VMware Workstation 部署企业级 AD 域、DNS、DHCP 系统操作指南

**一、主机环境规划** * * * **1. 虚拟机配置表** | | | | | | | | | | --- | --- | --- | --- | --- | --- | --- | --- | | **主机角色** | **操作系统** | **IP 地址** | **子网掩码** | **DNS** | **内存** | **硬盘** | **网络模式** | | **域控制器 (DC)** | Windows Server 2022 | 192.168.1.10 | 255.255.255.0 | 192.168.1.10 | 4GB | 系统盘：60GB | NAT/桥接 | | **DHCP 服务器** | Windows Server 2022 | 192.168.1.20 | 255.255.255.0 | 192.168.1.10 | 2GB | 系统盘：50GB | NAT/桥接 | | **客户端测试机** | Windows 10/11 企业版 | DHCP 分配 | 255.255.255.0 | 192.168.1.10 | 2GB | 系统盘：40GB | NAT/桥接 | * * * **2. 软件版本** - **VMware Workstation**: 17.x - **Windows Server 2022**: 内置 AD、DNS、DHCP 角色 - **Windows 10/11 企业版**: 21H2 或更高 * * * **二、部署步骤** * * * **1. 创建虚拟机** 1. **域控制器 (DC)** - 新建虚拟机 → 选择 Windows Server 2022 ISO - 分配内存 **4GB**，硬盘 **60GB**（动态分配，NTFS） - 网络模式选择 **NAT** 或 **桥接** 2. **DHCP 服务器** - 新建虚拟机 → 选择 Windows Server 2022 ISO - 分配内存 **2GB**，硬盘 **50GB** - 网络模式与 DC 一致 3. **客户端测试机** - 新建虚拟机 → 选择 Windows 10/11 ISO - 分配内存 **2GB**，硬盘 **40GB** * * * **2. 安装操作系统** 1. **域控制器 (DC)** - 安装时选择 **“** **带 GUI 的服务器”** - 设置计算机名：DC01，管理员密码：Admin@DC123 - 配置静态 IP： powershell New-NetIPAddress -InterfaceAlias "Ethernet0" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1 Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" -ServerAddresses 192.168.1.10 1. **DHCP 服务器** - 计算机名：DHCP01，管理员密码：Admin@DHCP123 - 配置静态 IP： powershell New-NetIPAddress -InterfaceAlias "Ethernet0" -IPAddress 192.168.1.20 -PrefixLength 24 -DefaultGateway 192.168.1.1 Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" -ServerAddresses 192.168.1.10 * * * **3. 部署 Active Directory 域服务 (AD DS)** 1. **安装 AD 域服务与 DNS** powershell *# 安装 AD 域服务和 DNS* Install-WindowsFeature AD-Domain-Services, DNS -IncludeManagementTools *# 提升为域控制器并创建新林* Install-ADDSForest -DomainName "corp.example.com" -DomainNetbiosName "CORP" -InstallDNS -Force 1. **验证 DNS 记录** powershell *# 检查 DNS 正向解析区域* Get-DnsServerZone -Name "corp.example.com" *# 测试域名解析* nslookup dc01.corp.example.com 192.168.1.10 * * * **4. 部署 DHCP 服务器** 1. **安装 DHCP 角色** powershell Install-WindowsFeature DHCP -IncludeManagementTools 1. **创建 DHCP 作用域** powershell *# 添加作用域* Add-DhcpServerV4Scope -Name "MainScope" -StartRange 192.168.1.100 -EndRange 192.168.1.200 -SubnetMask 255.255.255.0 *# 配置选项* Set-DhcpServerv4OptionValue -DnsServer 192.168.1.10 -Router 192.168.1.1 1. **授权 DHCP 服务器** powershell Add-DhcpServerInDC -DnsName "dhcp01.corp.example.com" -IPAddress 192.168.1.20 * * * **5. 客户端加入域并测试** 1. **客户端配置** - 设置网络为 DHCP 自动获取 - 加入域： powershell Add-Computer -DomainName "corp.example.com" -Credential (Get-Credential CORP\Administrator) -Restart 1. **验证 DHCP 分配** powershell *# 查看客户端 IP 配置* ipconfig /all *# 测试 DNS 解析* ping dc01.corp.example.com * * * **三、日常运维操作** * * * **1. AD 域管理** 1. **用户与组管理** powershell *# 创建用户* New-ADUser -Name "John.Doe" -SamAccountName "johndoe" -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) -Enabled $true *# 创建组并添加成员* New-ADGroup -Name "IT\_Admins" -GroupScope Global Add-ADGroupMember -Identity "IT\_Admins" -Members "johndoe" 1. **组策略管理 (GPO)** - 打开 gpmc.msc，创建策略（如 **“** **密码复杂度策略”**） - 强制刷新策略： cmd gpupdate /force * * * **2. DNS 管理** 1. **记录维护** powershell *# 添加 A 记录* Add-DnsServerResourceRecordA -Name "webserver" -ZoneName "corp.example.com" -IPv4Address 192.168.1.50 *# 清理过期记录* Clear-DnsServerCache -Force 1. **日志监控** - 事件查看器路径： 应用程序和服务日志 → Microsoft → Windows → DNS-Server * * * **3. DHCP 管理** 1. **作用域监控** powershell *# 查看地址池使用情况* Get-DhcpServerv4ScopeStatistics -ScopeId 192.168.1.0 *# 释放过期租约* Remove-DhcpServerv4Lease -IPAddress 192.168.1.101 1. **备份与恢复配置** powershell *# 导出 DHCP 配置* Export-DhcpServer -File "C:\DHCP\_Backup.xml" -Leases *# 恢复配置* Import-DhcpServer -File "C:\DHCP\_Backup.xml" -BackupPath "C:\DHCP\_Backup" * * * **4. 数据备份与恢复** 1. **AD 域备份** powershell *# 使用 WindowsServer Backup* Install-WindowsFeature Windows-Server-Backup wbadmin start systemstatebackup -backupTarget:E: 1. **系统状态恢复** - 进入 **WinRE** **恢复环境**，选择系统映像恢复。 * * * **5. 服务器监控** 1. **性能计数器** powershell *# 监控 CPU/内存* Get-Counter -Counter "\Processor(\_Total)\% Processor Time", "\Memory\Available MBytes" *# 监控 AD 复制状态* repadmin /showrepl 1. **第三方监控工具** - **Zabbix** 或 **PRTG**：配置 SNMP 监控 AD、DNS、DHCP 服务状态。 - 关键指标： - AD：LDAP 响应时间、NTLM 认证次数 - DNS：查询响应时间、缓存命中率 - DHCP：地址池使用率、租约错误数 * * * **四、协同工作机制** * * * **1. 跨服务依赖** - **DNS 与 AD 集成**：确保所有域成员 DNS 指向 DC（192.168.1.10）。 - **DHCP 与 DNS 联动**：配置 DHCP 自动注册客户端 DNS 记录。 **2. 自动化脚本** 1. **每日健康检查** powershell *# 检查 AD 复制状态* repadmin /replsummary *# 检查 DNS 服务* Get-Service DNS *# 检查 DHCP 作用域* Get-DhcpServerv4ScopeStatistics 1. **日志聚合** - 使用 **ELK Stack** 或 **Splunk** 集中分析 AD、DNS、DHCP 日志。 * * * **五、注意事项** * * * **1. 安全加固** - **AD 安全**：启用 LAPS（本地管理员密码解决方案）。 - **防火墙规则**：仅开放必要端口（如 LDAP 389、DNS 53、DHCP 67/68）。 **2. 故障排查** | | | | | | | | | | --- | --- | --- | --- | --- | --- | --- | --- | | **问题现象** | **排查命令** | **修复步骤** | | 客户端无法加入域 | Test-ComputerSecureChannel -Repair | 检查 DNS 解析和网络连通性 | | DHCP 地址池耗尽 | Get-DhcpServerv4ScopeStatistics | 扩展作用域范围或缩短租约时间 | | DNS 解析失败 | Resolve-DnsName dc01.corp.example.com | 检查 DNS 记录和服务器状态 | * * * **3. 维护周期** - **每日**：检查服务状态和日志。 - **每周**：清理 DNS 缓存和 DHCP 过期租约。 - **每月**：执行完整系统备份并验证恢复流程。 * * *