vcsa（5、AD域控服务器）

5.1、配置AD域环境

VMware Horizon 可利用现有的 Microsoft Active Directory 基础架构对用户进行身份验证和管理。您必须执行特定的任务来准备 Active Directory，以便将其与 VMware Horizon 一起使用。

VMware Horizon 支持某些 Active Directory 域服务 (Active Directory Domain Service, AD DS) 域功能级别。。

l 配置域和信任关系

您必须将每个连接服务器主机加入到 Active Directory 域。主机不能是域控制器。为远程桌面创建 OU

您应为远程桌面专门创建一个组织单位 (OU)。组织单位是对 Active Directory 的细分，包含用户、组、计算机或其他组织单位。

l 创建用户组

您应在 Active Directory 中为不同类型的用户创建组。例如，您可以为最终用户创建一个名为 VMware Horizon Users 的组，为将要管理远程桌面和应用程序的用户创建另一个名为 VMware Horizon Administrators 的组。

为 vCenter Server 创建用户帐户

您必须在 Active Directory 中创建一个用户帐户与 vCenter Server 一起使用。在 Horizon Console 中添加 vCenter Server 实例时，需要指定该用户帐户。

为即时克隆操作创建用户帐户

在部署即时克隆之前，必须创建一个在 Active Directory 中拥有某些操作执行权限的用户帐户。

l 配置受限制的组策略

要连接到远程桌面，用户必须是远程桌面本地远程桌面用户组的成员。您可以使用 Active Directory 中“受限制的组”策略，将用户或组添加到每个远程桌面（已加入到域中）的本地远程桌面用户组中。

使用 VMware Horizon 组策略管理模板文件

VMware Horizon 中包含多个特定于组件的组策略管理 (ADMX) 模板文件。

为智能卡身份验证准备 Active Directory

实施智能卡身份验证时，您可能需要在 Active Directory 中执行特定的任务。

在 SSL/TLS 中禁用弱密码

为了提高安全性，您可以配置域策略组策略对象 (Group Policy Object, GPO)，以确保运行 Horizon Agent 的基于 Windows 的计算机在使用 TLS 协议进行通信时不会使用弱密码。

配置固定IP地址，DNS指向域控本身，备用DNS指向辅域IP地址

更改计算机名

5.2、安装配置域控

打开服务器管理-仪表盘-添加角色功能

默认下一步

选择基于角色或基于功能安装

选择域控服务器

添加AD域服务

添加DHCP服务

确认配置安装

安装完成后点击通知，选择将此服务器提升为域控制器

因此次为新建域控，选择添加新林，输入根域名

选择新林和根域的功能级别一般默认即可，输入目录服务器还原模式密码

因之前没有DNS服务器，所以无法指定DNS委派，但是不影响域服务器的配置，直接下一步

自动显示netbios域名

确认配置

检查先决条件，所以条件检查通过即可开始安装

安装完成后系统会重启，然后进入域管理员账号

5.3、配置DHCP服务

在服务器管理通知选项，完成DHCP配置

配置向导描述

使用用户凭据，默认域管理员凭据即可

创建进程显示

选择DHCP管理器

新建作用域

作用域名称

DHCP地址池

地址池内排除IP范围，本文没有排除地址，下一步

设置地址池租用时间

配置网关

配置DNSIP地址

立即激活作用域

创建成功如下所示

5.4、配置DNS服务

打开DNS管理器

在反向查找区域新建区域

主要区域

至此域中所有域控制器上运行的所有DNS服务器

创建IPV4反向查找

输入网络ID

配置动态更新类型，默认

在正向区域创建ESXi主机及VCSA的A记录

5.5、创建辅域

安装系统，配置固定IP,更改主机名，安装AD 及DHCP，所有步骤同上。后续配置AD如下

配置辅域时，选择加入现有域，输入主域域名及用户密码

指定域控制器功能和站点信息：DNS服务器，全局编录，配置目录服务还原模式密码

复制自：选择主域

完成安装

创建完成后重启服务器，关掉IPV6。即可---------下面进入DC01主控配置DHCP故障转移集群

打开服务器管理—DHCP管理器----右键配置故障转移集群---功能配置的负载均衡选择辅控主机

5.6、配置CA证书服务

5.6.1、添加CA服务

5.6.2、创建新的证书

打开通知配置ADCS 凭据选择域管理员

配置角色颁发证书机构

企业CA

颁发根CA

创建新的私钥

加密方式默认

CA公用名称

更改证书有效时间

指定CA数据库位置

确认完成

打开ADCS管理器---证书模板---管理证书模板

打开MMC管理控制台，添加证书模板

复制web服务器—兼容性根据自己所用服务器选择

常规配置证书模板名称

请求处理允许到处私钥

给CA用户所有权限

证书模板 新建模板 选择刚才创建的证书模板—添加完成后 在模板管理里能看见新的模板

5.6.3、Connection服务器申请新的证书

开始之前重启Connection服务器打开mmc添加管理单元

证书

计算机账户

本地计算机

在connection服务器上打开MMC证书管理控制台---个人证书---所有任务---申请新的证书

下一步

选择域控注册策略

配置刚才在AD上创建的模板

类型选择公用名---值设置为完全限定域名 备用名称：类型设置为DNS，值为完全限定域名+IP地址

配置有好名称vdm(必须为vdm，如果在个人证书中还存在其他有好名称为vdm的请删除)

开始注册