授权第二个故障转移成员或 PXE 成员：TLS 镜像指南

前言

TLS 镜像是一种技术，它允许在故障转移期间临时提升 Active Directory 服务器权限，以维护身份验证服务。为了提高可用性，您可以配置第二个故障转移成员或 PXE 成员加入镜像，以便在主服务器出现故障时提供冗余。

在配置第二个故障转移成员或 PXE 成员时，授权过程至关重要。这确保了新成员能够安全地加入镜像并参与身份验证过程。本指南将详细介绍授权步骤，以确保无缝且安全的故障转移。

先决条件

在开始授权过程之前，请确保满足以下先决条件：

• 现有的 TLS 镜像配置
• 可用的第二个故障转移成员或 PXE 成员
• Active Directory 证书服务 (AD CS) 颁发的服务器证书
• 已加入 Active Directory 域的新成员

授权步骤

1. 生成服务器证书请求 (CSR)

使用新成员上的证书请求工具 (certreq) 生成服务器证书请求 (CSR)。确保使用与镜像配置中使用的相同主题备用名称 (SAN)。

2. 颁发服务器证书

将 CSR 提交给您的证书颁发机构 (CA)，例如 Active Directory 证书服务 (AD CS)。CA 将签署证书并将其返回给您。

3. 导入服务器证书

在新成员上导入由 CA 颁发的服务器证书。确保证书已正确安装在受信任的根证书存储中。

4. 修改镜像配置

在主镜像服务器上，使用镜像管理工具 (ntdsutil) 修改镜像配置。添加新成员的 NetBIOS 名称或 IP 地址。

5. 复制安全说明符 (SD)

使用 Active Directory 管理工具 (adsiedit) 从主镜像服务器复制安全符 (SD) 到新成员。

6. 授予新成员权限

使用 Active Directory 用户和计算机管理工具 (dsa.msc)，授予新成员以下权限：

• 对镜像容器进行“读取”权限
• 对镜像目标进行“写”权限

7. 重启新成员

重新启动新成员以使更改生效。

8. 测试故障转移

在授权完成后，执行故障转移测试以验证新成员是否能够成功加入镜像并参与身份验证过程。

附加注意事项

• 确保新成员的计算机帐户已禁用 Kerberos 委派。
• 建议定期轮换服务器证书以提高安全性和符合性。
• 遵循最佳实践，例如使用强密码和实施多因素身份验证来保护您的 Active Directory 环境。

结论

通过遵循这些步骤，您可以成功授权第二个故障转移成员或 PXE 成员加入 TLS 镜像配置。这将增强 Active Directory 环境的可用性，并在主服务器出现故障时提供冗余。定期测试故障转移以确保无缝操作至关重要。通过采用这些安全措施，您可以提高 Active Directory 环境的整体弹性并为您的组织提供可靠的身份验证服务。