域环境搭建

2022-03-08 13:53:14 浏览数 (1)

0x01 域环境背景知识

1.什么是域:

​ 将网络中多台计算机逻辑组织到一起,进行集中管理的这种逻辑环境叫做域。

​ 域是组织与存储资源的核心管理单元,在域中至少存在一个域控制器,它存着整个域中的用户账号和安全数据.

​ 其中域的种类又被分为:单域、子域、父域、域树、域林、域森林、DNS域名服务器 单域:只有一个域的网络环境。 父域和子域:顾名思义父子关系,简单来说就是总公司=父域,分公司=子域,设置父子域的好处就是减小了域之间信息交互的压力(子域只能用父域的名字作为域名后缀) 域树:多个域通过建立信任关系组成的集合,如果两个域之间需要相互访问,就需要建立信任关系。 域森林:多个域树通过建立信任关系组成的集合。 DNS域名服务器:实现域名到IP地址的转换,由于域中计算机使用DNS来定位DC、服务器和其他计算机的,所以域的名字就是DNS域的名字。

2.域中计算机的分类:
代码语言:javascript复制
	域中计算机分为以下几种:域控制器、成员服务器、客户机、独立服务器.

域控制器: 用于管理所有的网络访问,存储着域中的所有的账户和策略信息。(允许一个域中有多个域控制器) 成员服务器:安装了服务器操作系统并加入了域,但没有安装活动目录的计算机,主要是提供网络资源 客户机: 安装了其他操作系统的计算机,利用这些计算机和域中的账户即可登录到域。 独立服务器:和域无关,既不加入域,也没有活动目录

0x02 域环境的安装

代码语言:javascript复制
域环境的安装配置如下:	
准备靶机:
Windows server 2016 (三台,一台父域,一台子域,一台辅域)
Windows server 2008 (三台,一台父域用户,一台财务独立服务器,一台财务核心系统)
Windwos 7 (两台,一台子域用户,一台黑客vps)
Windows 10 或 Kali linux (黑客攻击机)
1.父域的搭建

首先,将计算机名字修改一下,然后右键网络-打开网络和共享中心

更改适配器设置-右键属性-IPV4协议-属性

手动设置父域的ip地址为 10.10.3.5 子网掩码255.255.255.0

网关 10.10.3.1 DNS服务器10.10.3.5

以下是具体配置的步骤:

  • 点击升级为域控制器之后 点击 添加新林—填写根域名 kami.com (填写自己熟悉的,域名确定之后不再进行更改)
  • 域控制器选项: 选择林功能级别和域功能级别为 Windows server 2016
  • 指定域功能选择: 勾选域系统(DNS)服务器和全局编录
  • 随后一直点击下一步,安装完成之后重启即可。
  • 重启之后,DNS服务器地址会变成127.0.0.1,这时候再将DNS地址修改为和ip地址相同即可。
  • 同步域控制器DNS: 为了让后期搭建完辅域控制器的DNS服务器同步域控制器的DNS,需要把主域控制器的DNS服务器和_msdcs.kami.com和kami.com的起始授权机构(SOA)区域传送设置成允许

至此,父域(主域)搭建完成。

2.辅域的搭建

将准备好的Windows server 2016 添加为父域的普通用户,然后再进行辅域的搭建。

1.手动配置ip地址和dns服务
2.安装域控和DNS服务器

这里和父域的搭建是一样的,区别就是部署设置页面的时候,选择将域控制器添加到现有域

3.安装完成后

点击将此服务器升级为域控制器,点击将域控制器添加到现有域,指定域名为父域的域名,提供执行操作所需的凭据改为父域的账户(输入父域的账户名和密码即可)

4.域控制选项

默认选择域名系统(DNS)和全局编录,这一步只需要填写新的DSRM密码即可。

5.之后的所有操作都是默认下一步,直到安装成功重新启动即可。
6.重新启动之后DNS服务器会被重置为127.0.0.1

此时再进行修改一下即可,最后重复父域控制器设置DNS:同步域控制器DNS,同样在服务器管理中选择右上角的工具-DNS。把_msdcs.kami.com和kami.com的起始授权机构(SOA)区域传送设置成允许。

3.父域添加用户

根据一些需求,需要把多台计算机添加到父域控制器中进行管理,将准备好的Windows server 2008添加

1.设置ip地址和dns地址
2.找到计算机,右键属性,更改设置,按下图操作

填写要加入的父域名字,点击确定,输入父域用户的账号密码即可。 注:所有域用户的添加方法均一样,要加入到哪个域中,就填写相对应的域名。**

点击确定之后,就成功加入父域了,重新启动计算机cmd输入systeminfo查看信息看是否有域即可。

4.子域的搭建

和上面的一样,先配置ip地址和dns地址(dns主服务器写自己ip,备用写父域的ip)

1.修改计算机名为 son
2.安装域服务和dns服务

并且设置为域控制器,操作和父域搭建一样,直到部署配置

4.部署配置

选择将新域添加到现有林,选择域类型子域, 父域名:kami.com 新域名:son (这里只需要填写最前面就行,不需要加上kami.com),凭借还是填写父域的用户名和密码。

5.域控制选项默认即可

输入DSRM密码,之后操作都点击下一步,安装完成后重新启动后配置一下DNS服务即可。(dns主服务器写自己ip,备用写父域的ip)

5.子域用户添加

这里和父域用户添加是一样的,只是加入域的时候要写子域控制器的域名,然后输入子域的用户名和密码即可添加成功。

1.设置ip和dns信息
2.设置计算机名和域名,然后自动重新启动
6.财务独立域搭建

1.财务部较为重要,所以用特定的策略来管理,划分为独立域,且设置双网卡为一张nat模式,一张仅主机模式。

2.开始-运行-输入dcpromo对于Windows server 2008 R2以前的系统都可以用dcpromomo进行搭建域

这里用的什么系统就选择什么。

这里连续选择两个是

然后下一步输入密码,再下一步,直至安装成功自动重启再配置一下DNS即可。 第一张网卡

第二张网卡

配置完成

7.财务核心服务
1.和添加域用户的方法一模一样,首先改ip和dns地址

注意:172的网段的网卡要设置成nat模式,不然没和独立域在同一网段加入不了域,10网段的网卡设置成仅主机模式

2.修改计算机名,添加域

重新启动,即可。 到此域环境搭建完成。

tcp/ip dns windowsserver windows

0 人点赞