使用 Windows Server 搭建 Active Directory Domain Service实现 LDAP 服务

LDAP是轻型目录访问协议，可以使用统一的目录来实现人员、设备的统一管理。

要想搭建一个LDAP服务，可以使用Windows Server的AD DS（Active Directory 域服务）服务。为了实现通过安全 LDAP（LDAPS）访问活动目录，可以在AD DS所在的服务器再搭建AD CS（Active Directory 证书服务）服务。这样AD DS就可以直接使用AD CS生成的服务器证书。

以下是一些搭建要点（以下以 Windows Server 2012 R2 为例）：

1. 提升为域服务器控制器时，选择添加新林；
2. 根域名建议使用 xxx.xxx.xxx 格式，例如 ms.thedf.cc ，这个域名就是域服务的访问域名，也是LDAP/LDAPS 协议的访问域名（ldap://ms.thedf.cc:389, ldaps://ms.thedf.cc:636）;
3. 在安装 AD CS 时，要选择“证书颁发机构”、“证书注册 Web 服务”和“证书注册策略 Web 服务”三项；CA服务器必须选择“企业 CA”；CA证书的公用名建议与前面 AD DS 的根域名保持一致，即都是 ms.thedf.cc；选择“创建新的私钥”，选择密钥长度为“2048”，选择对CA证书进行签名的哈希算法为“SHA256”；选择“选择证书并稍后为 SSL 分配”;
4. 如果是通过PHP代码访问启用LDAPS的LDAP服务器，有两种办法可以信任证书：1. 添加CA证书到可信任；2. 使用环境变量参数 putenv('LDAPTLS_REQCERT=never');

其他小知识：

1. 如果使用 Linux 搭建 QEMU/KVM 虚拟化时遇到虚拟机自动暂停无法恢复等bug时（例如提示：virError(Code=1, Domain=10, Message='internal error: unable to execute QEMU command 'cont': Resetting the Virtual Machine is required），可以使用 Oracel VirtualBox 来代替；虽然在性能上后者可能弱于前者，但稳定性和bug情况要优于前者；
2. 可以通过 usermod $USER -aG vboxusers 添加当前用户到vboxusers组解决当前用户没有权限操作某些网络设置的问题；
3. VirtualBox虚拟机的网络建议避开物理机主机所在的网络，可以通过添加多个网卡的方式，例如添加主机模式；
4. 做测试建议关键步骤之前打好快照，方便快速还原，回滚到之前可用的状态；
5. Linux 安装 kvm 快速命令：sudo apt -y install bridge-utils cpu-checker libvirt-clients libvirt-daemon qemu-system-x86 && kvm-ok