安装win2008r2、域控、IIS、证书服务器、部署exchange2010

、架设证书服务器

exchange2010需要证书支持,exchange2010安装之后会默认开启ssl,在IE中只能使用https://而不是http://来访问owa。如果没有证书,也能安装exchange2010,也能使用owa,但是会不断有告警出现。所以,要先架设证书服务器,自己给自己发证书。

架设证书服务器,参考

http://tech.ddvip.com/2009-06/1244884647123645.html

1、服务器管理器---单击角色---右边添加角色---下一步---勾选active directory证书服务

2、点击下一步后,告诉你如果要架设证书服务器,就不能够再修改服务器的名字和域了,免得骗子证书满天飞。再次点击下一步。

3、默认只有安装证书颁发机构,除此之外,联机响应程序、web注册功也可以安装,web注册功能需要前面已经安装的IIS的asp支持。其他的服务要么不能与证书颁发机构同一批安装,要么需要其他环境支持,都暂时不用安装了。点击下一步。

4、安装类型里面选择企业。

有2大类,企业根CA和独立根CA,各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。比如独立CA无法使用证书模板,而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA,若是企业根CA则必须有域环境,这里我们就选择第一个。(这句话完全是抄袭别人的,抄袭起来果然比自己打字轻松)简单说,企业更牛。

必须是 Domain Admins 组的成员或者是具有 AD DS 写入权限的管理员才能安装企业根 CA。我们一直在使用administrator进行操作,它当然具有这个权限。

ca类型是根ca

5、设置私钥

新建私钥,默认设置,勾选允许交互操作,点击下一步。

6、配置ca名称,默认,点击下一步。证书有效期,默认5年,点击下一步。数据库位置和日志位置默认,点击下一步。

7、确认,安装。告警信息再次提醒部署了ca服务器后就不能修改计算机名称和域了。

8、完成安装。

9、开始---管理工具---证书颁发机构(certsrv.msc),就可以打开证书服务器管理了。如果在安装IIS的时候没有启用asp,当安装完毕证书服务和web注册后也,也会开启asp.net和asp服务。

10、如果要安装余下的证书服务。控制面板---打开或关闭windows功能---展开角色---actice directory 证书服务 右键点击---添加角色服务

11、勾选想要安装的其他角色服务,该选项如果有附带角色服务要求,点击 添加所需的角色服务即可。

证书服务器的其他角色服务可能更好用,不过我这里没有继续添加了。

12、安装了web注册后,就可以在开始---管理工具---internet信息服务(IIS)管理器---网站---default web site---点击右侧 “查看应用程序”看到/certsrv程序已经被添加了。

14、ie中输入192.168.1.61/certsrv,出现登陆框,(使用administrator和xitongguanliyuanmima0)就可以登录证书服务了。这里暂时不登陆,等到准备好证书申请文件后,再登陆。

15、升级后重启服务器。

16、查看证书服务器和证书

在开始---管理工具---点证书颁发机构---右键点击omohome-omoserver-ca---选属性,可以看到0号证书,这是证书服务器颁发给自己的根证书。

点击查看证书,可以看到详细信息。

展开颁发的证书,可以看到颁发给域控服务器的2号证书,这份证书在安装了证书服务器,并重启了以后,才会颁发,重启之前是看不到的。

展开服务器管理器---web服务器(IIS)---点击internet信息服务(IIS)管理器---右侧展开omoserver---点开服务器证书(可以在筛选里找证书),可以看到刚才的两个证书,他们默认的到期时间是不一样的。第一个是颁发给域控的证书,第二个是颁发给证书服务器自己的证书。

十、启用站点的ssl

现在完成了IIS、证书服务器的架设,服务器里已经有两个证书,可以试验开启站点的ssl了。

1、开始---管理工具---internet 信息服务(IIS)管理器---omoserver---网站---default web site---右侧点击绑定---添加---类型选择https---ssl证书从我们现有的两个证书中随便选一个,确认后就打开了ssl。

现在用192.168.1.61来访问主页,还是原状保持不变。如果使用https://192.168.1.61来访问就会发生变化。

这是因为我们刚才绑定的ssl证书是给域控服务器发放的,与输入的192.168.1.61不匹配,所以出现一个警告,点击继续浏览此网站,可以看到页面,但是地址框变成了红色,表示站点证书异常,需要小心。点击证书错误,可以查看解释和证书内容。

2、现在,通过http://192.168.1.61和https://192.168.1.61都可以访问,但在完成exchange的部署后,http访问就会失效,只能通过https来访问。打开开始---管理工具---internet 信息服务(IIS)管理器---omoserver2---网站---default web site---ssl设置,当完成exchange的架设后,ssl设置将被默认勾选。双击ssl设置,如果我们勾选这里的要求ssl,那么我们的网站也不能通过http来访问了。在exchange部署完成后,如果不想麻烦,可以在这里取消ssl的勾选,然后点应用,或者在站点的绑定里面删除掉https的绑定。

十一、为站点制作证书申请、申请证书、安装证书

在架设好证书服务器后,可以给站点制作、申请、安装一个证书来保证ssl的使用。

参考http://tech.sina.com.cn/smb/2008-11-23/0713884732.shtml的教程

ssl本来是为了提高安全性,为了没有告警关闭这个选项不是最好的解决办法,应该通过安装证书来保证ssl的使用。有两个方法得到证书,一是向全球公认的证书提供商申请证书然后安装,一是自己架设证书服务器给自己发证书。我们前面已经建设好了证书服务器,可以向自己的服务器申请证书。

CA即Certificate Authority ,也就是证书授权中心,Internet 服务器证书由公共证书颁发机构 (CA) 颁发。若要获取 Internet 服务器证书,首先要向 CA 发送申请,然后安装从 CA 发送来的 Internet 服务器证书。

1、打开 IIS 管理器,点击omoserver2,中间IIS栏目下找到服务器证书,双击(也可以在筛选中输入"证书"快速查找。)

2、在右边"操作"窗格中,单击"创建证书申请"。

3、在"申请证书"向导的"可分辨名称属性"页上,填写信息,然后单击"下一步"。这里写的证书名称必须和网站的名称一致。比如,想要认证的网站叫做omoserver2.omohome.com,那么名称就一定要填写这个。即使192.168.1.61与它指向的是同一个页面,也不能填写成192.168.1.61,否则在使用中会出现客户端输入的网站名字与证书名字不符合,认证告警的情况。其他内容都可以随便填写。

5、加密默认,位长默认,单击"下一步"。

6、在"文件名"页上的"为证书申请指定一个文件名"文本框中,键入一个文件名;可以单击该页上的浏览按钮 (...) 来指定保存位置和名字。我将证书放在我的文档下面,名字叫做omo的证书申请文件,默认是txt文件。

7、到我的文档里面一看,一个证书申请文件做出来了。打开证书,看到一大堆XXX文字,这是加密了的内容。然后,如果有钱有闲,去国际公认的证书发行公司申请证书吧。证书多少钱一个?不知道。申请文件发给谁?不知道。多少时间证书做好发回来?不知道。貌似一个网上缴税的ca证书是80元,貌似taobao的证书不要钱,貌似盗版服务器搞证书很纠结。

还是将这个文件发到我们自己的证书服务器里面去认证吧。

8、证书申请文件“omo的证书申请文件.txt”已经准备好,放在我的文档了;证书服务器已经架设好,可以web访问了。现在开始申请证书。

A、先在服务器IE中把http://192.168.1.61/添加为可信任的站点,信任站点安全降到最低。(这是为了下载插件的时候不被IE阻止)

B、在服务器的ie中输入http://192.168.1.61/certsrv,出现登陆框,使用administrator2和xitongguanliyuanXXXX0)登录。点击申请证书,点击高级证书申请,选第二项64编码的XXXXXX

C、找到我的文档中的“omo的证书申请文件.txt”,打开,将内容全部拷贝。

D、点击“是”,确认操作,默认der编码证书,然后点击下载证书。将做好的证书保存到我的文档。

9、已经完成了架设证书服务器--- 证书申请文件制作---向架设的证书服务器申请证书的工作,剩下就是将得到的证书导入了。

开始---管理工具---internet 信息服务(IIS)管理器---omoserver2---证书服务器---点右边的完成证书申请,在我的文档中找到刚才下载的证书,好记名字随便写,一路确定完成证书导入。

现在在开始---管理工具---internet 信息服务(IIS)管理器---omoserver---证书服务器里面就有3个证书了,从上到下分别是发给域控的证书、证书服务器自己发给自己的证书、刚才导入的证书。

10、证书导入后,还没有和网站绑定。开始---管理工具---internet 信息服务(IIS)管理器---omoserver2---网站---default web site---右侧点击绑定---弹出对话框中点击添加---类型https,ssl证书选择下拉框中找到刚才导入的证书,一路确认。(如果前面已经绑定的证书还是域控的证书,这里就可以把它更换成给网站的证书了)

11、在服务器的IE中输入

http://omoserver2.omohome.com/和https://omoserver2.omohome.com/都可以访问。当输入https://omoserver2.omohome.com/时打开的页面出现了变化,地址栏后面出现了一把锁,表示已经加密,点击锁可以看到说明。

12、这时,再到客户端的IE中输入https://omoserver2.omohome.com/,任然有证书错误的告警,这是因为客户端还没有信任我们自己建设的证书服务器。在客户端的IE中把http://192.168.1.61/添加为可信任的站点,登陆http://192.168.1.61/certsrv,输入密码后,点击 下载 CA 证书、证书链或 CRL---下载ca证书---保存到桌面。在桌面打开刚刚下载的证书,可以看到此根证书不受信任的告警,点击安装证书---下一步---选择将所有的证书放入下列存储---浏览---选择 受信任的根证书颁发机构---然后一路选择确认和是。导入完成后,再打开桌面的证书,可以看到证书告警已经消失了。

13、再次在客户端IE中打开https://omoserver2.omohome.com/,正常的锁出现了,证书安装完毕。这个认证只针对omoserver2.omohome.com这个名字,如果用192.168.1.61来登录,因为名字和证书不一样,就算他们指向同一个网站,也会告警。

14、给每一台客户端电脑都安装证书保证他们都不会告警。

如果打算不启用ssl,那么可以不设置九、十、十一

除去证书设置以外的所有的部署前准备工作可以在

http://technet.microsoft.com/zh-cn/library/bb691354(EXCHG.140).aspx

中查询。不布置证书的准备是非常快的。

依然要升级,存档。

时间: 2024-10-14 14:33:36

安装win2008r2、域控、IIS、证书服务器、部署exchange2010的相关文章

Win12&16域控设置NTP服务器

PDC: 指定外部时间源并与之同步,在PDC所在的域控制器上的管理员命令行进行操作(PDC角色(默认的域内权威的时间服务源). w32tm /config /manualpeerlist:" 3.cn.pool.ntp.org 1.cn.pool.ntp.org" /syncfromflags:manual /reliable:yes /update net stop w32time & net start w32time w32tm /resync W32tm /query

Windows Server 2012 域控 子域 只读域 辅助域

2018年8月20日 14:11 域与活动目录 什么是域 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(Trust Relation).信任关系是连接在域与域之间的桥梁.当一个域与其他域建立了信任关系后,两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理. 为什么需要域 如果资源分布在N台服务器上,那么用户需要资源时就要分别登陆这N台服务器,也就需要N个账号.一个用户如此,那M个呢,管理员

Windows Server 2012R2 AD域控 辅助域 只读域 子域

Windows Server 2012R2 域与活动目录介绍 2018年8月20日 14:11 域与活动目录 什么是域 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(Trust Relation).信任关系是连接在域与域之间的桥梁.当一个域与其他域建立了信任关系后,两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理. 为什么需要域 如果资源分布在N台服务器上,那么用户需要资源时就要分别登陆

基于windows 2008 R2域控的安装和加入客户机

实验目标: 1.DNS的安装 2.域控的安装 3.加入客户机 实验目的: 1.了解域环境是什么 2.熟悉域控制器的工作原理 实验拓扑: 实验步骤: 一. DNS的安装 A.域控网络属性的配置 作为域控服务器,IP地址必须是静态手工配置,绝对不能DHCP自动获取,因为DHCP自动获取的IP地址不是固定的,经常变化,这样对下面的客户机有很大的影响,导致客户无法正常工作,不一定要配置默认网关:但是DNS一定要配置正确了(DNS服务器可以是域控本机,也可以是另外一台服务器,本实验由于笔记本电脑本身的局限

部署额外域控制器实现与主域控之间数据复制

实验环境: 在虚拟机上准备三台原始的干净的Windows Server 2008 R2的操作系统,一台作为主域控,一台作为额外域控,一台作为客户端,来准备验证实验成功与否.2.主域控 的IP地址为172.18.11.1 3.额外域控 的IP地址为172.18.11.2 DNS为172.18.11.14.客户机的ip地址为172.18.11.3,主 dns为172.18.11.1,辅助dns为172.18.11.25.测试三台虚拟机的连通性,且能够相互ping通二.实验步骤首先安装主域控, .在安

windows server 2008 域控安装

windows server 2008 域控安装:1.dns安装,安装过程会提示.net frame 3.51安装 3.域控安装 原文:地址 http://wenku.baidu.com/link?url=zE7IOUQ6L-vV4cFHxc22Hd_inI81GX236dVguPnDFAWhDawtq3oWldbSSTxnGASXAyiKmv2O3BuGyFKNJXB18v7EhCoUbx35WnFh_Ss2x6K

Exchange 2007(一)03R2域控升级到2008R2

最近在整理自己的电脑.找到一篇11年写的测试文档,下面是经过修改后的内容. 2011年,朋友所在的公司,一台DC一台Exchange2007都是物理机,没有DHCP和证书(300多个用户).2003R2域控是一台组装机,硬盘快挂了,开机要20多分钟,还一直嘎嘎响.准备了一台08R2辅助域控,转移角色后,08R2升为主域控,删除老域控.以下是测试环境 架构如下: 角色 系统 机器名 IP地址 老DC 2003R2 PEKDC1-DCS-01 192.168.2.30 邮件服务器 2003R2+EX

(转)从0开始搭建SQL Server AlwaysOn 第一篇(配置域控+域用户 DCADMIN)

原文地址: http://www.cnblogs.com/lyhabc/p/4678330.html 实验环境: 准备工作 软件准备 (1) SQL Server 2012 (2) Windows Server 2012 R2 DataCenter   64位 (3) VMware-workstation 10.0 操作系统:都是Windows Server 2012 R2   DataCenter  64位(win2012/win2012R2 只有DataCenter 版本才能使用故障转移集群

Windows Server 2012 R2域控和Exchange 2016 ALL IN ONE

虽然微软是非常不推荐域控和Exchange在一台服务器上,但客户有这样的需求我们还是要迎头而上了,在此我给大家分享部署一台ALL IN ONE的结构仅供学习. 首先安装一台Windows Server 2012 R2的系统,安装过程不再累赘(安装域控前记得把服务器名改好) 现在开始装成域控 现在开始提升域控 设置域名 设置林级别域级别以及还原密码 一直下一步,设置AD数据库存放位置 先决检查完成开始安装 安装媒体基础功能 接下来安装随需的Windows Server 角色和功能 Install-