一���、主機(jī)環(huán)境規(guī)劃
1. 虛擬機(jī)配置表
主機(jī)角色 | 操作系統(tǒng) | IP 地址 | 子網(wǎng)掩碼 | DNS | 內(nèi)存 | 硬盤 | 網(wǎng)絡(luò)模式 |
域控制器 (DC) | Windows Server 2022 | 192.168.1.10 | 255.255.255.0 | 192.168.1.10 | 4GB | 系統(tǒng)盤:60GB | NAT/橋接 |
DHCP 服務(wù)器 | Windows Server 2022 | 192.168.1.20 | 255.255.255.0 | 192.168.1.10 | 2GB | 系統(tǒng)盤:50GB | NAT/橋接 |
客戶端測試機(jī) | Windows 10/11 企業(yè)版 | DHCP 分配 | 255.255.255.0 | 192.168.1.10 | 2GB | 系統(tǒng)盤:40GB | NAT/橋接 |
2. 軟件版本
- VMware Workstation: 17.x
- Windows Server 2022: 內(nèi)置 AD�、DNS、DHCP 角色
- Windows 10/11 企業(yè)版: 21H2 或更高
二�、部署步驟
1. 創(chuàng)建虛擬機(jī)
- 域控制器 (DC)
- 新建虛擬機(jī) → 選擇 Windows Server 2022 ISO
- 分配內(nèi)存 4GB����,硬盤 60GB(動態(tài)分配�����,NTFS)
- 網(wǎng)絡(luò)模式選擇 NAT 或 橋接
- DHCP 服務(wù)器
- 新建虛擬機(jī) → 選擇 Windows Server 2022 ISO
- 分配內(nèi)存 2GB���,硬盤 50GB
- 網(wǎng)絡(luò)模式與 DC 一致
- 客戶端測試機(jī)
- 新建虛擬機(jī) → 選擇 Windows 10/11 ISO
- 分配內(nèi)存 2GB�,硬盤 40GB
2. 安裝操作系統(tǒng)
- 域控制器 (DC)
- 安裝時選擇 “帶 GUI 的服務(wù)器”
- 設(shè)置計算機(jī)名:DC01,管理員密碼:Admin@DC123
- 配置靜態(tài) IP:
powershell
New-NetIPAddress -InterfaceAlias "Ethernet0" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" -ServerAddresses 192.168.1.10
- DHCP 服務(wù)器
- 計算機(jī)名:DHCP01���,管理員密碼:Admin@DHCP123
- 配置靜態(tài) IP:
powershell
New-NetIPAddress -InterfaceAlias "Ethernet0" -IPAddress 192.168.1.20 -PrefixLength 24 -DefaultGateway 192.168.1.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" -ServerAddresses 192.168.1.10
3. 部署 Active Directory 域服務(wù) (AD DS)
- 安裝 AD 域服務(wù)與 DNS
powershell
# 安裝 AD 域服務(wù)和 DNS
Install-WindowsFeature AD-Domain-Services, DNS -IncludeManagementTools
# 提升為域控制器并創(chuàng)建新林
Install-ADDSForest -DomainName "corp.example.com" -DomainNetbiosName "CORP" -InstallDNS -Force
- 驗(yàn)證 DNS 記錄
powershell
# 檢查 DNS 正向解析區(qū)域
Get-DnsServerZone -Name "corp.example.com"
# 測試域名解析
nslookup dc01.corp.example.com 192.168.1.10
4. 部署 DHCP 服務(wù)器
- 安裝 DHCP 角色
powershell
Install-WindowsFeature DHCP -IncludeManagementTools
- 創(chuàng)建 DHCP 作用域
powershell
# 添加作用域
Add-DhcpServerV4Scope -Name "MainScope" -StartRange 192.168.1.100 -EndRange 192.168.1.200 -SubnetMask 255.255.255.0
# 配置選項(xiàng)
Set-DhcpServerv4OptionValue -DnsServer 192.168.1.10 -Router 192.168.1.1
- 授權(quán) DHCP 服務(wù)器
powershell
Add-DhcpServerInDC -DnsName "dhcp01.corp.example.com" -IPAddress 192.168.1.20
5. 客戶端加入域并測試
- 客戶端配置
- 設(shè)置網(wǎng)絡(luò)為 DHCP 自動獲取
- 加入域:
powershell
Add-Computer -DomainName "corp.example.com" -Credential (Get-Credential CORP\Administrator) -Restart
- 驗(yàn)證 DHCP 分配
powershell
# 查看客戶端 IP 配置
ipconfig /all
# 測試 DNS 解析
ping dc01.corp.example.com
三、日常運(yùn)維操作
1. AD 域管理
- 用戶與組管理
powershell
# 創(chuàng)建用戶
New-ADUser -Name "John.Doe" -SamAccountName "johndoe" -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) -Enabled $true
# 創(chuàng)建組并添加成員
New-ADGroup -Name "IT_Admins" -GroupScope Global
Add-ADGroupMember -Identity "IT_Admins" -Members "johndoe"
- 組策略管理 (GPO)
- 打開 gpmc.msc,創(chuàng)建策略(如 “密碼復(fù)雜度策略”)
- 強(qiáng)制刷新策略:
cmd
gpupdate /force
2. DNS 管理
- 記錄維護(hù)
powershell
# 添加 A 記錄
Add-DnsServerResourceRecordA -Name "webserver" -ZoneName "corp.example.com" -IPv4Address 192.168.1.50
# 清理過期記錄
Clear-DnsServerCache -Force
- 日志監(jiān)控
- 事件查看器路徑:
應(yīng)用程序和服務(wù)日志 → Microsoft → Windows → DNS-Server
3. DHCP 管理
- 作用域監(jiān)控
powershell
# 查看地址池使用情況
Get-DhcpServerv4ScopeStatistics -ScopeId 192.168.1.0
# 釋放過期租約
Remove-DhcpServerv4Lease -IPAddress 192.168.1.101
- 備份與恢復(fù)配置
powershell
# 導(dǎo)出 DHCP 配置
Export-DhcpServer -File "C:\DHCP_Backup.xml" -Leases
# 恢復(fù)配置
Import-DhcpServer -File "C:\DHCP_Backup.xml" -BackupPath "C:\DHCP_Backup"
4. 數(shù)據(jù)備份與恢復(fù)
- AD 域備份
powershell
# 使用 Windows Server Backup
Install-WindowsFeature Windows-Server-Backup
wbadmin start systemstatebackup -backupTarget:E:
- 系統(tǒng)狀態(tài)恢復(fù)
- 進(jìn)入 WinRE 恢復(fù)環(huán)境,選擇系統(tǒng)映像恢復(fù)。
5. 服務(wù)器監(jiān)控
- 性能計數(shù)器
powershell
# 監(jiān)控 CPU/內(nèi)存
Get-Counter -Counter "\Processor(_Total)\% Processor Time", "\Memory\Available MBytes"
# 監(jiān)控 AD 復(fù)制狀態(tài)
repadmin /showrepl
- 第三方監(jiān)控工具
- Zabbix 或 PRTG:配置 SNMP 監(jiān)控 AD��、DNS��、DHCP 服務(wù)狀態(tài)。
- 關(guān)鍵指標(biāo):
- AD:LDAP 響應(yīng)時間、NTLM 認(rèn)證次數(shù)
- DNS:查詢響應(yīng)時間、緩存命中率
- DHCP:地址池使用率�����、租約錯誤數(shù)
四��、協(xié)同工作機(jī)制
1. 跨服務(wù)依賴
- DNS 與 AD 集成:確保所有域成員 DNS 指向 DC(192.168.1.10)���。
- DHCP 與 DNS 聯(lián)動:配置 DHCP 自動注冊客戶端 DNS 記錄��。
2. 自動化腳本
- 每日健康檢查
powershell
# 檢查 AD 復(fù)制狀態(tài)
repadmin /replsummary
# 檢查 DNS 服務(wù)
Get-Service DNS
# 檢查 DHCP 作用域
Get-DhcpServerv4ScopeStatistics
- 日志聚合
- 使用 ELK Stack 或 Splunk 集中分析 AD、DNS�����、DHCP 日志���。
五���、注意事項(xiàng)
1. 安全加固
- AD 安全:啟用 LAPS(本地管理員密碼解決方案)���。
- 防火墻規(guī)則:僅開放必要端口(如 LDAP 389���、DNS 53���、DHCP 67/68)�����。
2. 故障排查
問題現(xiàn)象 | 排查命令 | 修復(fù)步驟 |
客戶端無法加入域 | Test-ComputerSecureChannel -Repair | 檢查 DNS 解析和網(wǎng)絡(luò)連通性 |
DHCP 地址池耗盡 | Get-DhcpServerv4ScopeStatistics | 擴(kuò)展作用域范圍或縮短租約時間 |
DNS 解析失敗 | Resolve-DnsName dc01.corp.example.com | 檢查 DNS 記錄和服務(wù)器狀態(tài) |
3. 維護(hù)周期
- 每日:檢查服務(wù)狀態(tài)和日志����。
- 每周:清理 DNS 緩存和 DHCP 過期租約����。
- 每月:執(zhí)行完整系統(tǒng)備份并驗(yàn)證恢復(fù)流程。
轉(zhuǎn)自https://www.cnblogs.com/Johny-zhao/p/18890099
該文章在 2025/6/3 10:33:39 編輯過
400 186 1886
