完整域环境搭建再识（图文详细+问题解决）

此篇文章为方便尽量理解，稍微赘述解释图文详细，适用于第一次搭建新手

目录

域控搭建

1.设置静态ip

2.修改主机名

3. 安装活动目录和DNS服务

4. 提升服务器为域控

客户端加入域环境

登录域

创建域控制器账户

登录域

---

搭建域的过程会遇到很多问题，记忆上次搭建踩坑心得:

1.静态ip设置，不知是否会有直接复制原因的影响，需要输入处建议手敲

2.域控安装完成后，右上角讲此服务器提升为域控服务器无选项，，emm可能搭建错误，重来一遍试试

3.administrator密码强度问题，建议提前先把密码强度修改好。

4.密码强度问题解决--命令行输入net user administrator /passwordreq:yes

5.域内机器用域用户账号登录不到域问题解决

6.搭建过程中需要设置多个密码，经常遇到账号密码不匹配的情况，每次设置前都搞清楚自己设置的是什么的密码(实际情况下不可能每个密码都一样，所以还是建议模拟实际，分别重新设置不同新密码)，然后留档记忆。本文亦是。

域控搭建

新域名为 delay.com 主机名DC
####目录还原模式密码   Lm123456@
####域控administrator账户密码 administrator  Lm123.com
域控主机ip地址 192.168.242.128
域内账户ip win7 192.168.242.127  主机名win-7
####域内机器登录域账号密码 delay\win-7 Lm123.com@
######文中所有密码自己设置即可，这里为了防止有些伙伴不清楚，直接给出了我用的密码参考######

域控制器（DC）中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当计算机连接到域时，DC首先会鉴别这个计算机是否属于本域，并验证账户和密码。

1.设置静态ip

域控的ip必须是静态的，所以这里将域控的ip设置为静态ip

打开控制面板-》网络和internent-》网络和共享中心-》更改适配器-》右键ethernet 0 -》属性，接下来选择ipv4进行设置

ipv4设置内容如下图，ip地址设置为 192.168.242.128(这块IP地址可以根据个人来设置，但是前后要保持一致，我们就用它本来的ip地址就好)，子网掩码会自动默认为255.255.255.0，默认网关是192.168.242.1（也可以不设置），设置首选DNS服务器IP地址为192.168.242.128（与ip地址保持一致），不设置备用DNS服务器。

2.修改主机名

其实这一步并非是必须的，但是为了看起来方便，我们为三个主机设置主机名。

windows server 2012 ：DC

windows 7 ：win-7

windows 10:win-10/windows server 2008 ：win-2008

确定保存并重新启动

3. 安装活动目录和DNS服务

打开Windows 2012 R2的服务器管理器，点击 添加角色和功能，然后一直点下一步直到 服务器角色

注意，我这里选择之后他提示我服务器非静态ip。（不知是否是因为之前更改计算机名称的时候重启过机器）我重新设置了一遍静态ip

继续点击下一步直至安装

安装成功

4. 提升服务器为域控

右上角的三角形符号-将此服务器提升为域控制器

添加到新林并设置根域名 delay.com

输入目录还原模式密码，然后一直下一步 ，注意这里有密码强度要求大小写

+字母 Lm123456@

这里提示不用管

(在DNS选项，这将为森林中的第一个DNS服务器，所以无需修改,继续)

NETBIOS名称保持默认

这个窗口定义NTDS,SYSVOL和LOG文件目录。可以默认或设置不同的路径。这里保持默认，继续

这个页面将回顾配置选则，如果没问题，点击next或返回修改，这里继续

窗口将进行需求检查。如果没问题，将启用安装选项。点击install开始安装过程

我这里提示的问题为 administrator密码强度不够

所以我先修复这个问题，即更改密码强度 。（此问题经常在搭建域的过程中有的小伙伴们会经常遇到，这里顺便添加修改过程）

----Windows server 2012修改用户密码----

开始菜单》控制面板》更改账户类型（点击更改帐户类型，不是直接点击用户帐户图标）》更改密码的用户头像

进入到改用户界面下，点击更改密码，开始密码修改。（如果你的原密码未设置，这里显示创建密码）Lm123.com

确定，修改密码结束。

重新启动计算机。

检查下自己的静态IP是否还在（有些提升完域控后，DNS会被自己改掉，再按照下边的改回来就行）

继续重新提升服务器为域控（重复上面的步骤直到）

更改密码重启后依旧失败。命令行执行如下命令

net user administrator /passwordreq:yes

重新运行先决条件检查

问题解决。安装

安装后，系统将自动重启，然后就可以作为域管理服务器

配置完成后重启电脑，即可看到本地策略以及域策略都已经修改好，可以进行登录。

你也可以看一下，搭建完成，主域控会生成一个krbtgt账号。他是Windows活动目录中使用的客户/服务器认证协议，为通信双方提供双向身份认证。

通过上面的步骤，我们已经创建了一个域控服务器，可在活动目录管理中心进行添加用户等操作。下面介绍客户端如何加入域环境

客户端加入域环境

win7

下面以windows 7客户端为例，介绍如何加入域环境，windows 10/win-2008过程一样。

首先设置静态IP，更换这台机器的DNS服务器，修改为域控主机的ip地址

如图进入目录

修改为域控主机的ip地址，建议手敲

ping下域控机器192.168.242.128

在修改主机名的地方修改所属域，这里输入域里面的一个账户和密码就可以（我输入的administrator），输入域控服务器的登录账号密码。

主机名win-7，隶属于delay.com域

（所有域用户的添加方法均一样，要加入到哪个域中，就填写相对应的域名）

确定，此时会要求输入 test.local 域的域管理员密码，也就是 Windows Server 2012 上的 administrator 账号的密码。

administrator Lm123.com

成功加入域，点击确定重启

使用同样的方式即可把 Windows 10 /win-2008加入域，计算机名是win-

详情可参考 win10加入域环境

接下来在 DC 上查看新加入的计算机

点击 window键》管理工具》双击 Active Directory 用户和计算机》展开自己所搭域》点击 Computers，即可以查看到域中新添加的计算机

登录域

创建Active Directory账户，为Windows 7等域内机器创建域控制器账户。

创建域控制器账户

加入域后，还需要有域账号才能登录域，这里我们创建两个部门，分别是运维部和行政部，在 域名delay.com上右键-》新建-》组织单元

即可创建运维部，行政部

在运维部中，右键，新建-》用户

输入用户登录名（注意框中的内容都要填写上）

设置一个密码，为了方便，这里选择密码永不过期

注意这里会有密码策略限制，所有不能太简单

这里我 为了方便记忆，登录密码我选择与域控制密码差不多相同的密码（不要学我哦，自己设）

Lm123.com@

登录域

创建完用户后，到 win-7.delay.com计算机，也就是 windows 7 上登win-7账号，点击切换用户

输入 之前设置好的用户灯笼裤名作为账号，以及密码

账号：delay\win-7 
密码：Lm123.ccom@

成功登录到delay.com 域中

我们可以在 win-7.delay.com 主机上运行 cmd，执行命令查看一些信息

net user /domain  //查看域内用户

net group "domain admins" /domain //查看域管理员

NET系列基本命令可以学习一下。

创建好环境后，很重要的一点是要给每台虚拟机保存个虚拟机，在后续做完实验后，可以把虚拟机恢复到最初的状态。
先把所有虚拟机关机，然后保存快照。

到这里，已经成功创建了一个简单的 Windows 域环境，搭建不复杂，但是需要细心和耐心。后续会基于这个环境，陆续更新一些内网基础渗透的文章。