gOxiA=苏繁=SuFan Blog

HOWTO:在 Windows Server 2008 上创建多域名证书

        多域名证书即包含多个认证名称的证书，它的好处在于我们只需要部署一个多域名证书就可以满足不同地址的访问支持。例如我们有一个站点，我们可以通过计算机名（如：ex-owa）或完整的 FQDN（如：ex-owa.contos.com）来进行访问，当我们以常规方式部署 SSL 时，所涉及的证书通常只包含一个认证名称，那么当我们使用认证之外的名称访问 SSL 站点时就会出现证书警告。所以此时部署一个多域名证书就显得尤为重要了！

        在 Windows Server 2008 上我们可以使用 MMC 载入证书组件来创建多域名证书申请，之后通过浏览器访问证书申请站点（certsrv）提交多域名证书申请，最后在计算机上导入该证书即可方便我们后续的使用。

        为此，我们首先需要运行 MMC，并载入 证书 组件，选择本地计算机账户，之后定位到 个人 - 证书，鼠标右键单击证书，并从 所有任务 - 高级操作 下选择 创建自定义请求。如下图所示：

        在证书注册的自定义请求步骤中，选择 WEB 服务器 模板，并单击下一步，如下图所示：

        接下来的证书信息步骤中展开 详细信息，并点击 属性，如下图所示：

        在 使用者 选项卡中，将使用者名称类型改为 公用名，添加值为计算机名称，并在备用名称类型中选择 DNS，添加要使用到的域名，如下图所示：

        此外，建议切换到 常规 选项卡为该证书定义一个好记并容易识别的 友好名称，检查无误后点击确定，如下图所示：

        将脱机请求的申请文件保存到本地。

        接下来打开浏览器访问证书服务器的证书自助服务站点，申请证书，如下图所示：

        单击 高级证书申请 链接，如下图所示：

        单击 使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请……，如下图所示：

        在提交证书申请页面中，将之前申请文件的内容拷贝到编码框中，模板选择为 Web 服务器，如下图所示：

        最后下载证书并导入计算机证书中即可！

HOWTO:解决系统系统管理员不允许使用保存的凭据登录远程计算机

        一台加入到 ActiveDirectory（活动目录 – AD，注：WinSRV2008）的 Windows 7 客户端，使用 Remote Desktop 登录 AD 内部的计算机时能够使用已保存的凭据进行自动验证。但是 AD 外部的计算机即使保存了登录凭据，在连接时仍然会提示输入密码，如下图所示：

        Remote Desktop 会提示“系统管理员不允许使用保存的凭据登录远程计算机，原因是未完全验证其标识。请输入新凭据。”！这是出于安全考虑的设计，当然我们可以进行修改使加入到 AD 内的系统能够保存 AD 外部计算机的凭据。

        为此，在运行中输入 gpedit.msc，启动本地组策略编辑器。定位到 计算机配置 - 管理模板 - 系统 - 凭据分配，打开右边窗体的“允许分配保存的凭据用于仅 NTLM 服务器身份验证”，如下图所示：

        启用“允许分配保存的凭据用于仅 NTLM 服务器身份验证”，并点击“将服务器添加到列表：显示”，在服务器列表中添加允许保存凭据的服务器名称和类型，如 dc.contoso.com 上的终端服务器，即“TERMSRV/dc.contoso.com”。当然也可以输入“TERMSRV/*”允许保存所有计算机的远程终端凭据。

        最后执行 gpupdate /force 使修改的组策略生效，即可！

HOWTO:解决 Hyper-V 下 DC 出现的 Time-Service ID12 警告信息

        当我们将 DC 部署在虚拟机中时极有可能会遭遇 Time-Service ID12 的警告信息，参考 TechNet Library 使用 w32tm 重新配置时间源即可解决问题，此外在执行前建议在 Hyper-V 控制台中修改当前虚拟机的配置，将 Integration Services 下的 Time synchronization 复选去掉。

        之后打开 CMD 环境，键入如下命令：

        之后重新启动 Windows Time Service，为此键入：

        最后重新同步事件源，为此键入：

        重新启动服务器后该警告信息不再出现，参考资料：Event ID 12 – Domain Hierarchy Time Source Acquistion