企业级域环境搭建实例——主域，辅域和子域，DNS配置实例

主父域控制器搭建（server 2016） 

1、设置主域控服务器固定IP地址 更改适配器选项

IP : 10.10.10.11子网掩码：255.255.255.0默认网关：10.10.10.1DNS：10.10.10.11（与IP一致）

2、“开始”-“服务器管理”-“添加角色和功能”

3、勾选“Active Directory 域服务”-“下一步”

4、安装完成后选择“将此服务器提升为域控制器”-“添加新林hg.com”

5、设置“还原模式(DSRM)密码”：xxxxx

6、“DNS选项”不做勾选，下一步

7、“NetBIOS域名”-“AD DS 数据库”、“日志文件”、“SYSVOL”默认选择下一步：

8、进行先决条件检查并安装

9、域控安装完毕，重启机器（重启可能会需要一些时间，耐心等待）

10.重设DNS（重启后电脑会修改DNS），修改完毕再次重启电脑

11.配置完成，完成域森林中的域控制器（http://hg.com）的安装

12.同步配置一下域控制器的 DNS 区域传输 现在主域控制器和 DNS 集成，为了让后期搭建完辅域控制器的 DNS 同步主域控制器 DNS ，需要把主域控制器的 DNS 服务器http://_msdcs.hg.com和http://hg.com 的起始授权机构(SOA)区域传送设置成允许:

13，至此父域控制器搭建完成.

文件服务器加入域

1、设置IP地址

IP : 10.10.10.12子网掩码：255.255.255.0默认网关：10.10.10.1DNS：10.10.10.11（也就是父域控制器的IP）

2、右键点击“计算机”-“属性”-“更改设置”-“隶属于hg.com”

3、输入administrator账户密码XXX...（此处输入为主域控制器的账户和密码）

4、如遇到提示：“发生系统错误5，拒绝访问”，则按照步骤2重命名计算机名，重新加入域即可

文件服务器 加入域 

1、设置这台机器的 IP地址、DNS、网关

IP ：10.10.10.13子网掩码：255.255.255.0默认网光：10.10.10.1DNS ：10.10.10.11（也就是父域控的IP地址）

2、加入域成功

辅域控制器搭建（Server 2019）

辅域控制器必要性* 提高用户登录的效率。因为多台域控制器可以同时分担审核用户的工作，因此，可以加快用户的登录速度。当网络内的用户数量较多，或者多种网络服务都需要进行身份认证时，应当安装多台域外控制器。* 提供容错功能。即使其中一台域控制器出现故障，仍然可以由其他域控制器提供服务，让用户可以正常登录，并提供用户身份认证。* 无需备份活动目录。当域内存在不止一台域控制器（DC，Domain Controller）时，域控制器之间可以相互复制和备份。因此，当重新安装其中的一台DC时，备份Active Directory并不是必需的，只需将其从域中删除，再重新安装，并使之回到域中，那么，其他DC会自动将数据复制到这台DC上。也就是说，如果一个域内只有或者只剩下最后一台DC时，才有必要而且必须对Active Directory进行备份。

1、设置辅域控制器的 IP、DNS、网关

IP : 10.10.10.20子网掩码：255.255.255.0默认网关：10.10.10.1首选DNS：10.10.10.11（父域控制器的IP）备选DNS：10.10.10.20（自己的IP地址）

2、按照之前的步骤，加入域

3、重启后来到“服务器管理器”，进行和搭建主域控制器一样的操作

4、安装完成后，选择“将此服务器提升为域控制器”

5、选择将域控制器添加到现有域，更改输入一下父域的域管账户密码

6、选择默认选择域名系统（DNS）服务器和全局编录，填设置新的 DSRM 密码：http://Hg.com

7、接下来的选项都选择默认，先决条件检查通过后开始安装

8、安装完毕后重启计算机

9、重新配置一下DNS

选DNS为：10.10.10.20（辅域DNS）备DNS为：10.10.10.11（域DNS）

10、检查DNS服务器是否已获取到主域控制器传输过来的DNS服务器配置，检查正常后需要把辅域控制器的DNS服务器 http://msdcs.hg.com 和 http://hg.com 的起始授权机构(SOA)区域传送设置成允许

11、至此辅域安装完成，需要注意的是安装辅域控制器，如果主域控制器DNS和AD集成，辅域控制器会在安装AD后动同步DNS记录

子域控制器搭建（Server 2016） 

建议此处与主父域控制器操作系统版本相同，否则版本太低会导致不兼容  

1、搭建域控制器前需要先把 DNS 指向主域控制器的 IP地址，然后委派完DNS再把域控制器DNS指向：

域控制器：hg.com 域控制器：abcd.hg.com子域控制器：IP：10.10.10.15子网掩码：255.255.255.0默认网关：10.10.10.1首选DNS：10.10.10.11（父域控制器IP）

2、设置一下计算机名为：abcd，需要添加到域（原教程中不需要添加到域，但我进行至第4步时发现不添加到域无法进行下步操作，不知道什么原因）

3、计算机自动重启，重启完成后来到“服务器管理器”-“添加角色”，和之前创建域控的操作是一样的，安装完成后选择“将此服务器提升为域控制器”

4、选择部署操作  

将新域添加到现有林  

选择域类型：域 

域名：http://hg.com  

新域名：abcd  

凭据：域的户名密码

5、域控制器选项中选择

域功能级别：windows Server 2016指定域控制器功能和站点信息：域名系统（DNS）服务器 、全局编录 填写新的DSRM密码:Hg.com

6、配置DNS选项等一直默认，直至通过先决条件检查开始安装

7、安装完成后自动重启，跟之前步骤一样进行手动设置DNS修改

选DNS选择域IP : 10.10.10.15备DNS选择域IP : 10.10.10.11

8、至此子域控制器安装完成  

子域添加机器和用户（Win7） 

1、设置固定IP

IP : 10.10.10.16子网掩码：255.255.255.0默认网光：10.10.10.1首选DNS服务器：10.10.10.15（子域控制器的IP）

2、修改主机名为：win7，这个时候加入域的域名就是：abcd.hg.com,账号密码需要输入子域控制器的密码

3、重启完毕，至此子域添加机器和用户步骤完成

添加域用户到 http://hg.com 域内 

大型企业一个域内一般有上百台用户，为了尽量模拟真实环境，我们多添加一些账户

 1、在主域的“Active Directory 用户和计算机”，选择“Users”-“新建”-“用户”

2、新建账户test&123@qwe.，密码永不过期

3、在server 2012登录test账户成功

4.至此全部安装测试结束，基于同样的方法也可以在子域控制器添加账户，这里就不一一演示了。

*声明  文章由新潮信息tide安全团队原创文章，转载请声明出处，文中所涉及的技术、思路、工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行

Tags： Network