day10、2 - 小小综合实验升级

一、综合运用实验

1.实验拓扑图

2.实验说明

• 需要两台win2008系统和一台xp系统主机：
  • 一台win2008部署成DC/DNS服务器，域名起名为qf.com，IP为10.1.1.1
  • 另一台win2008加入域，再部署成web、DHCP和CA服务器，开启文件共享服务，IP为10.1.1.2
    • 要求发布一个网站，可以使用域名和https访问https://oa.qf.com
    • 创建一个共享文件夹work，要求IT部门的域用户可以下载，CEO部门域用户完全控制
  • 一台xp主机为成员机，可以自动获取IP，加入域
    • 要求可以直接访问网站和共享文件夹
    • 使用域账号登录时，桌面被强制
    • 只要开机，共享文件夹自动被映射到本地的z盘

3.实验步骤

1.win08-1部署成DC/DNS服务器

• 桥接到vmnet1，配置IP10.1.1.1/24，并将主机名改为DC1

• win+R–输入dcpromo–域名取名为qf.com（其他步骤与day07 、1 - 域实验一致）

• 验证是否部署成功

  • 查看计算机属性工作环境为域环境

  • 管理工具–打开DNS，查看是否有qf.com的解析记录和DC主机名的域名解析记录

    

  • 管理工具–打开AD用户和计算机，查看是否有qf.com域的活动目录

  注意：真实环境中，要给DNS添加转发器，指向运营商的DNS

---

2.win08-2部署成DHCP服务器

• 桥接到vmnet1，配IP10.1.1.2/24，DNS指向10.1.1.1，并将主机名改为server，加入域并重启以域管理员的身份登录

• 尝试一下是否DC1和server服务器之间能都相互ping通，实现通信（发现无法ping通，问题及解决方法详见实验出现的问题-问题1）

• 我的电脑–管理–添加角色–DHCP服务器：DNS选择10.1.1.1、父域qf.com，添加作用域，以域管理员身份授权

  

---

3.win08-2部署成WEB服务器发布网站

• 添加角色–web服务器（IIS）–一定要勾选基本身份验证–把应用程序开发的所有子选项勾选（因为此服务器还要部署成CA服务器，CA注册网页需要动态交互功能）

  基本身份验证：可以实现发布的网站使用域账户登录验证的功能，不勾选没有此选项就只能匿名访问

  

• 创建好要发布的网站内容，比如这个创建好游戏页面就为要发布的oa.qf.com网站

  

  注意：oaindex文件在没有开启显示文件扩展名时不要自己加扩展名！！，直接写名字oaindex就可以，不要自己添加oaindex.html

• 打开IIS–右键网站–添加网站–设置好物理路径、目前先设置使用http访问，主机名即为该网站的域名（由于是公司内部的网站，且公司的DNS上要有此域名的解析，所以这个域名不用花钱去买，公司内部人员自己用即可）

  

• 创建好后选中oa网站–默认文档–设置首页为index.html；并设置身份验证：禁用匿名身份验证，启用基本身份验证

  

• 使用DC1，打开DNS–为oa.qf.com新建主机A记录–添加域名解析，IP指向10.1.1.2

  

现在为止，网站已经可以用http和域名的方式，输入域账户实现访问（可以在AD中创建员工域账户，员工就可以通过域账号访问此网站了）。注意：输入的域账号的合适一定要正确

---

4.win08-2部署成CA服务器颁发证书

• 添加角色–active directory证书服务–一定勾选证书颁发机构web注册–选择设置企业CA（因为已经此服务器在域环境中）–其他设置按照默认即可安装成功

• 打开IIS，CA申请证书网页即为默认站点下的子网页certsrv，但是由于在域环境下，一定要设置身份认证访问：将其他身份验证禁用，只开启基本身份验证。不然会出现二、实验出现的问题-问题5

• 点击IIS服务器名称（server）–选择服务器证书设置–创建证书申请–填写相关信息（注意：哪个网站最终要用https访问，这里就写哪个网站的域名，不能瞎写）–设置生成申请文件的路径–生成证书申请即可

  

• 打开CA注册证书的网站10.1.1.2/certsrv–输入域管理员账号和密码

  

• 申请证书–高级证书申请–使用base64…提交申请–选择则web–将刚才保存的证书申请文本中的内容复制到申请框

  

  如果这里显示报错显示找不到任何证书模板的错误，原因和解决办法详见二、实验出现的问题-问题5

• 提交后直接下载证书即可（在域环境下部署的CA，使用域管理员账号登录，申请证书可以直接通过，不需要人工去颁发！！）

• 打开IIS–点击IIS服务器名称server–服务器证书–完成证书申请

  

• 右键oa网站–编辑绑定–添加–类型为https，SSL证书选择刚才创建的oa.qf.com的证书。再选中oa网站的SSL设置，选择要求SSL，客户证书根据需求来设定–应用

  

• 最后就可以用https的方式输入域账号访问oa.qf.com网站了

  

---

5.win08-2开启文件共享服务

• 在任意磁盘下新建work文件夹–右键属性–共享–高级共享–勾选共享此文件夹–设置共享名为share–打开权限–添加domain users对象–对domain users共享权限设置为完全控制

• 因为还要按要求给IT和CEO部门下的域用户设置共享文件夹的NTFS权限，所以要在DC1服务器上的AD中创建域组IT和CEO组，并将属于这两个部门的组织单位中的域用户分别相应的加入到这个组中

  • 打开active directory用户与计算机–在qf.com域下右键新建组织单位–按照公司的组织架构创建好组织单位并在相应的组织单位下创建域用户供员工使用

    

  • 再在Users下创建IT组和CEO组，将周杰伦域用户加入到IT组，将stephen加入到CEO组中

    

• 再给work文件夹设置NTFS权限：属性–安全–编辑–添加–将CEO组合IT组添加进来，并且设置相应的权限：CEO完全控制、IT只能查看下载

  

6.winxp作为用户机加入域

因为虚拟机上xp设计到组策略下发的时候显示会比较慢，不好看到效果，这里选择开启win7系统

• 桥接到vmnet1上，并且选择自动获取IP，那么就会去请求域中的DHCP服务器，即server主机，获取IP地址等相关信息。不需要手动配置

• 设置计算机名，并且加入到qf.com域。（这台计算机是哪个员工的一般就取什么名字，再加入域方便管理）–重启

• 先使用域管理员账号登录，把域用户添加到它的本地管理员组中，不然他的域账户权限不够，很多事做不了，再使用jielun.zhou域账户登录即可

  

• 直接使用\\server\share便可以访问共享文件夹（server为共享服务器主机名，share为共享文件夹的文件名）

  

• 打开浏览器–使用https://oa.qf.com输入自己的域账号qf\jielun.zhou访问网站

  

7.DC1上创建桌面壁纸组策略下发

• 打开DC1–开始–管理工具–组策略管理–因为对公司所有员工要求桌面强制–所以选择千锋集团右键–新建GPO

  

• 右键新建的GPO千锋集团–编辑–找到桌面强制这条策略（用户配置中的）–启用

  

• 在选项中添加壁纸所在路径：因为server服务器上已经创建了一个共享文件夹，干脆直接将壁纸图片放到共享文件夹中，取名为a.jpg，所以路径填写网络路径\\server\share\a.jpg

  server上:

• 下发成功

8.DC1上创建映射脚本组策略下发

• 编辑一个脚本文件，用于将共享文件夹share映射到本地z:盘

  

  在简单渗透测试流程中的利用IPC$漏洞时使用过这条命令，只是这里因为域用户可以直接访问到此共享文件夹，所以命令参数中不用带账户和密码

• 在千锋集团GPO中编辑–添加登录脚本策略–将此脚本文件复制到脚本策略默认的共享文件夹中–启用脚本策略即可

  

• 员工每次使用自己的域账户登录后就会将共享文件夹work自动映射到本地的z盘下

  

二、实验出现的问题

• 问题1：为什么IP和网段都配置正确，但是始终都无法ping通一台主机？

  • 答：最大的可能是防火墙的问题，因为本实验涉及域环境，我们前面只是把专用网络和共用配置网络防火墙关闭了，这次涉及到域环境，将域配置文件的防火墙也关闭了，不要让防火墙干扰实验（在还未学习防火墙知识之前）

    

  • 解决办法：开始–管理工具–高级安全windows防火墙–右键本地计算机上高级安全windows防火墙–域配置文件–关闭–确定

• 问题2：为什么IIS上发布的网站，身份验证选项中只有匿名和一些看不懂的选项，没有windows身份验证和基本身份验证？没有这些选项就没办法给网站设置访问时需要使用域账户登录验证？

  • 答：安装IIS服务时，没有勾选基本身份验证和windows身份验证角色服务选项，以至于身份验证设置时没有这些，勾选上，重新启动服务器，就可以设置访问登录验证了

    

  • 而且基本身份验证的功能就是，设置此验证方式的网站，客户访问时必须输入域账户才能登录，其他做不到

    

• 问题3：为什么可以ping通自己发布的网站的域名，而且也使用域管理身份登录，但是却一直显示无权限访问网站（403错误）？

  • 答：可能犯的错为网站设置首页时：①写错了首页的名字，②你在网站文件夹中设置首页名字时，我的电脑没有开启显示文件扩展名，你命名的时候加上了拓展名oaindex.html（如果是这样相当于你首页文件的全名就变成了oaindex.html.html）。于是你访问网站时，服务器会将首页发送给你，但是一直找不到文件，就无法访问

    

• 问题4：为什么访问公司网站时，输入了自己的域用户和密码，但是始终无法访问？

  • 答：如果在web服务器上相关设置都正确，而且一定确保输入的账号是正确的！不要漏字母！那么最可能的原因是输入的域用户名的格式有问题！可以在CD上的AD表中看到创建的域用户登录时的格式

    

  • 解决办法：可以有三种输入格式–①qf\域用户名，②qf.com\域用户名，③域用户名@qf.com

• 问题5：为什么在win2008上部署了CA服务器，但是访问CA申请证书网页，申请证书时出现找不到任何证书模板的错误？

  • 问题图示：

    

  • 原因：如果没有在域环境中搭建CA服务器（添加Active directory服务时选择CA类型为独立），则不会出现这种问题；但是如果在域环境中搭建CA服务器（添加Active directory服务时选择CA类型为企业），且无意间修改了IIS服务器上默认站点下的Certsrv子网页的身份认证为启用匿名身份验证，那么当你使用匿名访问一个域环境下的CA申请证书网页时（certsrv），那么肯定会出现一些问题，因为你使用的是匿名访问的域中的资源，域控制器CD中活动目录AD上没有这个匿名用户信息，那么它凭什么让你正常访问资源，申请证书

    

  • 解决办法：将certsrv网页的身份验证的匿名身份验证禁用，选择启用基本身份验证。访问certsrv网页时，会弹框要求输入账号和密码，输入域管理员账号和密码：administrator@域名；密码自己设置的自己知道。登录后即可正常申请证书！