1. 实验说明:本章节将教大家如何解决从域服务器端克隆出的虚拟机作为客户端却无法正确加入域的问题。
2. 实验环境:安装一台windows server2019并在关机状态下新建快照,再克隆一台作为客户端。
服务器端ip地址:192.168.159.129 dns地址:192.168.159.129
客户端ip地址:192.168.159.132 dns地址:192.168.159.129
(根据实际网卡获取地址)
3. 进行实验
在vmware软件上找到安装好的server2019
右击打开选项卡,点击“管理”工具
选择“克隆”功能
进入克隆虚拟机向导
下一页,克隆源选择现有快照
选择创建链接克隆,下一步即可
名称和储存位置自定
点击完成创建
4. 首先更改服务器端计算机名,手动修改ip地址
将服务器端正确配置为主域控制器和dns服务器
5. 在克隆出的客户端上修改主机名、ip地址和dns地址
先测试与服务器端域名的连通性
尝试第一次加入域
输入凭证
用户账户一定是域管理员用户
点击确定
出现报错
我们分别打开服务器端和客户端的powershell程序,再分别输入whoami /user代码查看它们的sid
服务器端
客户端
6. 认识什么是sid
SID,即安全标识符(Security Identifiers),或被称为安全ID,是Windows 系统中用来标识安全主体的一个唯一号码。在第一次创建该安全主体时,将会给每一个安全主体发布一个唯一的SID。Windows内部进程将引用安全主体的SID,而不是用户名、组名或计算机名。它具有唯一性,以用户帐户为例进行说明:如果删除某帐户后再使用相同的用户名创建一个新帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的SID 号码。假如存在两个同样SID 的用户,则这两个帐户将被鉴别为同一个帐户。如上这些特征非常类似公安局给公民办理的身份证。公民的姓名可以重复,但是身份证号码却绝不会相同
所以在客户端加入域时因为sid相同的原因导致了报错的情况。
7. 解决方法
我们只需要在客户端用win r打开运行对话框,输入sysprep
点击确定会有一个应用程序,我们双击应用开始为我们的客户端重新生成sid
注意:一定得是在客户端运行,因为运行sysprep之后会初始化数据,如果是在服务器端运行,那么就要重头进行修改计算名等的操作,除非是在实验开始之前就在服务器端运行。
运行完成重启之后会进入重新安装的界面,操作比较简单我这里就不进行演示了。直接跳过到登陆。
8. 二次加入域
可以看到运行sid之后的计算机会初始化数据
我们再次修改计算机名和ip地址以及dns地址
我们再次打开服务器端和客户端的powershell程序,分别输入whoami /user来查看sid
服务器端
客户端
可以看到现在两台计算机的sid已经不相同了
那我们就可以开始尝试第二次加入域
这里我们直接使用powershell命令,输入以下代码直接加入域。
netdom join 192.168.159.132 /domain:skills.com /userd:administrator /passwordd:Admin-1234 /usero:administrator /passwordo:Admin-1234 /reboot
回车即可
等待重启之后就已经成功加入域中了。
在服务器端dns管理界面,客户端的主机记录也成功自动注册进来了
9. 代码小结
netdom join [客户端ip地址] /domain:[域名] /userd:[本地管理员用户账户] /passwordd:[本地管理员用户账户密码] /uesro:[服务器端用户账户] /password:[服务器端用户账户密码] /reboot
学习更多技术干货,请搜索:Kali与编程