域森林大型环境搭建教学文档

一、环境概述

1.1 公司背景

da-yu公司是一个发展中的中小型企业，随着业务扩展建立了分公司。公司需要集中管理计算机用户权限和共享资源，计划搭建AD域控环境。

1.2 架构设计

采用"域森林->域树->子域->用户"的分层架构：

• 域森林：dayu.com（主域）
• 域树：xiyou.dayu.com（子域）
• 独立子域：dayu.caiwu（财务部专用）
• 用户终端

1.3 网络拓扑

主域控制器(dayu1)

• 域：dayu.com
• IP：10.10.3.5/24
• DNS：10.10.3.5(主), 10.10.3.7(备)

辅域控制器(dayufu)

• 域：dayu.com
• IP：10.10.3.7/24
• DNS：10.10.3.7(主), 10.10.3.5(备)

父域普通用户(fuyong)

• 域：dayu.com
• IP：10.10.3.15/24

子域控制器(xiyou)

• 域：xiyou.dayu.com
• IP：10.10.3.6/24
• DNS：10.10.3.6(主), 10.10.3.5(备)

财务独立子域(caiwu)

• 域：dayu.caiwu
• 内网IP：10.10.21.2/24
• 核心网IP：172.16.5.2/24
• DNS：自配置

财务核心用户(cai-xiao)

• IP：172.16.5.5/24
• DNS：172.16.5.2

子域用户(web服务器)

• 域：xiyou.dayu.com
• 内网IP：10.10.3.100/24
• 外网IP：192.168.253.35/24

二、主域控制器搭建

2.1 准备工作

1. 设置固定IP地址
2. 关闭IPv6（可选）
3. 确保服务器有足够资源

2.2 安装步骤

1. 打开"服务器管理器"→"添加角色和功能"
2. 勾选"Active Directory域服务"
3. 完成向导后，选择"将此服务器提升为域控制器"

2.3 域控制器配置

1. 部署配置：

   • 选择"添加新林"
   • 根域名：dayu.com（命名后不可更改）

2. 域控制器选项：

   • 林功能级别：Windows Server 2016
   • 域功能级别：Windows Server 2016
   • 勾选"域名系统(DNS)服务器"和"全局编录(GC)"
   • 设置目录服务还原模式(DSRM)密码

3. 其他选项：

   • NetBIOS域名：默认或自定义
   • 数据库、日志文件和SYSVOL位置：默认

4. 先决条件检查：

   • 无红色警告则继续安装
   • 安装完成后自动重启

2.4 后期配置

1. 修改DNS设置：

   • 将DNS从127.0.0.1改为本机IP
   • 重启服务器

2. 配置DNS区域传送：

   • 对_msdcs.dayu.com和dayu.com区域
   • 设置"起始授权机构(SOA)"允许区域传送到所有服务器

三、辅域控制器搭建

3.1 准备工作

1. 将服务器加入主域dayu.com
2. 设置固定IP：
   • 首选DNS：主域控制器IP
   • 备用DNS：本机IP

3.2 安装步骤

1. 服务器管理器→添加角色→Active Directory域服务
2. 选择"将此服务器提升为域控制器"

3.3 部署配置

1. 选择"将域控制器添加到现有域"
2. 填写父域名：dayu.com
3. 提供父域管理员凭据

3.4 域控制器选项

1. 勾选"域名系统(DNS)服务器"和"全局编录"
2. 设置新的DSRM密码

3.5 完成安装

1. 通过先决条件检查后安装
2. 勾选"完成后重新启动"

3.6 后期配置

1. 修改DNS设置：
   • 首选DNS：本机IP
   • 备用DNS：主域控制器IP
2. 检查DNS同步情况
3. 配置DNS区域传送（同主域）

四、子域控制器搭建

4.1 准备工作

1. 设置固定IP
2. 修改计算机名
3. 初始DNS指向主域控制器

4.2 安装步骤

1. 服务器管理器→添加角色→Active Directory域服务
2. 选择"将此服务器提升为域控制器"

4.3 部署配置

1. 选择"将新域添加到现有林"
2. 选择域类型："子域"
3. 父域名：dayu.com
4. 新域名：xiyou
5. 提供父域管理员凭据

4.4 域控制器选项

1. 域功能级别：Windows Server 2016
2. 勾选"域名系统(DNS)服务器"和"全局编录"
3. 设置DSRM密码

4.5 完成安装

1. 通过先决条件检查
2. 自动重启

4.6 后期配置

1. 修改DNS设置：
   • 首选DNS：子域IP
   • 备用DNS：父域IP

五、独立域（财务部）搭建

5.1 特殊需求

1. 财务部需要独立安全策略
2. 配置双网卡：
   • 内网：10.10.21.2/24
   • 核心网：172.16.5.2/24

5.2 安装步骤（Windows Server 2008 R2）

1. 运行dcpromo命令
2. 选择"在新林中新建域"
3. 命名林根域：dayu.caiwu

5.3 域控制器选项

1. 林功能级别：Windows Server 2008 R2
2. 勾选"DNS服务器"

5.4 完成安装

1. 设置DSRM密码
2. 自动重启

5.5 后期配置

1. 修改DNS从127.0.0.1改为10.10.21.2

六、用户加入域

6.1 父域用户加入

1. 设置固定IP
2. 修改计算机名
3. 加入域dayu.com
4. 提供域管理员凭据
5. 重启生效

6.2 子域用户加入

1. 设置固定IP
2. 修改计算机名
3. 加入域xiyou.dayu.com
4. 提供子域管理员凭据
5. 重启生效

6.3 独立域用户加入

1. 设置固定IP（172.16.5.5/24）
2. 修改计算机名
3. 加入域dayu.caiwu
4. 提供财务域管理员凭据
5. 重启生效

七、关键注意事项

1. DNS配置要点：

   • 安装完成后务必检查并修改DNS设置
   • 确保区域传送配置正确
   • 主辅域DNS应相互指向

2. 时间同步：

   • 所有域成员应与域控制器时间同步
   • 时间差异可能导致认证失败

3. 功能级别选择：

   • 根据实际环境选择适当的林/域功能级别
   • 高级别功能不可降级

4. 全局编录(GC)：

   • 主域控制器必须为GC
   • 辅域控制器建议设为GC以提高查询效率

5. 灾难恢复：

   • 妥善保管DSRM密码
   • 定期备份系统状态

八、环境验证

1. 域控制器验证：

   • 使用dcdiag命令测试域控制器健康状况
   • 检查事件查看器中的相关日志

2. DNS验证：

   • 使用nslookup测试正向和反向解析
   • 验证SRV记录是否完整

3. 复制验证：

   • 使用repadmin命令检查域控制器间复制状态
   • 确保所有更改能正常同步

4. 用户登录验证：

   • 使用域用户账号登录各域成员
   • 验证组策略应用情况

九、安全建议

1. 网络隔离：

   • 财务独立域采用双网卡物理隔离
   • 核心数据网络与普通办公网络分离

2. 权限管理：

   • 遵循最小权限原则分配用户权限
   • 定期审查特权账户

3. 监控审计：

   • 启用关键安全事件的审计策略
   • 监控异常登录行为

4. 补丁管理：

   • 定期更新域控制器安全补丁
   • 优先更新AD相关漏洞

5. 备份策略：

   • 定期备份系统状态和AD数据库
   • 测试恢复流程的有效性

通过以上详细步骤，可以搭建一个完整的域森林环境，满足企业分级管理、资源集中控制和安全性隔离的需求。此环境也为后续的内网渗透测试提供了真实的基础架构。