如果一个重复的测试AD环境连接到生产中，它就会对它进行安全防范。

Question

这篇文章解释了将AD设置复制到孤立网络中的测试机器是多么简单的过程。显而易见的问题是，如果孤立的森林在物理上连接到生产，你就完蛋了。

我怎么才能安全地防范这一切？是否可以更改林根域名？如果与生产挂钩，这是否足以防止冲突？

Answer 1

The obvious issue is that if the isolated forest gets physically connected to production your screwed.

不仅仅是因为您将其连接到生产网络，还因为它将具有与生产DC相同的ip地址，生产域客户端将通过DNS找到它并尝试与其通信。所有DC通信都从DNS开始。域客户端通过查询DNS查找DC的SRV记录来查找DC。如果要更改测试域控制器的ip地址，那么生产域客户端将找不到它，也不会尝试与它通信。

现在，我并不是说把这个重复的DC连接到你的生产网络上是个好主意，即使你确实改变了ip地址，我只是澄清一下，在引擎盖下面没有“魔法”。如果生产客户端无法通过DNS找到这个DC，那么他们就无法与它通信。

Answer 2

在克隆域控制器以防止生产损坏时，Microsoft支持有一个最佳做法。我假设您的测试环境中有一个DC：

1. 打开管理命令提示符，为测试域控制器: netdom resetpwd /server: /userD:Administrator /passwordD:*重置计算机帐户密码(两次)
2. 如果存在林信任，请打开管理命令提示符以重置信任密码。如果没有广告信托，那么这可以跳过。请记住，对于任何子域，都需要对每个子域，以及从每个子域到根域执行。netdom信任/domain: /resetOneSide /passwordT: /userO:administrator /passwordO:*
3. 使用用户和计算机，查看“高级”，找到禁用的krbtgt帐户(默认情况下在“用户”容器中)。重新设置密码两次。使用复杂密码并取消复选框“用户必须在下次登录时更改密码”。由于帐户总是被禁用，因此不需要记录此密码的记录。但是，密码用于派生Kerberos密钥。

正如乔格沃蒂所述，要小心IP地址。此外，您还需要测试网络上的DNS服务器，只为测试服务。确保DC在该服务器上注册，而不是生产DNS。如果在使用中，您还需要考虑到胜利。

虽然我们没有连接到生产网络，但当我们执行模拟森林恢复时，上述过程是许多步骤的一部分。现在，当我们进行危险的AD更改时，我们会将虚拟机保持在专用网络上，等待紧急恢复。