Tide安全團隊 - 模擬搭建企業級大型域環境－鑽石舞台

環境結構圖

主父域控制器搭建（server 2016）

1、設置主域控服務器固定IP地址更改適配器選項：

IP : 10.10.10.11子網掩碼：255.255.255.0默認網關：10.10.10.1DNS：10.10.10.11（與IP一致）

2、「開始」-「服務器管理」-「添加角色和功能」

3、勾選「Active Directory 域服務」-「下一步」

4、安裝完成後選擇「將此服務器提升為域控制器」-「添加新林tide.com」

5、設置「還原模式(DSRM)密碼」：Tide.com

6、「DNS選項」不做勾選，下一步

7、「NetBIOS域名」-「AD DS 數據庫」、「日誌文件」、「SYSVOL」默認選擇下一步：

8、進行先決條件檢查並安裝

9、域控安裝完畢，重啟機器（重啟可能會需要一些時間，耐心等待）

10，重設DNS（重啟後電腦會修改DNS），修改完畢再次重啟電腦

11，配置完成，完成域森林中的⽗域控制器（tide.com）的安裝

12、同步配置一下域控制器的 DNS 區域傳輸現在主域控制器和 DNS 集成，為了讓後期搭建完輔域控制器的 DNS 同步主域控制器 DNS ，需要把主域控制器的 DNS 服務器_msdcs.tide.com和tide.com 的起始授權機構(SOA)區域傳送設置成允許:

13，至此父域控制器搭建完成

Server 2012 加入域

1、設置IP地址

IP : 10.10.10.12子網掩碼：255.255.255.0默認網關：10.10.10.1DNS：10.10.10.11（也就是父域控制器的IP）

2、右鍵點擊「計算機」-「屬性」-「更改設置」-「隸屬於tide.com」

3、輸入administrator賬戶密碼tide123...（此處為server2016的賬戶密碼）

4、Server 2012 成功加入父域tide.com(若cmd查詢net user /domain時提示：「發生系統錯誤5，拒絕訪問」，則按照步驟2重設計算機名即可)

Server 2008 加入域

1、設置這台機器的 IP地址、DNS、網關

IP ：10.10.10.13子網掩碼：255.255.255.0默認網光：10.10.10.1DNS ：10.10.10.11（也就是父域控的IP地址）

2、右鍵點擊「計算機」-「屬性」-「更改設置」-「隸屬於tide.com」

3、加入域成功

輔域控制器搭建（Server 2019）

輔域控制器必要性* 提高用戶登錄的效率。因為多台域控制器可以同時分擔審核用戶的工作，因此，可以加快用戶的登錄速度。當網絡內的用戶數量較多，或者多種網絡服務都需要進行身份認證時，應當安裝多台域外控制器。* 提供容錯功能。即使其中一台域控制器出現故障，仍然可以由其他域控制器提供服務，讓用戶可以正常登錄，並提供用戶身份認證。* 無需備份活動目錄。當域內存在不止一台域控制器（DC，Domain Controller）時，域控制器之間可以相互複製和備份。因此，當重新安裝其中的一台DC時，備份Active Directory並不是必需的，只需將其從域中刪除，再重新安裝，並使之回到域中，那麼，其他DC會自動將數據複製到這台DC上。也就是說，如果一個域內只有或者只剩下最後一台DC時，才有必要而且必須對Active Directory進行備份。—— 百度百科

1、設置輔域控制器的 IP、DNS、網關

IP : 10.10.10.20子網掩碼：255.255.255.0默認網關：10.10.10.1首選DNS：10.10.10.11（父域控制器的IP）備選DNS：10.10.10.20（自己的IP地址）

2、按照之前的步驟，加入域

3、重啟後來到「服務器管理器」，進行和搭建主域控制器一樣的操作

4、安裝完成後，選擇「將此服務器提升為域控制器」

5、選擇將域控制器添加到現有域，更改輸入一下父域的域管賬戶密碼

6、選擇默認選擇域名系統（DNS）服務器和全局編錄，填⼊設置新的 DSRM 密碼：Tide.com

7、接下來的選項都選擇默認，先決條件檢查通過後開始安裝

8、安裝完畢後重啟計算機

9、重新配置一下DNS

⾸選DNS為：10.10.10.20（輔域DNS）備⽤DNS為：10.10.10.11（⽗域DNS）

10、檢查DNS服務器是否已獲取到主域控制器傳輸過來的DNS服務器配置，檢查正常後需要把輔域控制器的DNS服務器 msdcs.tide.com 和 tide.com 的起始授權機構(SOA)區域傳送設置成允許

11、至此輔域安裝完成，需要注意的是安裝輔域控制器，如果主域控制器DNS和AD集成，輔域控制器會在安裝AD後⾃動同步DNS記錄

子域控制器搭建（Server 2016）

建議此處與主父域控制器操作系統版本相同，否則版本太低會導致不兼容

1、搭建⼦域控制器前需要先把 DNS 指向主域控制器的 IP地址，然後委派完DNS再把⼦域控制器DNS指向⾃⼰：

⽗域控制器：tide.com ⼦域控制器：abcd.tide.com子域控制器：IP：10.10.10.15子網掩碼：255.255.255.0默認網關：10.10.10.1首選DNS：10.10.10.11（父域控制器IP）

2、設置一下計算機名為：abcd，需要添加到域（原教程中不需要添加到域，但我進行至第4步時發現不添加到域無法進行下步操作，不知道什麼原因）

3、計算機自動重啟，重啟完成後來到「服務器管理器」-「添加角色」，和之前創建域控的操作是一樣的，安裝完成後選擇「將此服務器提升為域控制器」

4、選擇部署操作

將新域添加到現有林

選擇域類型：⼦域

⽗域名：tide.com

新域名：abcd

憑據：⽗域的⽤戶名密碼

5、域控制器選項中選擇

域功能級別：windows Server 2016指定域控制器功能和站點信息：域名系統（DNS）服務器、全局編錄填寫新的DSRM密碼:Tide.com

6、配置DNS選項等一直默認，直至通過先決條件檢查開始安裝

7、安裝完成後自動重啟，跟之前步驟一樣進行手動設置DNS修改

⾸選DNS選擇⼦域IP : 10.10.10.15備⽤DNS選擇⽗域IP : 10.10.10.11

8、至此子域控制器安裝完成

子域添加機器和用戶（Win7）

1、設置固定IP

IP : 10.10.10.16子網掩碼：255.255.255.0默認網光：10.10.10.1首選DNS服務器：10.10.10.15（子域控制器的IP）

2、修改主機名為：win7，這個時候加入域的域名就是：abcd.tide.com,賬號密碼需要輸入子域控制器的密碼

3、重啟完畢，至此子域添加機器和用戶步驟完成

添加域用戶到 tide.com 域內

大型企業一個域內一般有上百台用戶，為了儘量模擬真實環境，我們多添加一些賬戶1、在主域的「Active Directory 用戶和計算機」，選擇「Users」-「新建」-「用戶」

2、新建賬戶test&123@qwe.，密碼永不過期

3、在server 2012登錄test賬戶成功

4、基於同樣的方法也可以在子域控制器添加賬戶，這裡就不一一演示了。

總結

參加了多次攻防演練但還是對大型企業內網了解較少，剛好看到大佬的文章就跟着教程學習一下

參考資料搭建大型域環境（父域控制器、子域控制器、輔域控制器、域內主機）https://mp.weixin.qq.com/s/2GKMFKmjCF_vht8hKl4iFw搭建域服務器和DNS - pursuer.chen - 博客園https://www.cnblogs.com/chenmh/p/4444168.html

關

於

我

們

Tide安全團隊正式成立於2019年1月，是新潮信息旗下以互聯網攻防技術研究為目標的安全團隊，團隊致力於分享高質量原創文章、開源安全工具、交流安全技術，研究方向覆蓋網絡攻防、系統安全、Web安全、移動終端、安全開發、物聯網/工控安全/AI安全等多個領域。

團隊作為「省級等保關鍵技術實驗室」先後與哈工大、齊魯銀行、聊城大學、交通學院等多個高校名企建立聯合技術實驗室。團隊公眾號自創建以來，共發布原創文章370餘篇，自研平台達到26個，目有15個平台已開源。此外積極參加各類線上、線下CTF比賽並取得了優異的成績。如有對安全行業感興趣的小夥伴可以踴躍加入或關注我們。