2015年8月13日 星期四

如何透過Windows 2012 R2進行網域控制站的架設

        相信有裝過網域控制站(Domain Controller)的人,對於dcpromo.exe的指令並不陌生,但是在Windows 2012以後,這個指令已經不支援了(如下圖所示),所以我們必須透過其他的方式進行安裝,我將安裝的過程整理如下,再請參考。


安裝環境:Windows 2012

1、安裝前確認,請在進行前先將你電腦的名稱與IP設定正確。


PS:上述的電腦名稱與IP是針對我的環境而設定,你可以依照自已的需求進行調整。

2、點選 Server Manager -> Add Roles and fetures


3、說明頁面,直接點選下一步

4、選擇 [Role-based or feature-based installation]

5、依照預設值,選擇 [Select a server from the server pool],在下列的Server Pool會顯示出此台的資訊。

6、此處請勾選 [Active Directory Domain Services],勾選後,系統會直接跳出相關的功能與工具建議,所以請選擇 [Add features]

7、同樣的勾選 Next 到下一步。

8、此處預設會自動勾選 [Group Policy Management],同樣的也請點選 Next 到下一步。

9、說明頁面,同樣點選 Next 到下一步。

10、下列的 [Restart the destination server automatically if required] 可以勾選起來,系統會依照需求自行進行重啟的動作,確認完資訊後,即可點選 Install 進行安裝。

11、安裝完成後即可點選 [Close] 進行結束。

12、安裝完成後,你會看到在 [Server Manager] 會出現驚嘆號,點開後,再點選 [Promote this server to a domain controller]。

13、由於我們是要建立一個全新的樹系,所以選擇第三個,並且在下方輸入你的Domain Name,此處很重要這關系到你的網域名稱,所以請仔細確認。

14、在這有二個比較重要的部份,分別是FFL(Forest functional level)與DFL(Domain function level):基本上要注意的是FFL的部份,當你的網域中有其他的網域控制站較舊時,你就必須設定成較舊的版本,如在我的環境中有一台2008R2的網域控制站時,我日後有可能會進行整併,而且從文件上來看,FFL較大的差異在2008R2以前,所以此處我就選擇Windows Server 2008 R2。

重點提示:FFL與DFL的選擇不會影響到使用者端(不同的作業系統版本)的加入。

下列的DSRM(Directory Services Restore Mode)的密碼也請妥善保存,當需進入DSRM進行還原處理時,則需要此密碼進行。

15、此畫面會出現DNS delegation warning,此時可以不需處理,直接點選 Next 下一步。

16、系統會針對你在前面輸入的網域名稱自動定義你的NetBIOS domain name,直接點選 Next 下一步。

17、設定AD DS的相關目錄,建議維持預設值,直接點選 Next 下一步。

18、確認資訊,直接點選 Next 下一步。

19、在最後的資訊確認頁面,你會看到二個警示,這二個皆可以跳過不處理,直接點選 Install進行安裝即可。

20、安裝完成後,會進行一次的重啟電腦,開機後檢查Server Manager -> Tools即可看到網域控制站相關的工具已可以使用。


參考文件:
Windows Server 2012: Set Up your First Domain Controller (step-by-step)
http://social.technet.microsoft.com/wiki/contents/articles/12370.windows-server-2012-set-up-your-first-domain-controller-step-by-step.aspx
Understanding Active Directory Domain Services (AD DS) Functional Levels
https://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(v=ws.10).aspx
DS Restore Mode Password Maintenance
http://blogs.technet.com/b/askds/archive/2009/03/11/ds-restore-mode-password-maintenance.aspx


關鍵字:Domain Controllerdcpromo網域控制站

2015年8月7日 星期五

Wireshark - 如何在截取的封包中自動進行IP反查

        相信大家都對Wireshark都不陌生,但在分析的過程中,我們有時候希望可以針對截取到的IP進行反追蹤,如透過WHOIS的網站進行反查詢,今天我們來介紹如何透過GeoIP的資料庫,讓截取到的封包也能自動的顯示IP資訊。

MaxMind推出GeoIP的服務,可以透過Web Service或是程式的方式進行,但是由於需要額外的付費,所以我們可以透過下載簡易資料集進行,下列是下載的網址,資料集主要分成City、Country、ASN(IP所屬國)三種類型,此簡易資料集並非完整對應到所有的資訊,所以大家可以嘗試看看,如有進一步的需求,可以購買他們的產品,資訊會更完整。

公司介紹:https://www.maxmind.com/en/home?pkit_lang=en
GeoIP產品介紹:http://dev.maxmind.com/geoip/
資料下載:http://dev.maxmind.com/geoip/legacy/geolite/

GeoLite Legacy Downloadable Databases
CityData: http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
CountryData:http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
ASNData:http://download.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz

相關授權與說明:
https://www.maxmind.com/en/geoip2-databases


安裝說明

1、如果你的Wireshark版本太舊時,會無法支援,請先檢查Wireshark是否支援GeoIP,如果太舊時,請重新至Wireshark官網進行下載。

       1-1 開啟Wireshark後,點選Help -> About Wireshark



2、請先在下列的位置上建立資料夾。

C:\Program Files\Wireshark\etc\GeoLite

3、請先分別下載下列的三個資料集,到上述的位置中。

CityData: http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
CountryData:http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
ASNData:http://download.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz


4、下載後請分別將下載的檔案解壓縮後統一放置在GeoLite的目錄下,如下列所示。



5、開啟Wireshark -> Edit -> Preferences ->Name Resolution -> GeoIP database directories -> Edit


6、請將資料庫的位置指定到步驟一的資料夾位置,如下圖所示。


7、設定完成後,請先關閉並重新啟動Wireshark。

8、再次開啟時,你可以嘗試收集如開啟一個網站或Ping某一個Domain Name,然後再進行停止,如下列的圖示即可秀出IP的進階資訊。


9、如果你想要停用此功能的話,你可以透過下列的方式進行停用(啟用)。


透過上述的介紹,我們可以在分析封包的過程中同時進行IP的解析,相信對大家有小小的幫助,後續我會再同時收集Wireshark的案例再與大家分享。

關鍵字:Wireshark、GeoIP