录。
检查主机记录
首先检查域控制器是否已经将其主机名与 IP 地址注册到 DNS 服务器内。到扮演 DNS 服务器角色的计算机上点击 "DNS" 菜单:
此处应该会有一个名称为 yokan.com 的区域,图中的主机 (A) 记录表示域控制器 win-1d09baa27uf.yokan.com 已经正确地将其主机名与 IP 地址注册到 DNS 服务器内。DNS 客户端所提出的请求大多是正向解析,即通过 hostname 来解析 IP 地址对应与此处的正向查找区域;通过 IP 来查找 hostname 即为反向解析,对应于此处的反向查找区域。
如果域控制器已经正确地将其扮演的角色注册到 DNS 服务器,则还应该有对应的 _tcp、_udp 等文件夹。在单击 _tcp 文件夹后可以看到如下所示的界面,其中数据类型为服务位置(SRV)的 _ldap 记录,表示 win-1d09baa27uf.yokan.com 已经正确地注册为域控制器。其中的 _gc 记录还可以看出全局编录服务器的角色也是由 win-1d09baa27uf.yokan.com 扮演的。
DNS 区域内包含这些数据后,其他要加入域的计算机就可以通过通过此区域来得知域控制器为 win-1d09baa27uf.yokan.com。这些加入域的成员也会将其主机与 IP 地址数据注册到此区域内。
管理 AD 域用户账户
可以使用如下两个工具来管理域账户:
Active Directory 用户和计算机:这是之前 Windows Server 2008、Windows Server 2003 等系统就已经提供的工具;
Active Directory 管理中心:这是从 Windows Server 2008 R2 开始提供的工具,用来取代 Active Directory 用户和计算机。
下面,通过使用 Active Directory 用户和计算机进行演示 创建组织单位与域用户账户:
可以将用户账户创建到任何一个容器或组织单位(OU)内。
创建组织单位:
输入 test 的组织单位,然后点击 "确定" 按钮,即可创建成功。
进入创建用户界面,填入用户信息
注意:
用户 UPN 登录:用户可以利用这个与电子邮箱格式相同的名称(justtest@yokan.com)来登录域,此名称被称为 User Principal Name(UPN)。在整个林内,此名称必须是唯一的。
用户 SamAccountName 登录:用户也可以利用此名称(YOKAN\justtest)来登录域,其中 YOKAN 为 NetBIOS 域名。同一个域内,此登录名称必须是唯一的。Windows NT、Windows 98 等旧版系统并不支持 UPN,因此在这些计算机上登录时,只能使用此处的登录名。
创建好上面的域用户账户之后,就可以用来测试登录域的操作。直接到域内任何一台非域控制器的计算机上登录域。一般用户账户默认无法在域控制器上登录,除非另外开放
将 Windows Server 2012 加入域
首先,更改客户端计算机(要加入到域中的计算机)的 DNS,使其指向域控制器。如图:
我的电脑-> 属性-> 更改设置
在弹出的计算机属性对话框中点击【更改】:
选择 “域”,输入创建的域名称 “yokan.com”, 点击确定
如果 DNS 设置成功,会提示输入密码对话框,这时我们需要输入一位已经在域中的用户的用户名和密码,并不一定是管理员。
当输入的用户名和密码验证通过后就可以成功加入到域中了,成功加入后会有如下提示
将 Windows 7 加入域
操作方法与 Windows Server 2012 相同,不再赘诉
安装 Exchange Server 2013
操作系统:Windows Server 2012
https://msdn.itellyou.cn 从该网站可下载安装资源包
先决条件安装
安装远程工具管理包
Install–WindowsFeature RSAT-ADDS
安装 Windows 组件
Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation
根据以下顺序安装所述三个工具:
Unified Communications Managed API 4.0 Runtime
注意:安装 Unified Communications Managed API 4.0 Runtime 时需先安装 “媒体基础” 功能,从 “添加角色和功能” 里面添加即可
http://www.microsoft.com/en-us/download/details.aspx?id=34992
Microsoft Office 2010 Filter Packs:
http://www.microsoft.com/en-us/download/details.aspx?id=17062
Service Pack 1 for Microsoft Office Filter Pack 2010 (KB2460041) 64-bit Edition :
https://www.catalog.update.microsoft.com/Search.aspx?q=2460041 [更多]
安装 Exchange 2013
一、准备 Active Directory(如果是第一次安装 Exchange Server 2013)
Active Directory 要求:
- 架构主机运行的是 Windows Server 2003 SP2 或更高的 Windows Server 版本;
- 每个站点至少有一个全局编录服务器,运行的是 Windows Server 2003 SP2 或更高版本;
- 每个站点至少有一台域控制器,运行的是 Windows Server 2003 SP2 或更高版本;
- Windows Server 2003 林功能级别或者更高;
- 以架构管理员、域管理员和企业管理员权限的账户来运行 Exchange 安装程序;
安装过程
1、打开 powershell,切换到 Exchange 安装文件所在的磁盘
2、架构的准备(setup /ps);在这样要注意的:在 cmd 里面的时候,我们直接输入 “setup /ps” 就可以运行的,但到 powershell 里却不行了,因为 powershell 默认情况下不从此路径加载命令,所有需要输入 “.\setup /ps” 这样就可以了吗?还不行,因你还需要接收许可协议,输入 “/IAcceptExchangeServerLicenseTerms” 才行,所有这里完整的命令应该是:
.\setup /ps /IAcceptExchangeServerLicenseTerms
3、扩展林,输入 “.\Setup /P /OrganizationName:XXXXX /IAcceptExchangeServerLicenseTerms”(其中 XXXXX 是你的组织名)
注意:如果您的组织名称包含空格,则必须用引号括起来。
4、准备本地域 “.\Setup /pd /IAcceptExchangeServerLicenseTerms”
5、在组织中准备域,输入 “.\Setup /pad /IAcceptExchangeServerLicenseTerms”
6、双击 “Setup.exe” 进行安装
不立即检查更新
邮箱角色、客户端访问角色
指定安装位置
这里的两个先决条件在上面,要按顺序安装了。如果不按顺序,会出现安装失败的;然后选择 “安装”;
进入安装步骤,一共 14 步,大概 1 个小时左右。
安装完成
试用阶段
1、进入 Exchange 管理中心
2、试用管理员账号,登陆管理中心页面,如下图
3、Outlook Web App 登录
4、添加账号,首先添加 AD 账号(如下图),然后添加 Exchange 账号(步骤 5)
打开 AD 用户和计算机,添加 AD 账号。
5、进入 Exchange 管理中心,如下图添加用户,弹出用户邮箱,点击浏览找到 AD 账号,确定,即可添加。
6、添加成功,邮箱列表下,多了一个新的账号
7、使用管理员账号登录 OWA,并发一封测试邮件
8、查看已发送邮件,有我们刚刚发送的邮件
9、登陆新账号 justtest,查看新邮件,收到新邮件,大功告成!
文章部分节点有删减和优化,阅读原文和版权所有:
全文转载:https://m.freebuf.com/vuls/274091.html
本文作者:hahfun
来自网站:FreeBuf.COM
0 条评论