Konfigurowanie serwera zarządzania tożsamościami: Windows Server 2016 lub nowsze wersje

  • Artykuł

« Przygotowywanie domenySQL Server »

Uwaga

Procedura instalacji systemu Windows Server 2019 nie różni się od procedury konfiguracji Windows Server 2016.

Uwaga

W tym przewodniku zastosowano przykładowe nazwy i wartości dotyczące firmy o nazwie Contoso. Należy je zastąpić własnymi danymi. Przykład:

  • Nazwa kontrolera domeny — corpdc
  • Nazwa domeny — contoso
  • Nazwa serwera usługi PROGRAMU MIM — corpservice
  • Nazwa serwera synchronizacji programu MIM — corpsync
  • nazwa SQL Server — corpsql
  • Hasło — Has@lo1

Dołączanie Windows Server 2016 do domeny

Zacznij od maszyny Windows Server 2016, z co najmniej 8-12 GB pamięci RAM. Podczas instalowania określ wersję "Windows Server 2016 Standard/Datacenter (serwer z graficznym interfejsem użytkownika) x64".

  1. Zaloguj się na nowym komputerze jako administrator.

  2. Za pomocą Panelu sterowania nadaj komputerowi statyczny adres IP w sieci. Skonfiguruj ten interfejs sieciowy do wysyłania zapytań DNS do adresu IP kontrolera domeny w poprzednim kroku i ustaw nazwę komputera na CORPSERVICE. Ta operacja będzie wymagać ponownego uruchomienia serwera.

  3. Otwórz Panel sterowania i dołącz komputer do domeny skonfigurowanej w ostatnim kroku, contoso.com. Ta operacja obejmuje podanie nazwy użytkownika i poświadczeń administratora domeny, takiego jak Contoso\Administrator. Gdy zostanie wyświetlony komunikat powitalny, zamknij okno dialogowe i ponownie uruchom serwer.

  4. Zaloguj się do komputera CORPSERVICE jako konto domeny przy użyciu administratora komputera lokalnego, takiego jak Contoso\MIMINSTALL.

  5. Uruchom okno programu PowerShell jako administrator i wpisz poniższe polecenie, aby zaktualizować komputer przy użyciu ustawień zasad grupy.

    gpupdate /force /target:computer

    Po upływie maksymalnie minuty proces zostanie zakończony i zostanie wyświetlony komunikat „Pomyślnie ukończono aktualizowanie zasad komputera”.

  6. Dodaj role Serwer sieci Web (IIS) i Serwer aplikacji, funkcje platformy .NET Framework 3.5, 4.0 i 4.5 oraz moduł usługi Active Directory dla środowiska Windows PowerShell.

    Obraz funkcji programu PowerShell

  7. W programie PowerShell wpisz poniższe polecenia. Może być konieczne określenie innej lokalizacji plików źródłowych funkcji platformy .NET Framework 3.5. Te funkcje zazwyczaj nie są obecne w przypadku instalacji systemu Windows Server, ale są dostępne w folderze side-by-side (SxS) w folderze źródeł dysków instalacji systemu operacyjnego, np. "*d:\Sources\SxS*".

    import-module ServerManager
Install-WindowsFeature Web-WebServer, Net-Framework-Features,rsat-ad-powershell,Web-Mgmt-Tools,Application-Server,Windows-Identity-Foundation,Server-Media-Foundation,Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxS

Konfigurowanie zasad zabezpieczeń serwera

Skonfiguruj zasady zabezpieczeń serwera w celu zezwalania na uruchamianie nowo utworzonych kont jako usług.

Uwaga

W zależności od konfiguracji pojedynczy serwer (wszystkie w jednym) lub serwery rozproszone należy dodać tylko na podstawie roli maszyny członkowskiej, takiej jak serwer synchronizacji.

  1. Uruchom program Zasady zabezpieczeń lokalnych.

  2. Przejdź do przypisywania praw użytkownika zasad > lokalnych.

  3. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Zaloguj jako usługę, a następnie wybierz pozycję Właściwości.

    Obraz programu Zasady zabezpieczeń lokalnych

  4. Kliknij przycisk Dodaj użytkownika lub grupę, a w polu tekstowym wpisz na podstawie roli contoso\MIMSync; contoso\MIMMA; contoso\MIMService; contoso\SharePoint; contoso\SqlServer; contoso\MIMSSPR, kliknij przycisk Sprawdź nazwy, a następnie kliknij przycisk OK.

  5. Kliknij przycisk OK, aby zamknąć okno Logowanie w trybie usługi: właściwości.

  6. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Odmów dostępu do tego komputera z sieci, a następnie wybierz pozycję Właściwości.>

  7. Kliknij pozycję Dodaj użytkownika lub grupę, a następnie w polu tekstowym wpisz contoso\MIMSync; contoso\MIMService i kliknij przycisk OK.

  8. Kliknij przycisk OK, aby zamknąć okno Odmowa dostępu do tego komputera z sieci: właściwości.

  9. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję Odmowa logowania lokalnego, a następnie wybierz pozycję Właściwości.

  10. Kliknij pozycję Dodaj użytkownika lub grupę, a następnie w polu tekstowym wpisz contoso\MIMSync; contoso\MIMService i kliknij przycisk OK.

  11. Kliknij przycisk OK, aby zamknąć okno Odmowa logowania lokalnego: właściwości.

  12. Zamknij okno programu Zasady zabezpieczeń lokalnych.

Wymagania wstępne dotyczące oprogramowania

Przed zainstalowaniem składników programu MIM 2016 SP2 upewnij się, że zainstalowano wszystkie wymagania wstępne dotyczące oprogramowania:

  1. Zainstaluj pakiety redystrybucyjne Visual C++ 2013.

  2. Zainstaluj .NET Framework 4.6.

  3. Na serwerze, który będzie hostować usługę synchronizacji programu MIM, usługa synchronizacji programu MIM wymaga SQL Server Native Client.

  4. Na serwerze, który będzie hostować usługę MIM, usługa MIM wymaga .NET Framework 3.5.

  5. Opcjonalnie, jeśli używasz protokołu TLS 1.2 lub trybu FIPS, zobacz ARTYKUŁ MIM 2016 SP2 w środowiskach "Tylko protokół TLS 1.2" lub środowiska trybu FIPS.

W razie potrzeby zmień tryb uwierzytelniania systemu Windows usług IIS

  1. Otwórz okno programu PowerShell.

  2. Zatrzymaj usługi IIS za pomocą polecenia iisreset /STOP.

    iisreset /STOP
C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost
iisreset /START

« Przygotowywanie domenySQL Server »