2016年7月20日 星期三

S小魚仔S Windows Server 2012 R2 配置子網域

如何 配置 子網域(Sun Domain) 請看下面示意圖


Root Domain 如何建置 AD 不在說明,重點放在「子網域 (Sub Domain)」且不配置「DNS」,統一經由「Root Domain」處理 「DNS」解析。

升級完成「AD」角色,配置「功能」。

1. 選擇「新增網域到現有的樹系
2. 選擇「子系網域
3. 輸入「父系網域」(Root Dmain)
4. 輸入「taichung」子網域 (Sub Domain)
PS
子網域為「Taichung.Taipei.com
5. 認證需要選擇「Root Dmain」具有「管理權限」帳號。

網域控制站選項」不配置「DNS」,但是要輸入「目錄還原模式」密碼。

Windows Server 自動解析「NetBIOS」下一步 即可

預設值「下一步

 預設值「下一步

預設值「下一步」完成 配置

建置完成「子網域」(Sun Domain),簡單看一下 DNS 結構。
DNS 自動加入「子網域」(Sub Domain) 和 主機名稱。

2016年7月12日 星期二

S小魚仔S Windows Server 2012 R2 配置 Active Directory Certificate Services 憑證服務

Server 2012 R2 Active Directory CS 憑證服務
PS. Windows AD CS 可以作為TLS認證服務器,為用戶端提供安全的身份驗證。 TLS認證使用加密來保護用戶端和服務器之間的通信,防止數據被竊聽或篡改。

新增 角色「Acrive Directory 憑證服務」需要勾選項目

啟用「憑證授權單位」、「線上回應」、「憑證授權單位網頁註冊

接著就「下一步」開始進行安裝

 安裝完畢,點選「伺服器管理員」會有一個「驚嘆號」旗子,繼續配置「AD CS

 配置「使用者」指定 角色服務


勾選「憑證授權單位」、「憑證授權單位網頁註冊」、「線上回應

因為是第一臺「AD CS」 在網域底下,選擇「企業 CA

選擇「Root CA

選擇「建立新的私密金鑰」,後續接下來,就不多敘述,「下一步」到底。

完成上述「Active Directory Certificate Services」配置,還需要配置「IIS」註冊「SSL」憑證,這樣 網頁憑證註冊 才能使用。

使用「Win+R」,輸入「mmc

加入「憑證

選擇「電腦帳戶


選擇「本機電腦

在「個人=>憑證」選擇「要求新憑證

選擇「Active Directory 註冊原則

勾選「電腦」,點選「註冊

證書「憑證」註冊 完成

在「個人=>憑證」會有兩組「憑證
一組為「Lab-CA-CA」(AD CS 根憑證)
一組為「CA.Lab.com」(主機網域憑證)

開啟「IIS」(以系統管理員身分執行)

編輯「Default Web Site


點選「新增

1. 配置「Https
2. 使用「主機網域憑證

配置完成

使用「Client」端,透過「http://FQDN/CertSrv」或「Http://IP/CertSrv」進行「網頁註冊憑證」 。

若出現下面錯誤,記得配置「AD CS」網頁 SSL 憑證。




參考資料

2016年7月2日 星期六

S小魚仔S Exchange Server 2013 設定 全域通訊清單 部門之間 無法瀏覽 E-mail。

A」部門 和「B」部門 不能互相瀏覽 使用者信箱 應該如何 使用 Exchange 2013 達成。

使用 「全域通訊錄」 +「CustomAttribute」(自訂屬性) 就可以輕易達成需求。


開啟「AD」管理工具 並 啟用「進階功能

建立「組織單位」臺北 和 臺中 。
臺北」組織單位 建立「使用者」並在 屬性編輯器 「extensionAttribute1」(自訂屬性1) 輸入「臺北」..其餘使用以此類推。
PS
透過「自動屬性」設定「群組」功能。

臺中」組織單位 建立「使用者」並在 屬性編輯器 「extensionAttribute2」(自訂屬性2) 輸入「臺中..其餘使用以此類推。

開啟「Exchange Managemnet Shell」( 系統管理員 )

輸入「Get-User -RecipientTypeDetails user | Enable-Mailbox」建立全部「使用者」信箱
PS
若您有多組「Mailbox」需要配置,不建議使用。

建立「全域通訊清單
New-GlobalAddressList -Name 臺北 -RecipientFilter {((RecipientType -eq "UserMailbox") -and (CustomAttribute1 -eq "臺北"))}
New-GlobalAddressList -Name 臺中 -RecipientFilter {((RecipientType -eq "UserMailbox") -and (CustomAttribute2 -eq "臺中"))}

更新「全域通訊清單
Update-GlobalAddressList -Identity "臺北"
Update-GlobalAddressList -Identity "臺中"

建立完成,登入「ECP」,「組織」=>「通訊清單」就會顯示「全域通訊清單

開啟「ADSI」編輯器,準備開戰嚕

點選「連接」網域控制站 (AD)

找到「CN=Services」=>「CN=Mircosoft Excage」=>「CN=First Organization」=>「CN=Address Lists Container」=>「CN=All Global Address Lists

設定「CN=Default Global Address List」=>「安全性」=>「Authenticated Users」在「允許」權限 全部取消


設定「CN=Address Lists Container」=>「CN=All Address Lists」=>「CN=All Users」=>「安全性」=>「Authenticated Users」在「允許」權限 全部取消

使用 Windows 7 Client 端 ,開啟「Outlook」此時「全域通訊清單」就只會出現該「extensionAttribute (自訂屬性)」使用者信箱。
PS
簡單來說就是使用「extensionAttribute (自訂屬性)」來配置「群組」概念,相同「屬性名稱 就會被放置在一起。


全域通訊清單」(GlobalAddressList)
(Exchange Management Shell)


建立「全域通訊清單」搭配「自訂屬性
New-GlobalAddressList -Name 臺北 -RecipientFilter {((RecipientType -eq "UserMailbox") -and (CustomAttribute1 -eq "臺北"))}
PS
建立 「全域通訊清單」必須配置信箱」 
自訂屬性1「臺北分區


建立「全域通訊清單」搭配「群組」和「自訂屬性
New-GlobalAddressList -Name 臺北 -RecipientFilter {((RecipientType -eq 'UserMailbox') -and ((StateOrProvince -eq 'MailGroups') -and (CustomAttribute1 -eq "臺北") ))}
PS
建立 「全域通訊清單必須配置信箱」和 「群組」。
 自訂屬性1「臺北分區


更新「全域通訊清單
Update-GlobalAddressList -Identity "臺北"

刪除「全域通訊清單
Remove-GlobalAddressList -Identity "臺北" -DomainController ad.lab.com

顯示「全域通訊清單
Get-GlobalAddressList


參考資料
Technet」-「New-GlobalAddressList