配置 Windows 服务器以支持目录服务

本文解释了如何在 Windows 服务器上配置设置和权限,以允许 Cato Cloud 的 PoPs 集成到活动目录域控制器。

注意

注意:

  • 本文中的截图和程序基于 Windows Server 2016。 其他版本可能存在差异。

  • 如果需要有关 Cato 的 LDAP 服务 IP 地址的更多信息,请参阅解决 LDAP 同步问题(您必须登录 Cato 知识库才能查看此文章)。

为目录服务创建新域用户

创建一个专用域用户,以便在您的 Cato 账户与 AD 域之间进行集成。

这是此用户的 AD 密码要求:

  • 密码永不过期

  • 禁用强制用户在首次登录时更改密码的设置

要为目录服务创建用户:

  1. 创建一个新域用户(此用户仅用于 Cato 目录服务)。

  2. 成员选项卡中,确保该用户是域用户组的成员。

  3. 将用户添加到以下群组:

    • 分布式 COM 用户

    • 事件日志读取器

      启用用户意识的先决条件_01.png

  4. 点击确定创建用户。

配置 DCOM 设置

在 Windows 服务器上配置这些分布式 COM(DCOM)设置,以允许 Cato Cloud 中的 Pops 远程与域进行通信。 需要配置的 DCOM 设置如下:

  • Windows 服务

  • DCOM 属性和协议

  • COM 安全权限

配置 Windows 服务

启动服务器、远程注册表和 WMI 性能适配器 Windows 服务,并配置它们在 Windows 服务器启动时自动启动。

注意

注意:WMI 性能适配器服务在其他版本的 Windows 服务器中称为WMI

要启用 Windows 服务:

  1. 运行菜单中输入services.msc并点击确定

  2. 服务窗口中,验证每个服务服务器远程注册表WMI 性能适配器已启动并设置为自动启动。

    1. 要更改服务属性,右键点击服务名称,然后点击属性

    2. 对于启动类型,选择自动

    3. 如果服务状态未启动,点击开始

  3. 点击确定并关闭服务窗口。

配置 DCOM 通信属性和协议

DCOM 属性定义了服务器的身份验证和模拟级别。 将服务器身份验证级别配置为连接,这意味着会话密钥仅用于身份验证握手。

将模拟级别设置为识别,以允许 PoPs 仅访问与 Cato 目录服务相关的用户数据。

DCOM 协议序列定义了服务器如何通过网络进行通信。 目录服务使用面向连接的 TCP/IP 协议。

要为目录服务配置 DCOM:

  1. 运行菜单中输入dcomcnfg并点击确定组件服务窗口将打开。

  2. 组件服务 > 计算机 > 我的电脑,右键点击我的电脑并选择属性我的电脑属性窗口将打开。

    Windows_DCOM.png

  3. 配置 Windows 服务器的 DCOM 通信属性:

    1. 我的电脑属性窗口中,选择默认属性标签。

    2. 选择在此计算机上启用分布式 COM

    3. 默认身份验证级别中选择连接

    4. 默认模拟级别中选择识别

  4. 确保 DCOM 协议包括面向连接的 TCP/IP

    Windows_DCOM_Protocols.png

    1. 点击默认协议标签。 如果DCOM 协议包括面向连接的 TCP/IP,请继续下面的步骤6。

    2. 点击添加选择 DCOM 协议窗口将打开。

    3. 协议序列中选择面向连接的 TCP/IP

    4. 点击确定以关闭选择 DCOM 协议窗口。

  5. 点击确定

  6. 信息通知您更改 DCOM 机器范围设置。 点击 继续。

配置 COM 安全权限

组件服务 窗口 (dcomcnfg) 中,配置 COM 安全访问权限和启动和活动权限,以给予 PoPs 默认访问权限:

  • 分布式 COM 用户

  • 事件日志读取器

要为目录服务配置 COM 安全权限:

  1. 如果需要,从 组件服务 > 计算机 > 我的电脑 打开“我的电脑”属性窗口,右键单击 我的电脑 并选择 属性

  2. 点击 COM 安全 标签。

    Windows_COM_Security.png

  3. 配置分布式 COM 用户和事件日志读取器的默认访问权限:

    1. 访问权限 中,点击 编辑默认值

    2. 组或用户名 下,添加并配置 分布式 COM 用户,并提供以下权限:

      • 本地访问 - 允许

      • 远程访问 - 允许

    3. 事件日志读取器 群组重复前两个步骤。

    4. 点击 确定

  4. 配置分布式 COM 用户和事件日志读取器的启动权限:

    1. 启动和激活权限 中,点击 编辑默认值

    2. 组或用户名 下,添加并配置 分布式 COM 用户,并提供以下权限:

      • 远程启动 - 允许

      • 远程激活 - 允许

    3. 事件日志读取器 群组重复前两个步骤。

    4. 点击 确定

  5. 点击 确定 并关闭 我的电脑属性组件服务 窗口。 COM 安全权限已配置。

配置 Windows Server WMI

本节讨论如何配置 WMI 权限以允许 Cato 用户意识从 PoPs 向 Windows 服务器发送 WMI 查询。

配置 WMI 以连接到 Cato 管理应用程序

要使用 WMI 连接到远程计算机,请确保 DCOM 设置和 WMI 命名空间安全设置已正确启用以进行连接。

有关如何配置 WMI 设置以允许来自 Cato 管理应用程序的连接的更多信息,请参阅 Microsoft 文档。

配置 WMI 用户访问

您为 DCOM 访问配置的用户或组还必须拥有 WMI 权限,以访问 Windows 事件日志,这些日志将 Cato 访问权限授予 AD 用户的登录事件。 配置 WMI 以允许分布式 COM 用户和事件日志读取器的远程访问。

要配置 WMI 用户访问设置:

  1. 运行 菜单中,输入 wmimgmt.msc 并点击 确定Windows 管理工具 窗口打开。

  2. 右键单击 WMI 控制(本地) 并选择 属性WMI 控制(本地)属性 窗口打开。

  3. 选择 安全性 标签。 命名空间菜单树显示。

  4. 展开 Root 分支并点击 CIMV2

    Windows_WMI_Security.png

  5. 点击在菜单树下的 安全性ROOT\CIMV2 安全性 窗口打开。

  6. 配置分布式 COM 用户和事件日志读取器的启动权限

    1. 组或用户名 下,添加并配置 分布式 COM 用户,并提供以下权限:

      • 启用账户 - 允许

      • 远程启用 - 允许

    2. 事件日志读取器 重复上一步。

  7. 配置分布式 COM 用户的高级设置:

    1. 选择 分布式 COM 用户 并点击 高级CIMV2 的高级安全设置 窗口打开。

    2. 主体 列中,选择 分布式 COM 用户 并点击 编辑CIMV2 的权限条目 窗口打开。

    3. 适用范围 下拉菜单中,选择 此命名空间及其子命名空间

      Windows_COMusers_Advanced.png

  8. 点击 确定。 关闭 CIMV2 高级安全设置 窗口。

  9. 配置事件日志读取器的高级设置:

    1. 选择 事件日志读取器 并点击 高级

      Windows_EventLog_Advanced.png

      CIMV2 高级安全设置 窗口打开。

    2. 主体 列中,选择 事件日志读取器 并点击 编辑CIMV2 权限项 窗口打开。

    3. 应用于 下拉菜单中,选择 此命名空间及子命名空间

  10. 点击 确定 关闭 CIMV2 高级安全设置 窗口。

  11. 点击 确定关闭 ROOT\CIMV2 安全性WMI 控制(本地)属性 窗口。

    WMI 用户访问设置已配置。

配置 WMI 控制器注册表

编辑 Windows 注册表以为分布式 COM 用户和事件日志读取器授予读取权限。

要配置 WMI 控制器的注册表权限:

  1. 运行 Regedit

  2. 导航到

    HKEY_LOCAL_MACHINE\SYSTEM\

    CurrentControlSet\

    Services\Eventlog\Security

  3. 右键单击 安全 文件夹并选择 权限

  4. 添加并配置这些具有 读取 权限的组:

    • 分布式 COM 用户

    • 事件日志读取器

  5. 点击 确定

使用 IPsec 隧道配置 WMI 控制器

由于连接到 DC 使用 Cato 系统范围内的源 IP,如果您使用 IPSec 隧道连接到 Cato 套接字,您必须为 Cato 系统范围配置阶段 2:10.254.254.12

对于使用自定义系统范围而不是默认范围的帐户,使用自定义范围来计算用户意识同步的固定 IP 地址。 固定 IP 地址是自定义范围内的第 9 个。 例如,如果自定义保留范围是 10.10.10.0/16,那么固定 IP 地址是 10.10.10.9。

对于使用较小 IP 范围的账户,他们仍然使用自定义范围内的第 9 个。 例如,如果自定义保留范围是 10.200.200.64/28,那么固定 IP 地址是 10.200.200.73 (10.200.200.64 + x.x.x.9)。

配置 Windows 防火墙以允许 DCOM

配置 Windows 或第三方防火墙以允许系统范围(或自定义范围)的固定 IP 地址的访问。 有关系统和自定义范围的更多信息,请参见上面的 使用 IPsec 隧道配置 WMI 控制器

  • 如果您使用的是 Windows 防火墙,则必须添加允许 DCOM 通信的例外

  • 如果您使用的是 Windows 服务器和 Cato 网络之间的第三方防火墙,则将相同的例外添加到其中

要配置 Windows 防火墙以允许 DCOM 通信:

  1. 打开 运行 菜单。

  2. 输入 wf.msc 并点击 确定

  3. 选择 入站规则

  4. 操作 菜单中,选择 新建规则新建入站规则向导 窗口将打开。

    Windows_FW_NewRule.png

  5. 选择 自定义 并点击 下一步程序 窗口将打开。

  6. 选择 所有程序,并点击 下一步协议和端口 窗口将打开。

  7. 对于 协议类型,选择 TCP 并点击 下一步范围 窗口将打开。

  8. 对于 该规则适用于哪些远程 IP 地址,选择 这些 IP 地址 选项。

  9. 点击 添加。 在 此 IP 地址或子网 中,输入系统范围的固定 IP 地址:10.254.254.12

    • 如果您使用自定义范围,参见输入您的范围的固定 IP 地址。

  10. 点击 确定 然后点击 下一步操作 窗口将打开。

  11. 选择 允许连接 并点击 下一步配置文件 窗口将打开。

  12. 选择一个或多个规则适用的网络配置文件并点击 下一步名称 窗口将打开。

  13. 输入名称为防火墙规则,然后点击完成

这篇文章有帮助吗?

3 人中有 3 人觉得有帮助

0 条评论