Konfigurowanie serwera zarządzania tożsamościami: Windows Server 2016 lub 2019

Uwaga

Windows Server 2019 nie różni się od procedury Windows Server 2016 instalacji.

Uwaga

W tym przewodniku zastosowano przykładowe nazwy i wartości dotyczące firmy o nazwie Contoso. Należy je zastąpić własnymi danymi. Na przykład:

  • Nazwa kontrolera domeny — corpdc
  • Nazwa domeny — contoso
  • MIM serwera usługi — corpservice
  • MIM serwera synchronizacji — corpsync
  • SQL Server name — faqql
  • Hasło — Has@lo1

Dołączanie Windows Server 2016 do domeny

Rozpocznij od maszyny Windows Server 2016 z co najmniej 8–12 GB pamięci RAM. Podczas instalacji określ wersję "Windows Server 2016 Standard/Datacenter (serwer z graficznym interfejsem użytkownika) x64".

  1. Zaloguj się na nowym komputerze jako administrator.

  2. Za pomocą Panelu sterowania nadaj komputerowi statyczny adres IP w sieci. Skonfiguruj ten interfejs sieciowy, aby wysyłał zapytania DNS na adres IP kontrolera domeny w poprzednim kroku, a następnie ustaw nazwę komputera na CORPSERVICE. Ta operacja będzie wymagać ponownego uruchomienia serwera.

  3. Otwórz Panel sterowania i przyłącz komputer do domeny skonfigurowanej w ostatnim kroku,a następnie contoso.com . Ta operacja obejmuje podanie nazwy użytkownika i poświadczeń administratora domeny, takich jak Contoso\Administrator. Gdy zostanie wyświetlony komunikat powitalny, zamknij okno dialogowe i ponownie uruchom serwer.

  4. Zaloguj się na komputerze CORPSERVICE jako konto domeny z administratorem komputera lokalnego, takim jak Contoso\MIMINSTALL.

  5. Uruchom okno programu PowerShell jako administrator i wpisz poniższe polecenie, aby zaktualizować komputer przy użyciu ustawień zasad grupy.

    gpupdate /force /target:computer
    

    Po upływie maksymalnie minuty proces zostanie zakończony i zostanie wyświetlony komunikat „Pomyślnie ukończono aktualizowanie zasad komputera”.

  6. Dodaj role Serwer sieci Web (IIS) i Serwer aplikacji, funkcje platformy .NET Framework 3.5, 4.0 i 4.5 oraz moduł usługi Active Directory dla środowiska Windows PowerShell.

    Obraz funkcji programu PowerShell

  7. W programie PowerShell wpisz poniższe polecenia. Może być konieczne określenie innej lokalizacji plików źródłowych funkcji platformy .NET Framework 3.5. Te funkcje nie są zwykle dostępne podczas instalacji programu Windows Server, ale są dostępne w folderze side-by-side (SxS) w folderze źródeł dysków instalacji systemu operacyjnego, np. "*d:\Sources\SxS*".

    import-module ServerManager
    Install-WindowsFeature Web-WebServer, Net-Framework-Features,rsat-ad-powershell,Web-Mgmt-Tools,Application-Server,Windows-Identity-Foundation,Server-Media-Foundation,Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxS
    

Konfigurowanie zasad zabezpieczeń serwera

Skonfiguruj zasady zabezpieczeń serwera w celu zezwalania na uruchamianie nowo utworzonych kont jako usług.

Uwaga

W zależności od konfiguracji wystarczy dodać pojedynczy serwer (wszystko w jednym) lub serwery rozproszone, na podstawie roli komputera członkowskiego, takiego jak serwer synchronizacji.

  1. Uruchom program Zasady zabezpieczeń lokalnych.

  2. Przejdź do przypisywania praw użytkownika zasad lokalnych.

  3. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Zaloguj się jako usługai wybierz pozycję Właściwości.

    Obraz programu Zasady zabezpieczeń lokalnych

  4. Kliknij pozycję Dodaj użytkownika lub grupę, a następnie w polu tekstowym wpisz następujące polecenie na podstawie roli, kliknij pozycję Sprawdźnazwy i kliknij przycisk OK.

  5. Kliknij przycisk OK, aby zamknąć okno Logowanie w trybie usługi: właściwości.

  6. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Odmów dostępu do tego komputeraz sieci, a następnie wybierz pozycję Właściwości.

  7. Kliknij pozycję Dodaj użytkownika lub grupę, a następnie w polu tekstowym wpisz i kliknij przycisk OK.

  8. Kliknij przycisk OK, aby zamknąć okno Odmowa dostępu do tego komputera z sieci: właściwości.

  9. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Odmowa logowania lokalnego,a następnie wybierz pozycję Właściwości.

  10. Kliknij pozycję Dodaj użytkownika lub grupę, a następnie w polu tekstowym wpisz i kliknij przycisk OK.

  11. Kliknij przycisk OK, aby zamknąć okno Odmowa logowania lokalnego: właściwości.

  12. Zamknij okno programu Zasady zabezpieczeń lokalnych.

Wymagania wstępne dotyczące oprogramowania

Przed zainstalowaniem MIM programu 2016 SP2 upewnij się, że są zainstalowane wszystkie wymagania wstępne oprogramowania:

  1. Zainstaluj Visual C++ pakietów redystrybucyjnego programu Visual C++ 2013.

  2. Zainstaluj .NET Framework 4.6.

  3. Na serwerze, który będzie hostem MIM synchronization Service, MIM Synchronization Service wymaga SQL Server Native Client.

  4. Na serwerze, który będzie hostem MIM Service, MIM Service wymaga .NET Framework 3.5.

  5. Opcjonalnie, jeśli używasz trybu TLS 1.2 lub FIPS, zobacz MIM 2016 SP2 w środowisku "Tylko TLS 1.2"lub w trybie FIPS.

W razie potrzeby zmień tryb uwierzytelniania Windows usług IIS

  1. Otwórz okno programu PowerShell.

  2. Zatrzymaj usługi IIS za pomocą polecenia iisreset /STOP.

    iisreset /STOP
    C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost
    iisreset /START