域环境搭建

0x01 域环境背景知识

1.什么是域：

​ 将网络中多台计算机逻辑组织到一起，进行集中管理的这种逻辑环境叫做域。

​ 域是组织与存储资源的核心管理单元，在域中至少存在一个域控制器，它存着整个域中的用户账号和安全数据.

​ 其中域的种类又被分为：单域、子域、父域、域树、域林、域森林、DNS域名服务器 单域：只有一个域的网络环境。 父域和子域：顾名思义父子关系，简单来说就是总公司=父域，分公司=子域，设置父子域的好处就是减小了域之间信息交互的压力(子域只能用父域的名字作为域名后缀) 域树：多个域通过建立信任关系组成的集合，如果两个域之间需要相互访问，就需要建立信任关系。 域森林：多个域树通过建立信任关系组成的集合。 DNS域名服务器：实现域名到IP地址的转换，由于域中计算机使用DNS来定位DC、服务器和其他计算机的，所以域的名字就是DNS域的名字。

2.域中计算机的分类:

	域中计算机分为以下几种：域控制器、成员服务器、客户机、独立服务器.

域控制器： 用于管理所有的网络访问，存储着域中的所有的账户和策略信息。(允许一个域中有多个域控制器) 成员服务器：安装了服务器操作系统并加入了域，但没有安装活动目录的计算机，主要是提供网络资源 客户机： 安装了其他操作系统的计算机，利用这些计算机和域中的账户即可登录到域。 独立服务器：和域无关，既不加入域，也没有活动目录

0x02 域环境的安装

域环境的安装配置如下：	
准备靶机：
Windows server 2016 (三台，一台父域，一台子域，一台辅域)
Windows server 2008 (三台，一台父域用户，一台财务独立服务器，一台财务核心系统)
Windwos 7 (两台，一台子域用户，一台黑客vps)
Windows 10 或 Kali linux (黑客攻击机)

1.父域的搭建

首先，将计算机名字修改一下，然后右键网络-打开网络和共享中心

更改适配器设置-右键属性-IPV4协议-属性

手动设置父域的ip地址为 10.10.3.5 子网掩码255.255.255.0

网关 10.10.3.1 DNS服务器10.10.3.5

以下是具体配置的步骤：

• 点击升级为域控制器之后 点击 添加新林—填写根域名 kami.com (填写自己熟悉的，域名确定之后不再进行更改)
• 域控制器选项： 选择林功能级别和域功能级别为 Windows server 2016
• 指定域功能选择： 勾选域系统(DNS)服务器和全局编录
• 随后一直点击下一步，安装完成之后重启即可。
• 重启之后，DNS服务器地址会变成127.0.0.1，这时候再将DNS地址修改为和ip地址相同即可。
• 同步域控制器DNS： 为了让后期搭建完辅域控制器的DNS服务器同步域控制器的DNS，需要把主域控制器的DNS服务器和_msdcs.kami.com和kami.com的起始授权机构(SOA)区域传送设置成允许

至此，父域(主域)搭建完成。

2.辅域的搭建

将准备好的Windows server 2016 添加为父域的普通用户，然后再进行辅域的搭建。

1.手动配置ip地址和dns服务

2.安装域控和DNS服务器

这里和父域的搭建是一样的，区别就是部署设置页面的时候，选择将域控制器添加到现有域

3.安装完成后

点击将此服务器升级为域控制器，点击将域控制器添加到现有域，指定域名为父域的域名，提供执行操作所需的凭据改为父域的账户(输入父域的账户名和密码即可)

4.域控制选项

默认选择域名系统(DNS)和全局编录，这一步只需要填写新的DSRM密码即可。

5.之后的所有操作都是默认下一步，直到安装成功重新启动即可。

6.重新启动之后DNS服务器会被重置为127.0.0.1

此时再进行修改一下即可，最后重复父域控制器设置DNS：同步域控制器DNS，同样在服务器管理中选择右上角的工具-DNS。把_msdcs.kami.com和kami.com的起始授权机构(SOA)区域传送设置成允许。

3.父域添加用户

根据一些需求，需要把多台计算机添加到父域控制器中进行管理，将准备好的Windows server 2008添加

1.设置ip地址和dns地址

2.找到计算机，右键属性，更改设置，按下图操作

填写要加入的父域名字，点击确定，输入父域用户的账号密码即可。 注：所有域用户的添加方法均一样，要加入到哪个域中，就填写相对应的域名。**

点击确定之后，就成功加入父域了，重新启动计算机cmd输入systeminfo查看信息看是否有域即可。

4.子域的搭建

和上面的一样，先配置ip地址和dns地址(dns主服务器写自己ip，备用写父域的ip)

1.修改计算机名为 son

2.安装域服务和dns服务

并且设置为域控制器，操作和父域搭建一样，直到部署配置

4.部署配置

选择将新域添加到现有林，选择域类型子域， 父域名：kami.com 新域名：son (这里只需要填写最前面就行，不需要加上kami.com)，凭借还是填写父域的用户名和密码。

5.域控制选项默认即可

输入DSRM密码，之后操作都点击下一步，安装完成后重新启动后配置一下DNS服务即可。(dns主服务器写自己ip，备用写父域的ip)

5.子域用户添加

这里和父域用户添加是一样的，只是加入域的时候要写子域控制器的域名，然后输入子域的用户名和密码即可添加成功。

1.设置ip和dns信息

2.设置计算机名和域名，然后自动重新启动

6.财务独立域搭建

1.财务部较为重要，所以用特定的策略来管理，划分为独立域，且设置双网卡为一张nat模式，一张仅主机模式。

2.开始-运行-输入dcpromo对于Windows server 2008 R2以前的系统都可以用dcpromomo进行搭建域

这里用的什么系统就选择什么。

这里连续选择两个是

然后下一步输入密码，再下一步，直至安装成功自动重启再配置一下DNS即可。 第一张网卡

第二张网卡

配置完成

7.财务核心服务

1.和添加域用户的方法一模一样，首先改ip和dns地址

注意：172的网段的网卡要设置成nat模式，不然没和独立域在同一网段加入不了域，10网段的网卡设置成仅主机模式

2.修改计算机名，添加域

重新启动，即可。 到此域环境搭建完成。