搭建AD域

第一步

準備一臺Windows Server，這裡我用的是2019版本，大同小異。搭建過程很簡單，基本都是下一步。最重要的設定IP地址，並將 域伺服器DNS指向本機。

第二步

伺服器開機，進入伺服器管理器，點選新增角色和功能。

勾選Active Directory 域服務並新增功能

這裡安裝完畢後，點選‘將此伺服器提升為域控制器’

第三步

開始正式配置AD域伺服器，選擇新增新林，並定義根域名，儘量想好，定義後修改比較麻煩，下一步

輸入目錄還原模式密碼，下一步

因為我們還沒有建立DNS伺服器，之後系統會自己建立DNS伺服器，下一步

點選檢視指令碼，可以看到Windows PowerShell配置AD的引數，會看到自動安裝DNS伺服器，下一步

安裝完成，需要重啟計算機

安裝了AD 域服務和DNS伺服器之後的伺服器管理器

第四步

建立組和使用者

第五步

加域測試，這裡配置切換到win10電腦

DNS指向AD域伺服器

這裡要輸入AD域的管理員使用者名稱和密碼

下一步，然後重啟，成功加入域

山石網科防火牆配置SSLVPN

先配置SSLVPN，不關聯AD域，使用LOCAL

關聯AD域做認證

這裡有很多需要注意的地方

Base-dn 是指當前AD伺服器搜尋的路徑起始點。以伺服器域名為abc.xyz.com為例，Base-dn的輸入格式是“dc=abc,dc=xyz,dc=com"

*這裡標準寫法是：dc=Monkey,dc=com

同步AD域伺服器裡所有的目錄與使用者

*在Base-dn目錄裡，5.5以後的版本加入了可以只過濾某一個使用者組目錄

寫法是：ou=CHINAMSSP,dc=Monkey,dc=com

Login-dn當認證方式指定為明文時，需要配置Login-dn的屬性值，即有許可權讀取用 戶資訊的AD伺服器的使用者名稱。輸入格式是“cn=xxx, DC=xxx,...”，舉例說 明：伺服器的域名為abc.xyz.com,

AD伺服器的管理員名為administrator，該管理員名位於“Users”路徑下，那麼login-dn應寫為“cn=administrator,cn=users,dc=abc,dc=xyz,dc=com”

*這裡標準寫法是：cn=Administrator,cn=Users,dc=Monkey,dc=com

sAMAccountName

當認證方式指定為MD5時，需要配置sAMAccountName的屬性值，即有許可權讀取使用者資訊的AD伺服器的使用者名稱。輸入格式是“xxx”,舉例說明：AD伺服器的管理員名為administrator，那麼sAMAccountName應寫 為“administrator”。

認證方式

指定使用者認證或使用者同步方法，明文或MD5摘要。預設為MD5摘要。

指定使用MD5摘要方法後需要配置sAMAccountName屬性值，如果沒有配置，那麼從伺服器同步使用者的過程中將使用明文方法，認證使用者的過程 中將使用MD5摘要方法。

金鑰

指定登入AD伺服器的使用者名稱所對應的密碼。

我這裡加了過濾條件，只同步CHINAMSSP裡的使用者

回到SSLVPN這裡，先把之前配置的LOCAL伺服器刪除，然後選擇Monkey.com，新增-

完成。測試一下VPN是否可以使用第三方伺服器的使用者登陸