AD SERVER2019配置LDAPS

要在Windows Server 2019上配置LDAPS（使用LDAP over SSL/TLS），请按照以下步骤进行操作：

1. 获取SSL/TLS 证书：
- 从受信任的第三方证书颁发机构（CA）购买一个SSL/TLS证书，确保证书的主题名称与您的域名匹配。
或者
- 使用自签名证书生成工具（如OpenSSL）生成自签名证书。确保证书的主题名称与您的域名匹配。

2. 安装证书：
- 将证书导入到计算机的“本地计算机”存储中。打开“mmc”（Microsoft Management Console），添加“证书”管理控制台，并将证书导入到“本地计算机”->“个人”存储中。

3. 配置AD DS（Active Directory域服务）：
- 打开“服务器管理器”，选择“工具”->“Active Directory 用户和计算机”。
- 右键单击您的域，选择“属性”，切换到“证书”选项卡。
- 点击“添加”，选择您导入的SSL/TLS证书，并点击“确定”。

4. 配置AD DS使用LDAPS：
- 打开“服务器管理器”，选择“工具”->“组策略管理器”。
- 在组策略管理器中，展开“林”->“域名”->“域控制器”。
- 右键单击您的域控制器，选择“编辑”。
- 在组策略管理编辑器中，导航到“计算机配置”->“Windows设置”->“安全设置”->“公共密钥策略”。
- 右键单击“域控制器证书自动配置”，选择“编辑”。
- 在“域控制器证书自动配置属性”对话框中，选择“已启用”，并确保在“证书模板”下选择您的SSL/TLS证书。
- 点击“确定”保存更改。

5. 配置防火墙：
- 打开“Windows Defender 防火墙”管理控制台，创建入站规则以允许TCP端口636和TCP端口3269的流量。

6. 测试连接：
- 使用LDAP客户端工具（如LDAP搜索工具）连接到AD服务器的LDAPS端口（默认为636），并验证SSL/TLS连接是否成功。

通过执行上述步骤，您应该能够成功配置LDAPS并加密Active Directory的LDAP通信。这将提高安全性，并保护LDAP通信的机密性和完整性。