服务器 2012配置-润色

此时,我们已经添加了角色,创建了证书模板,推出了GPO,并为Pxgrid Identity Mapping(ISE 2.1中的PassiveID)奠定了基础。这就是我要完成Active Directory配置的地方。 

我通常要做的第一件事是在中创建一些测试用户和组 Active Directory用户和计算机。 以下是我为实验目的创建的以下用户和组:

  • 凯瑟琳·麦克纳马拉-域管理员,BYOD用户
  • 杰西卡·琼斯(Jessica Jones)-BYOD-Users员工
  • 托尼·史塔克-商人

移至ISE之前需要做的另一件事是确保正确设置时间。如果此时您尚未检查,则已颁发的证书可能在不同的年份,已过期等。如果时钟偏移距Active Directory超过5分钟,则ISE将不允许加入域。有两种正确设置时间的方法: 

  • 您可以在ISE和AD服务器之间手动设置它,但是如果任一服务器长时间关闭,则可能会导致问题。
  • 您可以将其与ESXi主机同步-对于实验室而言是现实的,而对于生产而言并不总是如此
  • 您可以按照以下说明使用Powershell进行操作:
    http://www.sysadminlab.net/windows/configuring-ntp-on-windows-server-2012

我还建议确保您的服务器同时颁发计算机证书和用户证书。检查的一种好方法是将计算机连接到本地网络,然后将其加入域。加入并重新启动后,使用您的用户凭据登录。如果你打开 认证机构 再次,您应该能够在“已颁发的证书”下看到已颁发的证书 

同样,您可以在加入的本地计算机上打开MMC,还可以添加管理单元以检查本地计算机和用户证书以确保它们在那里。 

如果发现自己没有证书问题,请执行以下一些良好的故障排除步骤:

  • 检查以下位置的“失败的请求”文件夹 认证机构
  • 通过执行RSOP检查以确保将GPO推送到本地计算机
  • 检查证书模板上的权限,以确保您的域用户和域计算机组具有相应证书模板的读取,注册和自动注册权限。还要确保其他证书模板没有相同的自动注册权限(pxGrid)

此后,我想做的下一件事是确保我的证书网络注册页面正在运行。在连接到本地网络的计算机上或在Server 2012 VM上打开浏览器,然后导航到 http:// _AD服务器IP/ certsrv 并确保您获得以下页面:

在服务器管理器中,单击左侧的本地服务器。在“属性”面板中,单击 远程桌面。 确保启用远程桌面访问,否则每次访问控制器时都必须控制台。 

我通常也喜欢将所有实验室设备都添加到DNS中,以便以后进行管理。转到“开始”菜单并打开 域名解析。对于我的实验室,我添加了以下AAA记录:

  • 3650交换机– 10.1.100.1
  • FlowCollector – 10.1.100.8
  • 隐形手表管理控制台– 10.1.100.9
  • 火力管理控制台– 10.1.100.10
  • 连结1000v – 10.1.100.11
  • 优质基础设施– 10.1.100.13
  • 网络安全设备– 10.1.100.16
  • 伊势 – 10.1.100.21
  • 无线控制器– 10.1.100.41

恭喜你!如果您到目前为止已经做到了,那么我们已经做了一个TON。我们已经建立了一个新域,创建了自己的证书颁发机构,自定义和发布了证书模板,创建了一个组策略并应用了它,并配置了域控制器以准备进行pxGrid集成。