AC 设备部署

实验概述

实验背景

某客户有AC组网需求，需要在客户网络环境中部署我司AC，完成AC组网。

实验目标

本实验主要掌握以下具体实验场景操作：

• AC 认证中心部署
• AD 域服务器添加用户
  
  

实验环境

实验说明：

• 总部AC为认证中心，分支AC设置认证托管。
• 总部AD域服务器中新增域用户。
  
  

IP地址及端口规划：

设备名称	端口类型	端口描述	IP地址	备注
总部AC	管理	eth0	172.16.0.20	admin/Sxf@2022
	路由	eth1	10.10.0.100
	业务	eth2	172.16.10.1
	心跳	eth3	2.2.2.1/30
分支AC	管理	eth0	172.16.0.21	admin/Sxf@2022
	路由	eth1	10.20.0.100
	业务	eth2	172.22.10.1
总部PC	管理	eth0	172.16.0.33	User/Win#@desk
	业务	eth1	172.16.10.100
AD域服务器	管理	eth0	172.16.0.32	用户名：Administrator@sangfor.com 密码： 123456
	业务	eth1	172.16.10.150

认证中心部署-实验步骤

• 在总部AC找到【接入管理】-【接入认证】-【联动对接设置】-【控制器对接】-【认证中心设置】，勾选<启用认证中心功能>，设置认证中心的密钥和通信端口。
  
• 在分支AC，点击[接入管理/接入认证/认证高级选项]，选择<认证托管>，勾选<启用认证托管>，填写认证中心参数（IP地址和对接密钥），测试有效性，通过以后点击点击<提交>。
  验证效果

  在分支AC上，查看到分支AC已被托管到认证中心

  注意事项

  <span]分支AC接入认证中心AC后【认证策略】模块会隐藏，无法在分支AC上再配置portal认证策略。

  <span]分支AC如果没有配置[认证托管/LDAP服务端口]或认证中心没有开启LDAP服务，分支会通过增量的方式在本地新增用户组/用户，如用户A上线，则新增用户A所处的组，此功能实现是通过认证中心端口TCP390。

  <span]分支AC可通过[认证托管/LDAP服务端口]以同步域的方式同步认证中心的本地组织架构（用户全量同步到分支AC），效果和新增LDAP服务器一样，相当于把认证中心作为LADP服务器，配置上网权限策略和审计策略时可以更全面地选择适用对象，实现权限全网漫游。注意：[认证托管/LDAP服务端口]只能同步认证中心的本地组织架构，如果需要同步外置AD域，1、认证中心同步AD域到本地（适用AD域组织架构较小场景），2、分支AC自行添加AD域（适用AD域组织架构庞大场景）。
• 域用户添加-实验步骤

  
  
  本机打开远程桌面连接，登录AD域服务器，打开【管理工具】-【服务器管理器】，在[角色-Active Director域服务-Active Director用户]路径下找到对应的域。
  
  
  
  
  

  
  
  在域中找到对应的组，右击新建用户。
  

  
  
  填写用户基本信息及登录名。
  

  
  
  输入域用户密码，取消勾选<用户下次登录时须更改密码>。
  

  
  

  
  
  确认信息后，完成创建。
  
  验证效果
  <span]
  <span]注意：此处添加的是AD域服务器的业务网口地址，非管理地址
  <span]总部 PC 可以通过新建的域用户名密码加入域。
  <span]
  注意事项
  
  
  
  总部PC加入域后，使用域用户远程登录PC需要将新建的域用户添加到远程桌面组中。
  找到【控制面板】-【系统和安全】-【系统】-【高级系统设置】-【远程】-【选择用户(S)...】-【添加】
  
  <span]
  
  
  

66666666666666666666666666666666666666666666

关注订阅华北区板块，获取更多学习干货！

打赏鼓励作者，期待更多好文！

打赏鼓励作者，期待更多好文！

老6，怎么复制出来的。

感谢分享，有助于工作！！！！！