一、安裝條件??????? 安裝者必須具有本地管理員權(quán)限 操作系統(tǒng)版本必須滿足條件（windows server 2003 除WEB 版外都滿足） 本地磁盤至少有一個(gè)NTFS 文件系統(tǒng) 有TC

一、安裝條件

?

?

?

?

?

?

? 安裝者必須具有本地管理員權(quán)限 操作系統(tǒng)版本必須滿足條件（windows server 2003 除WEB 版外都滿足） 本地磁盤至少有一個(gè)NTFS 文件系統(tǒng) 有TCP/IP設(shè)置（IP 地址、子網(wǎng)掩碼等） 有相應(yīng)的DNS 服務(wù)器支持 有足夠的可用空間

二、安裝

安裝活動目錄：

1、插入系統(tǒng)光盤。

2、打開【開始】菜單，單擊【運(yùn)行】命令，鍵入“Dcpromo ”后單擊【確定】按鈕。

3、在出現(xiàn)的AD 安裝向?qū)Т翱谥?，單擊【下一步】按鈕。

4、出現(xiàn)操作系統(tǒng)兼容窗口，單擊【下一步】按鈕。

5、出現(xiàn)域控制器類型窗口，選中【新域的域控制器】，單擊【下一步】按鈕。

6、出現(xiàn)選擇創(chuàng)建域的類型窗口，選中【在新林中的域】，單擊【下一步】按鈕。

7、出現(xiàn)新建域名窗口，鍵入要?jiǎng)?chuàng)建的域的域名，單擊【下一步】按鈕。

8、出現(xiàn)域NetBIOS 名窗口，鍵入域的NetBIOS 名，單擊【下一步】按鈕，向?qū)詣觿?chuàng)建。

9、出現(xiàn)數(shù)據(jù)庫和日志文件窗口，保持默認(rèn)位置即可，單擊【下一步】按鈕。

10、出現(xiàn)共享的系統(tǒng)卷窗口，注意，文件夾所在分區(qū)必須是NTFS 分區(qū)，保持默認(rèn)位置即可，單擊【下一步】按鈕。

11、如果當(dāng)前設(shè)置的DNS 無法解析的話，會出現(xiàn)一個(gè)DNS 注冊診斷的窗口，可以選擇第二項(xiàng)，把本機(jī)裝成DNS 服務(wù)器，單擊

【下一步】按鈕。

12、在彈出的權(quán)限窗口中，保持默認(rèn)選項(xiàng)即可，單擊【下一步】按鈕。

13、出現(xiàn)要輸入目錄還原模式的管理員密碼，此密碼用于【目錄服務(wù)還原模式】下，單擊【下一步】按鈕。

14、向?qū)@示摘要，單擊【下一步】按鈕。

15、向?qū)ч_始安裝活動目錄。

16、出現(xiàn)安裝完成窗口，單擊【完成】按鈕，重新啟動計(jì)算機(jī)即可。

卸載活動目錄：

1、 打開【開始】菜單，單擊【運(yùn)行】命令，鍵入“Dcpromo ”后單擊【確定】按鈕。

2、 在出現(xiàn)的AD 安裝向?qū)Т翱谥?，單擊【下一步】按鈕。

3、 向?qū)儐柎朔?wù)器是否是域中最后一個(gè)域控制器。如果域中沒有其他的域控制器，選中它，單擊【下一步】按鈕。

4、 向?qū)@示應(yīng)用程序目錄分區(qū)，單擊【下一步】按鈕。

5、 向?qū)б蟠_認(rèn)刪除，單擊【下一步】按鈕。

6、 確認(rèn)信息摘要，單擊【下一步】按鈕。

7、 向?qū)э@示正在刪除。

8、 向?qū)崾緞h除完成窗口，單擊【完成】按鈕，重新啟動計(jì)算機(jī)即可。

客戶機(jī)加入域：

1、 客戶機(jī)的DNS 服務(wù)器指向正確的DNS 服務(wù)器地址。

2、 在客戶機(jī)的桌面上，右擊【我的電腦】，選擇【屬性】，在【系統(tǒng)特性】窗口中選中【網(wǎng)絡(luò)標(biāo)識】選項(xiàng)卡，單擊【屬性】

按鈕，在打開的【標(biāo)識更改】對話框中，鍵入要加入的域，單擊【確定】按鈕，系統(tǒng)會提示用戶輸入具有相應(yīng)權(quán)限的賬戶和密碼（注意此用戶為域控制器中有權(quán)限的賬戶），鍵入后，單擊【確定】按鈕，成功后重啟計(jì)算機(jī)即可。（各客戶端的操作系統(tǒng)不同，界面不太一樣）

驗(yàn)證：在域控制器中，打開管理工具，選中【Active Directory用戶和計(jì)算機(jī)】，在computers 容器里，可以看到該計(jì)算機(jī)的賬戶。

**********************

在Web 服務(wù)器上建立SSL

**********************

環(huán)境準(zhǔn)備：

打開虛擬機(jī)serverA 和clientA ，并分別配置為192.168.1.1/24和192.168.1.2/24. 在serverA 上將SSL 測試站點(diǎn)復(fù)制到c:inetpubwwwroot下

1. 安裝證書服務(wù)：

在本機(jī)控制面板添加/刪除程序→添加/刪除WINDOWS 組件→增加證書服務(wù)。安裝證書服務(wù)。 在安裝證書過程中，選擇 “根證書”類型。 （企業(yè)根證書需要AD 活動目錄）

設(shè)置“可分辨名稱后綴”時(shí)，不屬于域網(wǎng)絡(luò)可留空

2．創(chuàng)建服務(wù)器證書：

a. 請打開IIS

b. 右鍵單擊需要建立SSL 的站點(diǎn)，并單擊屬性.

c. 單擊目錄安全性, 然后單擊“服務(wù)器證書”，這將會彈出一個(gè)向?qū)Т翱?/p>

d. 單擊下一步 ->創(chuàng)建一張新證書.

e. 單擊下一步->現(xiàn)在申請證書, 但以后發(fā)送.

f. 單擊下一步, 填入證書名字.

g. 單擊下一步, 鍵入 機(jī)構(gòu) 和機(jī)構(gòu)單元.

h. 單擊下一步, 如果屬于域網(wǎng)絡(luò)，填入通用名. 通用名必須與服務(wù)器的FQDN 名字相同. 如果URL 是 https://www.mydomain.com/securedir,

則通用名需為 www.mydomain.com.

i. 單擊下一步, 填入國家 等信息

j. 單擊下一步, and保存該文件，并繼續(xù)直至結(jié)束

3. 通過web 向CA 發(fā)送證書申請請求并頒發(fā)下載該證書:

a. 在IE 中打開 http:///certsrv, 選擇“申請一個(gè)證書”.

b. 單擊“高級證書申請”.

c. 單擊“使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個(gè)證書申請，或使用 base64 編碼的PKCS #7文件續(xù)定證書申請”.

d. 單擊后打開您上面已保存的文件，將該文件中所有的內(nèi)容復(fù)制填入“Base-64 的編碼證書申請(CMC或PKCS#10或PKCS #7)”文本框.

e. 單擊提交. 可能會出現(xiàn)掛起的證書。 如果出現(xiàn)要您下載, 請?zhí)讲襟E 3－j.

f. 打開管理工具中的“證書頒發(fā)機(jī)構(gòu)”.

g. 單擊“掛起的申請” 右鍵單擊您申請的請求，選擇 所有任務(wù)－> 頒發(fā).

h. 在IE 中打開 http:///certsrv ，選擇“檢查掛起的證書”.

i. 單擊 Next, 選擇您所申請的證書

j. 單擊Next, 選擇Base64 encoded, 然后單擊 “下載一個(gè)CA 證書” 將該證書保存在web server的本地硬盤上。

4. Web服務(wù)器建立SSL 安全通道

a. 打開IIS ，右鍵單擊需要建立SSL 的站點(diǎn)，并單擊屬性

b. 單擊目錄安全性, 然后單擊 服務(wù)器證書，這將會彈出一個(gè)向?qū)Т翱?/p>

c. 選擇”處理掛起的請求并安裝證書”

d. 單擊下一步，選擇已下載的證書，繼續(xù)直至完成所有的操作

5. 打開IIS ，打開web 站點(diǎn)的屬性，打開“目錄安全性“，點(diǎn)擊最下面的“編輯”按鈕，在跳出對話框中選中" 要求安全通道（SSL ）" 復(fù)選框

6. 從clientA 上訪問https://192.168.1.1 驗(yàn)證是否可以打開

7. 通過sniffer 抓包對比，看網(wǎng)站數(shù)據(jù)傳輸是否被加密