一、主機環境規劃

1. 虛擬機配置表

2. 軟件版本

• VMware Workstation: 17.x
• Windows Server 2022: 內置 AD、DNS、DHCP 角色
• Windows 10/11 企業版: 21H2 或更高

二、部署步驟

1. 創建虛擬機

1. 域控制器 (DC)
• 新建虛擬機 → 選擇 Windows Server 2022 ISO
• 分配內存 4GB，硬盤 60GB（動態分配，NTFS）
• 網絡模式選擇 NAT 或 橋接
2. DHCP 服務器
• 新建虛擬機 → 選擇 Windows Server 2022 ISO
• 分配內存 2GB，硬盤 50GB
• 網絡模式與 DC 一致
3. 客户端測試機
• 新建虛擬機 → 選擇 Windows 10/11 ISO
• 分配內存 2GB，硬盤 40GB

2. 安裝操作系統

1. 域控制器 (DC)
• 安裝時選擇 “帶 GUI 的服務器”
• 設置計算機名：DC01，管理員密碼：Admin@DC123
• 配置靜態 IP：

powershell

New-NetIPAddress -InterfaceAlias "Ethernet0" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1

Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" -ServerAddresses 192.168.1.10

2. DHCP 服務器
• 計算機名：DHCP01，管理員密碼：Admin@DHCP123
• 配置靜態 IP：

powershell

New-NetIPAddress -InterfaceAlias "Ethernet0" -IPAddress 192.168.1.20 -PrefixLength 24 -DefaultGateway 192.168.1.1

Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" -ServerAddresses 192.168.1.10

3. 部署 Active Directory 域服務 (AD DS)

1. 安裝 AD 域服務與 DNS

powershell

# 安裝 AD 域服務和 DNS

Install-WindowsFeature AD-Domain-Services, DNS -IncludeManagementTools

# 提升為域控制器並創建新林

Install-ADDSForest -DomainName "corp.example.com" -DomainNetbiosName "CORP" -InstallDNS -Force

2. 驗證 DNS 記錄

powershell

# 檢查 DNS 正向解析區域

Get-DnsServerZone -Name "corp.example.com"

# 測試域名解析

nslookup dc01.corp.example.com 192.168.1.10

4. 部署 DHCP 服務器

1. 安裝 DHCP 角色

powershell

Install-WindowsFeature DHCP -IncludeManagementTools

2. 創建 DHCP 作用域

powershell

# 添加作用域

Add-DhcpServerV4Scope -Name "MainScope" -StartRange 192.168.1.100 -EndRange 192.168.1.200 -SubnetMask 255.255.255.0

# 配置選項

Set-DhcpServerv4OptionValue -DnsServer 192.168.1.10 -Router 192.168.1.1

3. 授權 DHCP 服務器

powershell

Add-DhcpServerInDC -DnsName "dhcp01.corp.example.com" -IPAddress 192.168.1.20

5. 客户端加入域並測試

1. 客户端配置
• 設置網絡為 DHCP 自動獲取
• 加入域：

powershell

Add-Computer -DomainName "corp.example.com" -Credential (Get-Credential CORP\Administrator) -Restart

2. 驗證 DHCP 分配

powershell

# 查看客户端 IP 配置

ipconfig /all

# 測試 DNS 解析

ping dc01.corp.example.com

三、日常運維操作

1. AD 域管理

1. 用户與組管理

powershell

# 創建用户

New-ADUser -Name "John.Doe" -SamAccountName "johndoe" -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) -Enabled $true

# 創建組並添加成員

New-ADGroup -Name "IT_Admins" -GroupScope Global

Add-ADGroupMember -Identity "IT_Admins" -Members "johndoe"

2. 組策略管理 (GPO)
• 打開 gpmc.msc，創建策略（如 “密碼複雜度策略”）
• 強制刷新策略：

cmd

gpupdate /force

2. DNS 管理

1. 記錄維護

powershell

# 添加 A 記錄

Add-DnsServerResourceRecordA -Name "webserver" -ZoneName "corp.example.com" -IPv4Address 192.168.1.50

# 清理過期記錄

Clear-DnsServerCache -Force

2. 日誌監控
• 事件查看器路徑：
  應用程序和服務日誌 → Microsoft → Windows → DNS-Server

3. DHCP 管理

1. 作用域監控

powershell

# 查看地址池使用情況

Get-DhcpServerv4ScopeStatistics -ScopeId 192.168.1.0

# 釋放過期租約

Remove-DhcpServerv4Lease -IPAddress 192.168.1.101

2. 備份與恢復配置

powershell

# 導出 DHCP 配置

Export-DhcpServer -File "C:\DHCP_Backup.xml" -Leases

# 恢復配置

Import-DhcpServer -File "C:\DHCP_Backup.xml" -BackupPath "C:\DHCP_Backup"

4. 數據備份與恢復

1. AD 域備份

powershell

# 使用 Windows Server Backup

Install-WindowsFeature Windows-Server-Backup

wbadmin start systemstatebackup -backupTarget:E:

2. 系統狀態恢復
• 進入 WinRE 恢復環境，選擇系統映像恢復。

5. 服務器監控

1. 性能計數器

powershell

# 監控 CPU/內存

Get-Counter -Counter "\Processor(_Total)\% Processor Time", "\Memory\Available MBytes"

# 監控 AD 複製狀態

repadmin /showrepl

2. 第三方監控工具
• Zabbix 或 PRTG：配置 SNMP 監控 AD、DNS、DHCP 服務狀態。
• 關鍵指標：
• AD：LDAP 響應時間、NTLM 認證次數
• DNS：查詢響應時間、緩存命中率
• DHCP：地址池使用率、租約錯誤數

四、協同工作機制

1. 跨服務依賴

• DNS 與 AD 集成：確保所有域成員 DNS 指向 DC（192.168.1.10）。
• DHCP 與 DNS 聯動：配置 DHCP 自動註冊客户端 DNS 記錄。

2. 自動化腳本

1. 每日健康檢查

powershell

# 檢查 AD 複製狀態

repadmin /replsummary

# 檢查 DNS 服務

Get-Service DNS

# 檢查 DHCP 作用域

Get-DhcpServerv4ScopeStatistics

2. 日誌聚合
• 使用 ELK Stack 或 Splunk 集中分析 AD、DNS、DHCP 日誌。

五、注意事項

1. 安全加固

• AD 安全：啓用 LAPS（本地管理員密碼解決方案）。
• 防火牆規則：僅開放必要端口（如 LDAP 389、DNS 53、DHCP 67/68）。

2. 故障排查

3. 維護週期

• 每日：檢查服務狀態和日誌。
• 每週：清理 DNS 緩存和 DHCP 過期租約。
• 每月：執行完整系統備份並驗證恢復流程。