大型域环境搭建
主机信息
| 角色 | 操作系统 | IP |
|---|---|---|
| 辅域控制器 | Windows server 2016 | 10.10.10.10 |
| 辅域控制器 | Windows server 2016 | 10.10.10.11 |
| 子域控制器 | Windows server 2016 | 10.10.10.20 |
| 父域用户 | Windows server 2012 | 10.10.10.15 |
| 子域用户 | Windows 7 | 10.10.10.21 |
| VPS | Windows 7 | 10.10.10.50 |
首先在VMware中添加一个网卡,点击”编辑” –> “虚拟网络编辑器”
按如下图所示配置即可
父域
修改计算机名,右键”此电脑”,属性,更改设置,然后重启
打开一个Windows server 2016,配置静态IP地址
1 | IP地址:10.10.10.10 |
打开服务器管理器,点击左下角的开始,点击”服务器管理器”
点击”添加角色和功能”
直接下一步
“基于角色或基于功能的安装”,下一步
“从服务器池中选择服务器”,下一步
勾选”Active Directory 域服务 “,”添加功能”,下一步
下一步
下一步
安装
等待安装完成,点击”将此服务器提升为域控制器”
选择”添加新林”,输入根域名sectime.top,域名确定之后就不能在更改,下一步
输入密码,下一步
下一步
默认,下一步
默认,下一步
默认,下一步
先决条件检查成功,点击”安装”
这里如果遇到报错情况:域控制器升级的先决条件验证失败。本地 Administrator 帐户将成为域 Administrator 帐户。无法新建域,因为本地 Administrator 帐户密码不符合要求,原因是因为 administrator 当前机器没有设置密码且密码是一个弱密码,我们只需要给 administrator 设置一个强密码即可!我们以管理员权限打开命令提示符给 administrator 设置一个新密码:
1 | net user administrator admin!@#45 |
等待域控制器安装完毕后它会重启一遍机器
之后DNS被修改为了127.0.0.1,改回本机的IP
如果出现”Windows无法访问指定设备、路径或文件。你可能没有适当的权限访问该项目”,可以尝试下面的方法
1 | 1. 在受影响的工作站上使用域管理员账号登录,打开工作站的“本地安全策略”,找到“本地策略”——“安全选项”——“用户账户控制:用于内置管理员账户的管理员批准模式”,选择“已启用”,然后重启电脑。 |
现在主域控制器和 DNS 集成,为了让后期搭建完辅域控制器的 DNS 同步主域控制器 DNS ,需要把主域控制器的 DNS 服务器_msdcs.sectime.top 和 sectime.top 的起始授权机构(SOA)区域传送设置成允许:
打开DNS管理器
DNS – DC1 – 正向查找区域 – _msdcs.sectime.top
至此主域控制器搭建完成
父域添加用户
新建域管理员
打开”Active Directory 用户和计算机”
选择建好的域,右键”Users”,新建用户
输入如下信息
输入密码:DC123456..
完成
找到刚刚新建的用户,右键选择”属性”
将用户新增管理员组,点击”隶属于”,点击添加
点击”高级”
点击”立即查找”
依次重复添加以下三个组
Domain Admins; Enterprise Admins; Schema Admins
添加之后,点击确定
添加普通域用户liming,密码:work666..
重复操作新建用户zhangsan,密码:zs123456!
把win2012加入父域
配置win2012的IP信息
1 | IP地址:10.10.10.15 |
修改计算机名为work,加入域:sectime.top
输入父域控制器的用户名和密码
1 | administrator |
成功加入父域
重启即可
辅域
把计算机名改为DC2
手动配置ip地址和dns服务
1 | IP : 10.10.10.11 |
把DC2添加到父域
接下来安装域服务
“添加角色和功能”
下一步
下一步
下一步
勾选”Active Directory域服务”,点击”添加功能”,下一步
下一步
下一步
安装
将此服务器提升为域控制器
我们需要选择将域控制器添加到现有域 ,域名填写⽗域的域名:sectime.top,而 DC2\Administrator(当前用户)我们需要更改输入一下父域的域管账户密码:(这⾥需要注意的是,如果辅助域控之前没有加⼊主域控制器,我的当前登录凭据为灰⾊,只能选择备⽤凭据进⾏验证)
下一步
来到“域控制器选项 ”这里,我们需要选择默认选择域名系统(DNS)服务器和全局编录!填⼊设置新的 DSRM 密码:qwe123...
选择“任何域控制”然后一直选择“下一步”,直到“安装”
默认,下一步
下一步
所有先决条件成功通过,安装
辅域控制器 DC2 安装完后系统会⾃动重启系统
辅助域控制器安装成功还需要设置一下 DNS
1 | ⾸选DNS为:10.10.10.11(辅域DNS) |
配置完首选 DNS 为辅域控制器的 IP 后,还需要设置一下:辅域控服务器重启后检查DNS服务器是否已获取到主域控制器传输过来的DNS服务器配置,检查正常后需要把辅域控制器的DNS服务器 _msdcs.sectime.top 和 sectime.top 的起始授权机构(SOA)区域传送设置成允许
到此辅域就安装完成,需要注意的是安装辅域控制器,如果主域控制器DNS和AD集成,辅域控制器会在安装AD后⾃动同步DNS记录
子域
子域控制器用的是 Windows Server 2016,因为搭建子域控制器必须要和主父域控制器的操作系统是同一个版本,不然你版本太低了会显示不兼容
搭建⼦域控制器前需要先把 DNS 指向主域控制器的 IP地址,然后委派完DNS再把⼦域控制器DNS指向⾃⼰
1 | ⽗域控制器:sectime.top |
设置一下计算机名为:DC3,这个时候是不需要添加到域的
然后再次来到”服务器管理器”-“添加角色”,和之前创建域控的操作是一样的,安装完成后选择”将此服务器提升为域控制器”
1 | 选择部署操作:将新域添加到现有林 |
来到”域控制器选项”
1 | 域功能级别:windows Server 2016 |
来到”DNS选项”,默认下一步就好
来到”其他选项”,NetBIOS 我们默认用系统设置的就好,点击”下一步“
下一步
下一步
所有先决条件检查成功通过,安装
安装完之后自动重启
当机器重启后我们还需要手动设置一下 DNS 修改
1 | ⾸选DNS选择⼦域IP : 10.10.10.20 |
这个时候子域控制器就彻底安装成功了
把win7加入子域
为win7配置IP
1 | IP : 10.10.10.21 |
然后修改一下主机名为:pc,这个时候加入域的域名就是:sec.sectime.top:(账号密码需要输入子域控制器的密码:administrator:zxc123...)
重启即可
为子域添加用户
点击”工具”,选择”Active Directory 用户和计算机”
点击”sec.sectime.top”,右键”Users”,新建用户
新建用户tom
输入密码:hello123…,勾选”密码永不过期”,下一步,点击”完成”
重复步骤新建用户:Jack,密码:hi123456…
用Tom用户登录win7
