Users Guide
racadm config -g cfgLanNetworking -o cfgDNSServer1 <
主要
DNS IP
地址
>
racadm config -g cfgLanNetworking -o cfgDNSServer2 <
次要
DNS IP
地址
>
对于标准架构,仅指定域控制器和全局编目。标准架构不适合指定关联对象。可以指定创建用户角色组的域控制器。指定 IP 或 FQDN。可以指定多达四个域控制器。所有这些条目都应指向
同一域。如果只指定域控制器,则用户和组都应位于同一域上。如果角色组位于不同的域上,则还必须指定全局编目服务器。可以指定多达四个全局编目服务器。这里指定 IP 或 FQDN 都可
以。还可以只指定全局编目服务器。
在域控制器上启用 SSL
如果使用 Microsoft Enterprise Root CA 自动分配所有域控制器到 SSL 认证,请执行下列步骤以在各个域控制器上启用 SSL。
1. 在域控制器上安装 Microsoft 企业根 CA。
a. 单击"Start"(开 始)并选择"Settings"(设置)®"Control Panel"(控制面板)®"Add or Remove Programs"(添加或删除程序)。
b. 在"Add or Remove Programs"(添加或删 除程序)窗口中,单击"Add/Remove Windows Components"(添加/删除 Windows 组件)。
c. 在"Windows Components Wizard"(Windows 组件向导)中,选择"Certificate Services"(认证服务)复选框。
d. 选择"Enterprise root CA"(企业根 CA)作为"CA Type"(CA 类型)并单击"Next"(下一步 ) 。
e. 选择"Common name for this CA"(此 CA 的常用名),单击"Next"(下一步)并单击"Finish"(完成)。
2. 通过安装每个控制器的 SSL 认证启用每个域控制器上的 SSL。
a. 单击"Start"(开 始)"'选择"Settings"(设置)®"Control Panel"(控制面板)®"Administrative Tools"(管理工具)® "Domain Security
Policy"(域安全策略)。
b. 展开"Public Key Policies"(公共密钥策略)文件夹,右击"Automatic Certificate Request Settings"(自动认证申请设置)并单击"Automatic Certificate
Request"(自动认证申请)。
c. 在"Automatic Certificate Request Setup Wizard"(自动认证申 请设置向导 ) 中,单击"Next"(下一步)并选择"DomainController"(域控制器)。
d. 单击"Next"(下一步)并单击"Finish"(完成)。
导出域控制器根 CA 认证
1. 找到运行 Microsoft Enterprise CA 服务的域控制器。
2. 单击"Start"(开始)并选择"Run"( 运 行)。
3. 在运行字段中键入 mmc 并单击"OK"(确定)。
4. 在"Console 1"(控制台 1)(MMC) 窗口中,单击"File"(文件)(在 Windows 2000 系统上为"Console"[控制台])并选择"Add/Remove Snap-in"(添加/删除管
理单元)。
5. 在"Add/Remove Snap-in"(添加/删除管理单 元)窗口中,单击"Add"(添加)。
6. 在"Standalone Snap-in"(独立管理单元)窗口中,选择"Certificates"(认证)并单击"Add"(添加)。
7. 选择"Computer"(计算机)帐户并单击"Next"(下一步 ) 。
8. 选择"Local Computer"(本地计算机)并单击"Finish"(完成)。
9. 单击 OK(确定)。
10. 在"Console 1"(控制台 1)窗口中,展开"Certificates"(认证)文件夹,展开"Personal"(个人)文件夹并单击"Certificates"(认证)文件夹。
11. 找到并右键单击根 CA 认证,选择"All Tasks"(所有任务 ) 并单击"Export..."(导出...)。
12. 在"Certificate Export Wizard"(认证导出向导)中,单击"Next"(下一步)并选择"No do not export the private key"(不,不导出私钥)。
13. 单击"Next"(下一步 ) 并选择"Base-64 encoded X.509 (.cer)"( Base-64 编码 X.509 [.cer]) 作为格式。
14. 单击"Next"(下一步 ) 并保存认证至系统上的目录。
注: 如果系统运行 Windows 2000,以下步骤可能不同。