域的搭建和配置
2023-5-4 09:2:51 Author: 谢公子学安全(查看原文) 阅读量:35 收藏

本文部分节选于《域渗透攻防指南》,购买请长按如下图片扫码
这节我们主要将搭建不同的域架构环境。
在域架构中,最核心的就是DC(Domain Control,域控制器)。域控制器可分为三种:域控制器、额外域控制器和只读域控制器(RODC)。创建域环境首先要创建DC,DC创建完成后,把所有需要加入域的客户端加入到DC,这样就形成了域环境。网络中创建的第一台域控制器,默认为林根域控制器,也是全局编录服务器,FSMO操作主机角色也默认安装到第一台域控制器。 一个域环境中可以有多台域控制器,也可以只有一台域控制器。当有多台域控制器的时候,每一台域控制器的地位几乎是平等的,他们各自存储着一份相同的活动目录数据库。当你在任何一台域控制器内添加一个用户账号或其他信息后,此信息默认会同步到其他域控制器的活动目录数据库中。多个域控制器的好处在于当有域控制器出现故障了时,仍然能够由其他域控制器来提供服务。
以下演示搭建Windows Server 2008R2域功能级别的域环境和Windows Server 2012 R2域功能级别的域环境以及Windows Server 2012 R2域功能级别的域树。
域控制器是由工作组计算机升级而成,只有Windows Server(WEB版本除外)系统才可以提升为域控制器。服务器想要升级为域控制器,需要满足以下条件:
  • 具有NTFS文件系统,因为SYSVOL文件夹需要NTFS文件系统。
  • 静态ip地址,因为域控制器需要静态的ip。
  • 如果是安装第一个域的域控,需要该服务器本地管理员权限。如果是安装现有域的额外域控制器,需要该域的域管理员权限。如果是安装子域的域控,需要企业管理员权限。

搭建Windows Server 2008R2域功能级别

以下将Windows Server 2008R2服务器升级为域控制器为例,该服务器ip地址为10.211.55.7。
首先,配置服务器的ip地址为静态ip以及DNS服务器设置为自身。如图所示:
注:以下创建域环境我们选择的是创建Active Directory“集成区域DNS服务”。也就是域控同时担任DNS服务器。此时,域控的DNS服务器需要为自身。
然后在cmd窗口输入:dcpromo 来升级此服务器为域控。如图所示:
过一会之后,会弹出如下安装向导,点击下一步即可。如图所示:
然后会显示操作系统兼容性,我们直接点击下一步即可。如图所示:
这里我们选择在新林中新建域,然后点击下一步即可。如图所示:
输入域的名字,我们这里是xie.com,然后点击下一步即可。如图所示:
这里我们选择Windows Server 2008R2的林功能级别,然后点击下一步即可。如图所示:
然后它会自动检查DNS的配置,需要一会时间。如果你主机原来没有安装DNS服务器的话,它会自动帮你勾选上DNS服务器,然后点击下一步即可,这时会弹出无法创建DNS服务器的委派,不用管它,直接点击“是”即可。然后点击下一步。如图所示:
这里会显示一些文件的位置,因为SYSVOL域共享文件必须得在NTFS文件系统的磁盘上,所以域控服务器必须得有NTFS文件系统的分区。
  • 数据库文件夹:用于存储活动目录数据库。
  • 日志文件文件夹:用于存储活动目录数据库的变更记录,此记录文件可用来修复活动目录数据库。
  • SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。
若计算机内有多块硬盘,建议将数据库与日志文件夹分别设置到不同硬盘内,因为两块硬盘分开工作可以提高读写效率,而且分开存储可以避免两份数据同时出现问题,以提高修复活动目录数据库的能力。
这里我们保持默认,点击下一步即可。如图所示:
这里填目录还原模式的Administrator密码,然后点击下一步即可。如图所示:
注:目录还原模式密码和域管理员密码不同。该模式主要是用来还原Active Directory数据库,该密码必须符合密码策略
然后需要确定一些配置,没问题的话点击下一步即可。然后开始配置Active Directory域服务,配置需要一段时间,配置完成后,点击下一步即可。如图所示:
如图所示,提示Active Direcory域服务安装完成。
然后需要重新启动计算机以完成配置。重启后,打开管理工具——>Active Directory用户和计算机,显示如图所示,说明活动目录服务安装成功!

搭建Windows Server 2012R2域功能级别

以下将Windows Server 2012 R2服务器升级为域控,该服务器ip地址为10.211.55.4。安装时主机名为win2012,安装后修改为AD。
首先,配置服务器的ip地址为静态ip以及DNS服务器设置为自身。如图所示:
注:以下创建域环境我们选择的是创建Active Directory“集成区域DNS服务”。也就是域控同时担任DNS服务器。此时,域控的DNS服务器需要为自身。
Windows Server 2012R2安装域控分为两步,先安装ADDS活动目录域服务和DNS服务,然后再将其提升为域控制器。

1:安装AD DS域服务和DNS服务

打开服务器管理器——>点击添加角色和功能。如图所示:
勾选“基于角色或基于功能的安装”选项,然后点击下一步。如图所示:
勾选“从服务器池中选择服务器”选项,然后点击下一步。如图所示:
然后这里勾选“Active Directory域服务”和“DNS服务器”选项,然后点击下一步。如图所示
这里到了选择功能的对话框,保持默认即可,然后点击下一步。如图所示:
这里显示Active Directory域服务的描述以及注意事项。直接点击下一步。如图所示:
这里显示DNS服务器描述以及注意事项。直接点击下一步。如图所示:
这里到了确认安装所选内容对话框,勾选“如果需要,自动重新启动目标服务器”选项,然后点击安装。如图所示
如下所示,显示安装完成。点击关闭即可。如图所示:

2:提升为域控制器

接下来就需要将该服务器提升为域控制器。我们可以在服务器管理器这里看到部署后配置,点击“将此服务器提升为域控制器”。如图所示:
会弹出Active Directory域服务配置向导,这里我们勾选“添加新林(F)”。然后填入域名 xie.com 。然后点击下一步。如图所示:
这里域功能级别和林功能级别我们勾选Windows Server 2012 R2。指定域控制器功能这里默认勾选了“域控系统(DNS) 服务器(O)”和“全局编录(GC)(G)”。然后输入目录服务还原模式(DSRM)密码。然后点击下一步。如图所示:
注:目录还原模式密码和域管理员密码不同。该模式主要是用来还原Active Directory数据库,该密码必须符合密码策略
这里会提示“无法创建该DNS服务器的委派,因为无法找到有权威的父区域或者它未运行Windows DNS服务器”。这是由于DNS部署方式为“Active Directory集成区域DNS服务”,并没有部署独立的DNS服务器,因此无法创建该DNS服务器的委派。这是正常的,直接点击下一步即可。如图所示:
由于域名是xie.com,所以这里的NetBIOS域名默认填为 XIE,我们保持默认,然后点击下一步。如图所示:
这里的数据库文件夹、日志文件文件夹和SYSVOL文件夹我们保持默认即可,然后点击下一步。如图所示:
  • 数据库文件夹:用于存储活动目录数据库。
  • 日志文件文件夹:用于存储活动目录数据库的变更记录,此记录文件可用来修复活动目录数据库。
  • SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。

这里会看到我们之前的选择和设置,如果没问题直接点击下一步即可。如图所示:
然后这里会检查先决条件,只有先决条件没问题了才可以继续安装。如图所示,提示先决条件失败,主要原因是本地Administrator帐户密码不符合要求。
我们在命令行中输入如下命令后,点击重新运行先决条件检查。
net user administrator /passwordreq:yes
然后点击重新运行先决条件检查,如图所示:
如图所示,显示“所有先决条件检查都成功通过”。然后点击安装即可进行安装了。
之后服务器会重启,重启后登录,使用之前本地administrator的账号密码登录,可能会提示你修改密码。
登录成功后,打开 服务器管理器——>工具——>Active Directory用户和计算机。如图所示:
显示如图所示,说明域控搭建完成!

搭建额外域控制器

我们在上面搭建完成Windows Server 2012 R2域控的基础上搭建一个额外域控制器。多个域控制器的好处在于当其中有域控制器出现故障了,仍然能够由其他域控制器来提供服务。选择一台Windows Server2012 R2服务器作为额外域控制器,ip为10.211.55.8,主机名AD02。
首先在AD02上设置静态的ip以及DNS服务器为xie.com的域控10.211.55.4。如图所示:
然后开始安装ADDS域服务和DNS服务。这个步骤和上面我们搭建Windows Server 2012R2域功能级别一模一样,故不演示。我们直接从提升为域控制器开始操作。我们可以在服务器管理器这里看到部署后配置,点击“将此服务器提升为域控制器”。如图所示:
会弹出Active Directory域服务配置向导,这里我们勾选“将域控制器添加到现有域(D)”。然后填入域名 xie.com 。接着点击更改输入域管理员账号密码,然后点击下一步。如图所示:
这里指定域控制器功能和站点信息为“域控系统(DNS) 服务器(O)”和“全局编录(GC)(G)”。然后输入目录服务还原模式(DSRM)密码。然后点击下一步。如图所示:
注:目录还原模式密码和域管理员密码不同。该模式主要是用来还原Active Directory数据库,该密码必须符合密码策略
这里会提示“无法创建该DNS服务器的委派,因为无法找到有权威的父区域或者它未运行Windows DNS服务器”。这是由于DNS部署方式为“Active Directory集成区域DNS服务”,并没有部署独立的DNS服务器,因此无法创建该DNS服务器的委派。这是正常的,直接点击下一步即可。如图所示:
然后这里选择复制自第一台域控制器AD.xie.com。如图所示:
这里的数据库文件夹、日志文件文件夹和SYSVOL文件夹我们保持默认即可,然后点击下一步。如图所示:
  • 数据库文件夹:用了存储活动目录数据库
  • 日志文件文件夹:用了存储活动目录数据库的变更记录,此记录文件可用来修复活动目录数据库
  • SYSVOL文件夹:用了存储域共享文件(例如组策略相关的文件)
这里会看到我们之前的选择和设置,如果没问题直接点击下一步即可。如图所示:
然后这里会检查先决条件,只有先决条件没问题了才可以继续安装。如下,所有先决条件检查都通过,点击安装即可。如图所示:
之后服务器会重启,重启后登录,使用之前本地administrator的账号密码登录,可能会提示你修改密码。登录成功后,打开 服务器管理器——>工具——>Active Directory用户和计算机。如图所示:
显示如图所示,说明额外域控制器安装成功!
域控之间手动同步数据,使用如下命令:
repadmin /syncall /force

搭建域树

我们在上面搭建完成Windows Server 2012R2域功能级别的基础上来搭建一个域树。shanghai.xie.com和beijing.xie.com作为xie.com的子域。
域树架构图如图所示:
首先准备两个服务器作为子域shanghai.xie.com和beijing.xie.com的域控。配置如下:
  • shanghai.xie.com的域控服务器为Windows Server 2016 Datacenter,主机名为SH-AD,ip为:10.211.55.13。
  • beijing.xie.com的域控服务器为Windows Server 2019 Datacenter,主机名为BJ-AD,ip为:10.211.55.14。
然后开始下面的安装步骤:

子域shanghai.xie.com安装

首先在SH-AD上设置静态的ip以及DNS服务器为xie.com的域控10.211.55.4。如图所示:

安装AD DS域服务和DNS服务

这里安装ADDS域服务和DNS服务操作步骤和前面的一样,这里就不再赘述。
如图所示,显示安装完成。点击关闭即可。

提升为域控制器

接下来就需要将该服务器提升为域控制器。我们可以在服务器管理器这里看到部署后配置,点击“将此服务器提升为域控制器”。如图所示:
会弹出Active Directory域服务配置向导,这一步很重要。这里我们勾选“将新域添加到现有林(E)”。然后填入父域名xie.com和子域名shanghai。这里还需要提供一个凭据,我们点击更改,填入xie.com的企业管理员账号密码作为有效凭据。然后点击下一步。如图所示:
这里域功能级别手动勾选Windows Server 2012 R2,指定域控制器功能为“域控系统(DNS) 服务器(O)”和“全局编录(GC)(G)”。然后输入目录服务还原模式(DSRM)密码。然后点击下一步。如图所示:
注:目录还原模式密码和域管理员密码不同。该模式主要是用来还原Active Directory数据库,该密码必须符合密码策略
然后这里到了DNS选项,默认勾选了“创建DNS委派(D)”,我们保持默认,然后点击下一步。如图所示:
由于域名是shanghai.xie.com,所以这里的NetBIOS域名默认填为 SHANGHAI,我们保持默认,然后点击下一步。如图所示:
这里的数据库文件夹、日志文件文件夹和SYSVOL文件夹我们保持默认即可,然后点击下一步。如图所示:
  • 数据库文件夹:用于存储活动目录数据库。
  • 日志文件文件夹:用于存储活动目录数据库的变更记录,此记录文件可用来修复活动目录数据库。
  • SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。
这里会看到我们之前的选择和设置,如果没问题直接点击下一步即可。如图所示:
然后这里会检查先决条件,只有先决条件没问题了才可以继续安装。
如图所示,所有先决条件检查都通过,点击安装即可。
之后服务器会重启,重启后登录。登录成功后,打开 服务器管理器——>工具——>Active Directory用户和计算机。
可以看到如图所示,说明子域shanghai.xie.com域控制器搭建完成。
并且在服务器管理器——>工具——>Active Directory域和信任关系中可以看到之间的信任关系。如图所示:

子域beijing.xie.com安装

首先在BJ-AD上设置静态的ip以及DNS服务器为xie.com的域控10.211.55.4。如图所示:

安装AD DS域服务和DNS服务

这里安装ADDS域服务和DNS服务操作步骤和前面的一样,这里就不再赘述。
如图所示,显示安装完成。点击关闭即可。

提升为域控制器

接下来就需要将该服务器提升为域控制器。我们可以在服务器管理器这里看到部署后配置,点击“将此服务器提升为域控制器”。如图所示:
会弹出Active Directory域服务配置向导,这一步很重要。这里我们勾选将新域添加到现有林(E)。然后填入父域名xie.com和子域名beijing。这里还需要提供一个凭据,我们点击这里更改,填入xie.com的企业管理员账号密码作为有效凭据。然后点击下一步。如图所示:
这里域功能级别手动勾选Windows Server 2012 R2,指定域控制器功能为“域控系统(DNS) 服务器(O)”和“全局编录(GC)(G)”。然后输入目录服务还原模式(DSRM)密码。
然后点击下一步。如图所示:
注:目录还原模式密码和域管理员密码不同。该模式主要是用来还原Active Directory数据库,该密码必须符合密码策略
然后这里到了DNS选项,默认勾选了“创建DNS委派(D)”,我们保持默认,然后点击下一步。如图所示:
由于域名是beijing.xie.com,所以这里的NetBIOS域名默认填为BEIJING,我们保持默认,然后点击下一步。如图所示:
这里的数据库文件夹、日志文件文件夹和SYSVOL文件夹我们保持默认即可,然后点击下一步。如图所示:
  • 数据库文件夹:用于存储活动目录数据库。
  • 日志文件文件夹:用于存储活动目录数据库的变更记录,此记录文件可用来修复活动目录数据库。
  • SYSVOL文件夹:用于存储域共享文件(例如组策略相关的文件)。

这里会看到我们之前的选择和设置,如果没问题直接点击下一步即可。如图所示:

    然后这里会检查先决条件,只有先决条件没问题了才可以继续安装。如图所示,所有先决条件检查都通过,点击安装即可。
之后服务器会重启,重启后登录。登录成功后,服务器管理器——>工具——>Active Directory用户和计算机。可以看到如图所示,说明子域beijing.xie.com域控制器搭建完成。
并且在服务器管理器——>工具——>Active Directory域和信任关系中可以看到域之间的信任关系。如图所示:

将计算机加入域

搭建完域控后,我们就可以将机器加入域了。加入域的机器没有限制,PC机器和服务器均可。以下以Win10系统加入域xie.com为例。如果想让主机加入域中,首先将主机的DNS指向域控服务器的ip,并且确保两者之间能互通。如图所示:
然后系统属性——>计算机名——>隶属于——>域,填入域名xie.com,点击确定。如图所示:
然后会弹出框进行认证。这里输入任何一个有效的域用户账号密码认证即可。点击确定。如图所示:
如图所示,提示加入域成功!然后重启电脑即可!
注:当计算机加入域后,系统会自动将域管理员组中的用户添加到本地管理员组中。计算机原来的账号为本地账号,无法访问域中的资源,也无法将这些本地用户修改为域用户。

将计算机退出域

计算机要么是工作组计算机,要么是域中的计算机,不能同时属于域和工作组。因此,如果要将计算机退出域,只需要将计算机修改为隶属于工作组即可。
打开 系统属性——>计算机名——>隶属于——>工作组,这里可以随便填一个名字即可,然后点击确定。如图所示:
弹出提示框,点击确定。如图所示:
然后输入任何一个有效域用户即可,点击确定。如图所示:
如图所示,提示加入WORKGROUP工作组,然后重启电脑即可退出域!

启用基于SSL的LDAP(LDAPS)

默认情况下,LDAP 通信未加密。这使得恶意用户能够使用网络监控软件查看传输中的数据包。这就是许多企业安全策略通常要求组织加密所有 LDAP 通信的原因。为了减少这种形式的数据泄露,微软提供了一个选项:您可以启用通过安全套接字层 (SSL)/传输层安全性 (TLS) 的 LDAP,也称为 LDAPS。利用 LDAPS,您可以提高整个网络的安全性。
以下实验以在Windows server 2012 R2域功能级别域控AD.xie.com为例安装ADCS服务。

1:安装证书服务ADCS

打开服务器管理器——>添加角色和功能。如图所示:
选择“基于角色或基于功能的安装”选项,然后点击下一步。如图所示:
选择“从服务器池中选择服务器”选项,然后点击下一步。如图所示:
这里勾选“Active Directory证书服务”选项,然后点击下一步。如图所示:
这里到了选择功能的对话框,保持默认即可,然后点击下一步。如图所示:
这里显示Active Directory域服务的描述以及注意事项。然后点击下一步。如图所示:
这里勾选“证书颁发机构”选项,如果想要允许Web端注册证书的话,也可以勾选“证书颁发机构Web注册”。如图所示:
ADCS支持6种角色服务:
  • 证书颁发机构:该组件的主要目的是办法证书、撤销证书以及发布授权信息访问(AIA)和撤销信息。
  • 联机响应程序:可以使用该组件来配置和管理在线证书状态协议(OSCP)验证和吊销检查。在线响应程序解码特定证书的吊销状态请求,评估这些证书的状态,并返回具有请求的证书状态信息的签名响应。
  • 网络设备注册服务(NDES):通过该组件,路由器、交互机和其他网络设备可从ADCS获取证书
  • 证书颁发机构Web注册:该组件提供了一种用户使用未加入域或运行Windows以外操作系统的设备的情况下颁发和续订证书的方法。
  • 证书注册Web服务(CES):该组件用于运行Windows的计算机和CA之间的代理客户端。CES使用户、计算机或应用程序能够通过使用Web服务连接到CA:
    • 请求、更新和安装办法的证书
    • 检索证书吊销列表(CRL)
    • 下载根证书
    • 通过互联网或跨森林注册
    • 为属于不受信任的ADDS域或未加入域的计算机自动续订证书
  • 证书注册策略Web服务:该组件使用户能够获取证书注册策略信息。结合CES,它可以在用户设备未加入域或无法连接到域控的场景下实现基于策略的证书服务
这里Web服务器角色(IIS)描述以及注意事项,然后点击下一步。如图所示:
显示选择角色服务,保持默认即可。然后点击下一步,如图所示:
这里到了确认安装所选内容对话框,勾选“如果需要,自动重新启动目标服务器”选项,然后点击安装。如图所示:
如下所示,显示安装完成,点击关闭即可。如图所示:

2:配置ADCS

接下来就需要配置ADCS证书服务了,点击“配置目标服务器上的Active Directory证书服务”。如图所示:
会弹出指定凭据以配置角色服务对话框,这里我们保持默认,然后点击下一步。如图所示:
勾选“证书颁发机构”和“证书颁发机构Web注册”,然后点击下一步。如图所示:
勾选“企业CA(E)”,然后点击下一步。如图所示:
勾选“根CA(R)”,然后点击下一步。如图所示:
勾选“创建新的私钥(R)”,然后点击下一步。如图所示:
指定加密选项,我们保持默认即可,然后点击下一步。如图所示:
指定CA名称,我们保持默认即可,然后点击下一步。如图所示:
有效期我们保持默认即可,然后点击下一步。如图所示:
CA数据库的存储位置,我们保持默认即可,然后点击下一步。如图所示:
然后确认以下信息是否有误,无误的话,点击配置。如图所示:
如图所示,配置完成。
至此,已经完成了LDAPS的配置了。可以使用ldp.exe来验证,如图所示,配置连接参数。
如图所示,打开 ldaps://AD.xie.com/ 成功。

END

非常感谢您读到现在,由于作者的水平有限,编写时间仓促,文章中难免会出现一些错误或者描述不准确的地方,恳请各位师傅们批评指正。如果你想一起学习AD域安全攻防的话,可以加入下面的知识星球一起学习交流。

文章来源: http://mp.weixin.qq.com/s?__biz=MzI2NDQyNzg1OA==&mid=2247492653&idx=1&sn=18aa573ab09b468631b0a6ffd02e2bf1&chksm=eaae6410ddd9ed065b0d6b070e0e2c91ae94b08188cf6dbe4bdac637183dce259fa53c786ebe#rd
如有侵权请联系:admin#unsafe.sh