服务器 2012配置 - 完成触摸

此时,我们添加了我们的角色,创建了证书模板,推出了GPO,并为PxGrid身份映射奠定了基础(ISE 2.1中的PassiveID)。这是我要完成我的Active Directory配置的程度。 

我通常做的第一件事是创建一些测试用户和组 Active Directory用户和计算机。 以下是我为实验室的目的创建的以下用户和组:

  • 凯瑟琳麦克马拉 - Domain Admin,Byod-Users
  • Jessica Jones - 员工,Byod-Users
  • Tony Stark - 供应商

在移动到ISE之前需要完成的另一件事是确保正确设置时间。如果您此时尚未检查,则已发出的证书可能在不同的一年,过期等中。如果时钟偏差从Active Directory off超过5分钟,ISE将不会允许加入域。有几种方法可以正确设置时间: 

  • 您可以在ISE和AD服务器之间手动设置它,但如果在长时间关闭服务器时,这可能会导致问题
  • 您可以将其与实验室的ESXi主机与实际同步同步,而不是总是生产
  • 您可以使用PowerShell来执行此操作,如下所述说明:
    http://www.sysadminlab.net/windows/configuring-ntp-on-windows-server-2012

我还建议确保您的服务器发出计算机和用户证书。检查的好方法是将计算机附加到本地网络并将其连接到域。在加入并重新启动后,使用您的用户凭据登录。如果你打开 认证权威 再次,您应该能够在发布的证书下查看已发行的证书 文件夹

同样,您可以在您加入的本地计算机上打开MMC,并添加管理单元以检查本地计算机和用户证书以确保它们在存在。 

如果您发现自己没有证书问题,那么一些很好的排除步骤是:

  • 检查失败的请求文件夹 认证权威
  • 检查以确保通过执行RSOP将GPO推向本地计算机
  • 检查证书模板上的权限,以确保您的域用户和域计算机组具有相应的证书模板的读取,注册和自动核制权限。还要确保其他证书模板没有相同的自动组织权限(PxGrid)

在此之后,我喜欢做的下一件事是确保我的证书Web注册页面正在运行。在连接到本地网络的计算机上或在您的服务器上打开浏览器2012 VM并导航到 http:// _AD-Server-IP/ certsrv. 并确保您收到以下页面:

在服务器管理器中,单击左侧的本地服务器。在“属性”面板中,单击“ 远程桌面。 确保启用远程桌面访问权限,或者每次要访问它时,您都必须将控制台控制到控制器中。 

我通常喜欢向DNS添加所有的实验室设备,也可以在稍后管理管理。转到“开始”菜单并打开 DNS.。对于我的实验室,我添加了以下AAA记录:

  • 3650开关 - 10.1.100.1
  • 流量计 - 10.1.100.8
  • 偷偷地 Management Console - 10.1.100.9
  • Firepower.管理控制台 - 10.1.100.10
  • Nexus 1000V - 10.1.100.11
  • Prime基础设施 - 10.1.100.13
  • Web安全设备 - 10.1.100.16
  • ISE. - 10.1.100.21
  • 无线控制器 - 10.1.100.41

恭喜!如果你这么走了,我们已经完成了一吨。我们已经设置了一个新域,创建了自己的证书颁发机构,自定义和发布的证书模板,创建了一个组策略,并应用了它和配置的域控制器,以便为PxGrid集成做好准备。