windows-2012-域控--LDAP-LDAPS--SSL-TLS

服务器版本：Windowsserver2012一、搭建域控服务器1、配置网络，由于本机会搭建DNS服务器，因此首选DNS服务器设置为127.0.0.12、打开服务器管理器3、点击添加角色和功能，下一步4、选基于角色或基于功能的安装，下一步5、选择要安装角色或功能的服务器，服务器池中只有本机，下一步6、选择要安装的角色，选中ActiveDirectory域服务，添加功能7、选择角色对应的功能，默认即可，下一步8、AD概览信息，目前还没有安装DNS服务器，后续会安装，下一步9、确认信息，安装10、开始安装AD，后续会需要配置AD11、单击叹号小旗，将此服务器提升为域控制器12、开始配置AD域服务器，选择添加新林，并定义根域名，尽量想好，定义后修改比较麻烦，下一步13、默认即可，输入目录还原模式密码14、无法委派DNS服务器提示，不用管他，因为我们还没有创建DNS服务器，之后系统会自己创建DNS服务器15、netBIOS域名，默认即可，下一步16、AD数据库及日志文件存储位置，默认即可，下一步17、检查配置选项，一般没有问题，下一步即可18、点击查看脚本，可以看到WindowsPowerShell配置AD的参数，会看到自动安装DNS服务器19、检查此计算机是否满足安装AD域服务器的条件，满足可点击安装20、安装过程21、安装完成，需要重启计算机22、登陆该计算机，注意需要以域名的方式登录（zl\）23、安装AD域服务和DNS服务器之后打开服务器管理器24、AD用户和计算机管理界面25、使用LdapAdmin.exe测试是否可以通过LdAP方式连接Ad，连接成功，但是此时还不够使用ldaps(SSL.TLS)方式连接AD，需要安装IIS服务器和CA证书服务器二、安装IIS服务器和CA证书服务器安装过程与上面差不多，一步步完成后进行配置一下。三、启用SSL．TLS认证1.ExecutethefollowingcommandsviaanelevatedPowerShellcommandprompttoenableTLSv1.2:1.#Createkeysinregistry(notcreatedbyWindowsoutofthebox)mdHKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2mdHKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\ServermdHKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Client#EnableTLS1.2forclientandserverSCHANNELcommunicationsnew-itemproperty-pathHKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Server-nameEnabled-value1-PropertyTypeDWordnew-itemproperty-pathHKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Server-nameDisabledByDefault-value0-PropertyTypeDWordnew-itemproperty-pathHKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Client-nameEnabled-value1-PropertyTypeDWordnew-itemproperty-pathHKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS1.2\Client-nameDisabledByDefault-value0-PropertyTypeDWord2.Registrybeforepowershellcommands3.Registryafterpowershellcommands2.Next,weneedtoedittheservertodefaulttheuseofthe256-bitciphers1.ClickStart-gpedit.msc2.ExpandComputerConfiguration-AdministrativeTemplates-NetworkandselectSSLConfigurationSettings3.DoubleclickSSLCipherSuiteOrderandcheckEnabled重启服务四、用LDAPadmin验证TLS，弹窗点Yes，即可连接五、IIS启用SSL．TLS进入IIS管理器在网站项的绑定填写各项参数，这里使用域的证书这样就可正常使用了