AD服务器部署

AD规划

部署AD域之前需要做一些规划<br>

1. 单域还是多域
2. 单站点还是多站点
3. 域名是内部域名还是外部域名
   • *.local
   • *.{com | net | cn | cc | ....}

   • 外部域名是为了后期可以使用外部证书

4. 几个域控制器
5. 主机的的位置

lab

我们来部署一个最小单位的域环境

• 单林，单域
• 两台域控制器
• 使用外部域名
• 主机都托管在初始域控制器上

基础信息：

1. ip: 172.16.10.10/24，172.16.10.11/24
2. 计算机名: DC1,DC2
3. 域名：myadlab.cc

搭建环境

vmware workstation 16 Windows Server 2022 SERVER STANDARD CORE Windows {10 | 11} pro 两台2022，一台{10 | 11}

1. 典型创建虚拟机
2. 把"创建后开启虚拟机"的勾去掉
3. 添加硬盘,立即分配空间
4. 把原来的磁盘删除
5. 修改新添加磁盘的接口，改成0-0
6. 开启虚拟机
7. 修改VMware的虚拟网络设置,不使用VM的DHCP，把网络地址修改为172.16.10.0

这样的创建磁盘性能会好很多，如果是随着使用增长扩大磁盘文件性能会差一些。现在使用远程管理很方便，而且Powershell的命令行已经很完善了。没有必要安装桌面版的Server系统了。

系统初始配置

如果是单网卡的话，可以执行下面的命令设置

1. 计算机名： Rename-Computer -NewName DC1 -Restart -Force
2. ip地址: Get-NetAdapter -Physical | New-NetIPAddress -IPAddress 172.16.10.10 -PrefixLength 24 -DefaultGateway 172.16.10.2
3. DNS: Get-NetAdapter -Physical | Set-DnsClientServerAddress -ServerAddresses 172.16.10.10,172.16.10.11
4. 防火墙配置文件: Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private

AD服务部署

配置Windows 10 pro IP: 172.16.10.100/24 172.16.10.2 DNS: 172.16.10.10,172.16.10.11 HOSTNAME: DESKTOP-001 防火墙配置文件: Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private 远程: winrm quickconfig;Set-Item WSMan:\localhost\Client\TrustedHosts -Value 172.16.10.* -Force

安装AD域服务： Install-WindowsFeature -Name 'AD-Domain-Services' -IncludeManagementTools<br> 安装AD林：Install-ADDSForest -DomainName myadlab.cc -InstallDns 安装域控制器: $Cred = Get-Credential -Credential myadlab\Administrator Install-ADDSDomainController -InstallDns -DomainName "myadlab.cc" DNS转发:Add-DnsServerForwarder -IPAddress 223.5.5.5,223.6.6.6 设置时间同步服务器: w32tm /config /manualpeerlist:"ntp.aliyun.com ntp1.aliyun.com ntp.tencent.com" /syncfromflags:manual /update

时间同步配置很重要，如果域控制器的时钟和实际不同步了，你会发现一切都完了。所有用户无法登录，大多数的网络服务都会出错误，数据库的数据也会出错，总而言之几乎所有的网络服务都依赖时钟。

使用icm或者Enter-PSSession远程连接都可以

注意

可以在Windows 10 上安装和使用远程管理工具的gui界面。

Get-WindowsCapability -online | ? name -like "Rsat*" | add-WindowsCapability -online <br> 没有使用脚本是因为在脚本中存储机密不太好，也没有使用'Microsoft.PowerShell.SecretManagement'是有些人可能不知道是什么东西。使用命令行配置服务器，因为可以很简洁。如果只是贴命令，大概十行不到就可以部署好一个域控制器。