这通常指的是 Active Directory (活动目录),因为 Windows 平台上的 LDAP 服务器几乎总是与 AD 集成在一起的,AD 是微软的目录服务,它使用 LDAP 协议作为其核心通信协议。
(图片来源网络,侵删)
核心概念:Active Directory (AD) Windows 的 LDAP 服务器
当你在 Windows 服务器上安装“Active Directory 域服务”角色时,你就同时拥有了一个功能强大的 LDAP 服务器。
- LDAP (Lightweight Directory Access Protocol):是一种用于访问和维护目录服务的协议,你可以把它想象成 “电话簿” 或 “地址簿”,专门用来存储和组织信息(如用户、计算机、打印机等)。
- Active Directory (AD):是微软实现的目录服务,它不仅提供了 LDAP 接口,还集成了身份验证、授权、组策略、DNS 等企业级功能,AD 的数据存储在一个名为 NTDS.DIT 的数据库文件中。
我们讨论“Windows LDAP 服务器”,实际上就是在讨论如何部署和管理 Active Directory。
如何在 Windows Server 上部署 Active Directory (LDAP 服务器)?
这个过程主要在 Windows Server 操作系统上进行(如 Windows Server 2025, 2025)。Windows 10/11 家庭版和专业版 不能作为 AD 服务器,但可以加入 AD 域。
准备工作
- 一台 Windows Server 电脑:可以是物理机或虚拟机。
- 服务器角色:建议安装“Active Directory 域服务”和“DNS 服务器”角色,DNS 是 AD 的基础,因为 AD 域内的计算机需要通过 DNS 来定位域控制器。
- 静态 IP 地址:域控制器必须有一个固定的 IP 地址。
- 计算机名:为服务器设置一个清晰、固定的主机名。
- 足够的权限:你需要以本地管理员身份登录。
部署步骤 (以 Windows Server 为例)
-
安装服务器角色
(图片来源网络,侵删)- 打开 “服务器管理器”。
- 点击 “添加角色和功能”。
- 在 “功能” 向导中,确保勾选了 “.NET Framework 3.5 功能”(很多 AD 管理工具需要它)。
- 在 “角色” 向导中,勾选 “Active Directory 域服务” 和 “DNS 服务器”。
- 当你勾选 AD DS 时,系统会提示你安装必要的工具(如 Active Directory 用户和计算机管理控制台),点击 “添加功能” 确认。
- 按照向导完成安装。
-
提升域控制器
- 安装完成后,在服务器管理器的仪表板中,你会看到一个黄色的警告标志,提示你将此服务器提升为域控制器。
- 点击 “将此服务器提升为域控制器”。
-
部署配置向导
- 部署配置:
- 选择 “添加新林”,如果你是第一次搭建,这是唯一的选择。
- 输入你的 根域名,
corp.example.com,这是一个非常重要的决定,一旦设定,更改非常困难。
- 域控制器选项:
- 林功能级别 和 域功能级别:建议选择 “Windows Server 2025” 或 “Windows Server 2025”,以获得所有新功能。
- 指定域控制器 NetBIOS 名称:这是域的简短名称,
CORP,通常系统会自动根据根域名生成。 - 设置 DSRM (目录服务还原模式) 密码:这是一个非常重要的“管理员密码”,用于在域控制器出现故障时进行修复,请务必记住并妥善保管。
- DNS 选项:
- 向导会检测你是否已安装 DNS 服务器,如果没有,它会提示你安装,确保勾选 “创建 DNS 记录...” 和 “在此服务器上安装 DNS...”。
- 其他选项:
- Active Directory 数据库和日志文件:保持默认路径即可,除非你有特殊需求(如放在不同的磁盘上以提高性能)。
- Active Directory 的 SYSVOL:同样保持默认路径。
- 预检查:
系统会运行一系列检查,确保你的服务器满足成为域控制器的所有条件(如静态 IP、DNS 配置正确等),如果检查失败,根据提示修复问题。
- 安装:
确认所有设置无误后,点击 “安装”,服务器将重新启动几次,这个过程可能需要 20-30 分钟甚至更久。
(图片来源网络,侵删)
- 部署配置:
-
验证安装
- 服务器重启后,以域管理员身份登录(用户名格式为
CORP\Administrator)。 - 打开 “服务器管理器”,你应该能看到服务器的角色和功能都已正常。
- 打开 “运行”(Win + R),输入
dsa.msc并回车,这将打开 “Active Directory 用户和计算机” 管理工具,你应该能看到你的域corp.example.com,以及默认的容器(如Users,Computers等),至此,你的 Windows LDAP 服务器(AD 域控制器)已经成功部署!
- 服务器重启后,以域管理员身份登录(用户名格式为
如何使用和管理 LDAP 服务器?
管理用户和计算机
- 主要工具:
dsa.msc(Active Directory 用户和计算机) - 功能:
- 创建、修改、禁用、删除用户账户和计算机账户。
- 创建和组织组织单元(OU, Organizational Unit)来管理对象。
- 管理组和联系人。
管理组策略
- 主要工具:
gpmc.msc(组策略管理控制台) - 功能:
- 创建链接到站点、域或 OU 的 GPO。
- 配置用户和计算机的桌面设置、安全策略、软件安装、脚本等,这是 AD 实现集中化管理的核心。
LDAP 客户端连接
其他应用程序(如 Linux 服务器、应用程序、Mac 等)可以通过 LDAP 协议连接到你的 AD 服务器进行身份验证或查询信息。
连接信息示例:
- LDAP 服务器地址:
ldap://corp-dc01.corp.example.com或ldap://192.168.1.10 - LDAPS (加密) 服务器地址:
ldaps://corp-dc01.corp.example.com或ldaps://192.168.1.10(强烈推荐使用 LDAPS,即 SSL/TLS 加密) - Base DN (搜索基准):
DC=corp,DC=example,DC=com - 绑定 DN (管理员账户):
CN=Administrator,CN=Users,DC=corp,DC=example,DC=com - 绑定密码:域管理员密码
Windows Server 与 Windows 10/11 的关系
| 特性 | Windows Server (安装 AD DS) | Windows 10/11 专业版/企业版 |
|---|---|---|
| 角色 | LDAP 服务器 / 域控制器 | LDAP 客户端 / 域成员 |
| 功能 | 可以创建、管理域、用户、策略,提供身份验证服务。 | 可以加入域,成为域成员,接受域策略。 |
| 管理工具 | 内置 dsa.msc, gpmc.msc 等管理工具。 |
没有,但可以使用 “远程服务器管理工具” (RSAT) 来远程管理 AD。 |
| 用途 | 企业网络的核心,提供集中化的身份和策略管理。 | 终端用户计算机,由域策略统一管理。 |
常见问题与最佳实践
-
问题:无法将计算机加入域。
- 排查:
- 时间同步:客户端和域控制器的时间差不能超过 5 分钟,确保 NTP 服务正常运行。
- DNS:客户端的 DNS 服务器必须指向域控制器的 IP 地址。
- 网络连通性:确保客户端能
ping通域控制器的计算机名和 IP 地址。 - 权限:确保你使用的账户有将计算机加入域的权限(通常是域管理员或账户操作员组的成员)。
- 排查:
-
最佳实践:
- 至少两台域控制器:为了高可用性,生产环境中至少应有两台域控制器,它们之间会自动同步数据。
- 使用 LDAPS:所有生产环境的 LDAP 通信都应使用 LDAPS (端口 636) 加密,以保护用户凭据和敏感数据。
- 定期备份:定期备份 AD 数据库,可以使用 Windows Server 自带的 “Windows Server Backup” 工具。
- OU 结构清晰:设计合理的 OU 结构(例如按部门、地理位置划分),以便于应用组策略和委派管理权限。
- 委派管理:不要将域管理员权限随意授予普通员工,使用 AD 的“委派控制”功能,让他们只管理自己负责的用户或计算机。
希望这份详细的指南能帮助你理解在 Windows 上部署和使用 LDAP 服务器的全过程!
