2.Windows Server 2022 域控（AD）服务器与域名（DNS）服务器综合教程

Windows Server 2022 域控（AD）服务器与域名（DNS）服务器综合教程

点击查看视频

一、某集团公司杭州总部需建立集团域控和辅DNS

​ 1）Windows Server A名为windows1：10.10.10.1/24，Windows Server B名为windows2：10.10.10.2/24；2）windows2为主域控，域名为wxj.com；3）windows1为辅DNS；4）准备工作：网络为关闭DHCP的NAT模式，网段10.10.10.0/24；5）涉及所有密码为qz123***

1.主机B-计算机名windows2安装域控

主机B计算机名更改为windows2；IP地址手动设置为10.10.10.2/24，能ping通网关10.10.10.254；DNS为10.10.10.2；防火墙暂时全关闭，以后再部署域策略

（1）主机B安装DC角色功能（AD和DNS集成）

（2）提升为域控

（3）添加新林和域名

（4）安装域名（DNS）服务器和输入密码

（5）安装完成自动重启系统，windows2设置DNS为10.10.10.2和10.10.10.1

（6）windows2新建DNS反向只允许安全更新区域

（7）windows2建正反向主区域（过和略），DNS正向勾选更新相关的指针（PTR）记录自动更新反向记录

（8）windows2更新DNS正反向起始授权机构

（9）windows2更新DNS反向名称服务器

（10）windows2更改DNS为10.10.10.1和10.10.10.2，关闭域防火墙

略

2.主机A-计算机名windows1安装DNS服务

主机A计算机名更改为windows1；IP地址手动设置为10.10.10.1/24，能ping通网关10.10.10.254；DNS为10.10.10.2和10.10.10.1；防火墙暂时全关闭，以后再部署域策略

（1）主机A安装DNS角色功能

（2）配置DNS，新建正向辅助区域wxj.com

（3）配置DNS，新建反向辅助区域10.10.10

（4）windows2正向区域传送到windows1

（5）windows2反向区域传送到windows1

（6）windows1大概10多秒后可刷新，接收到正反向记录

（7）windows1关闭域防火墙，更改DNS为10.10.10.1和10.10.10.2

略

二、集团因业务需要，将windows2主域控迁移到windows1，用于备份冗余

1.windows1加入wxj.com域

2.重启后用域最高管理员登录

3.windows1安装域控

4.提升为辅域控

（1）点击提升

（2）查看域名信息

（3）输入密码

（4）选择从windows2主DC复制，无选项重启windows1重新提升

（5）重启后，DNS已升级，设置windows1正向区域传送到windows2

（6）设置windows1反向区域传送到windows2

（7）设置windows1反向区域名称服务器

（8）设置windows1反向区域名称服务器

（9）服务中重启DNS服务，最好系统重启

（10）在windows1或windows2中测试域名解析

（11）用命令 netdom query fsmo 查看域控FSMO五大角色信息，主域控为windows2

（12）在windows1上，用命令将域控FSMO五大角色从windows2迁移到windows1

ntdsutil #打开域控管理工具
? #查看可用管理命令
roles #管理 NTDS 角色所有者令牌

? #查看roles可用命令
connections #启用连接AD实例
? #查看连接可用命令

connect to server windows1 #连接到windows1主机
quit #返回上一层

? #查看可用管理命令
Transfer infrastructure master #将已连接的主机定为结构主机
Transfer naming master #成为命名主机
Transfer PDC #定为主控域角色PDC
Transfer RID master #定为RID主机
Transfer schema master #定为架构主机
quit #退出管理
quit #退出ntdsutil工具

（13）在windows1上，打开AD站点和服务，打开windows1属性，常规中设为全局编录（此例默认，不用更改）

（14）打开windows2属性，去勾更改WINDOWS2为非全局编录，重启后windows2会自动更改

（15）再用命令netdom query fsmo检查，windows1已变为主域控

（16）重启服务，最好重启windows1和windows2应用以上配置，两台都可改为10.10.10.1和10.10.10.2

略

三、在 Windows1和 Windows2中完成链路聚合的部署

1）各添加一块网卡，Windows1两个物理网卡的IP改为10.10.10.21/24和10.10.10.31/24，Windows2两个物理网卡的IP改为10.10.10.22/24和10.10.10.32/24；2）Windows1组名为“AggNic1”，Windows2组名为“AggNic2”；3）成组模式为“静态成组”，负载均衡模式为“地址哈希”；4）AggNic1的IP改为10.10.10.1/24，AggNic2的IP为10.10.10.2/24，为主域和辅助域之间的传输提升速度；5）云平台增加vlan不同网段，两张心跳网卡的IP地址网段可不同

1.Windows1添加一块网卡，设置好IP

（1）添加网卡

（2）网卡0改IP

（3）网卡1改IP

2.Windows1启用NIC组合

3.Windows1配置NIC属性

Windows1组名为“AggNic1”，虚拟机只能使用交换机独立和地址哈希，云平台尝试按题目要求配置（注意物理网卡的IPv6地址是否需要关闭），其中一块网卡过10秒左右会启用

4.配置AggNic1组IP地址

5.Windows2配置类似（省略）

Windows2组名为“AggNic2”

6.重启Windows1和Windows2测试DNS

若DNS中多出10.10.10.21这些记录，要删除，只留10.10.10.1和10.10.10.2的记录

7.计算机名为windows3：10.10.10.3/24，网关为10.10.10.254，DNS为10.10.10.1和10.10.10.2；2）网络为NAT；3）加入wxj.com，用wxj\\administrator登录

与windows1加入wxj.com域相同，过程略

8.主机D，计算机名为windows4：10.10.10.4/24，网关为10.10.10.254，DNS为10.10.10.1和10.10.10.2；2）网络为NAT；3）加入wxj.com，用wxj\\administrator登录

与windows1加入wxj.com域相同，过程略

四、在Windows Server E（Windows5）建集团衢州分部委派子域控qz.wxj.com

采用域控DC和域服DNS集成： ​ 1）Windows Server E名为windows5：20.20.20.1/24，网关为20.20.20.254；2）网络为Host-Only仅主机模式；3）VMware中NAT与Host-Only子网属于不同IP段时（此例10.10.10.0/24与20.20.20.0/24），宿主机需通过IP转发和路由规则实现跨子网通信

reg add HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters /v IPEnableRouter /t REG_DWORD /d 1 #以管理员权限运行CMD命令，开启IP路由功能
sc config RemoteAccess start= auto #自动启动路由服务
net start RemoteAccess #启动路由服务
route add 20.20.20.0 mask 255.255.255.0 10.10.10.254 #若NAT子网为10.10.10.0/24，Host-Only子网为20.20.20.0/24，需在宿主机添加路由规则，NAT网关为10.10.10.254
ping 10.10.10.1 #子网Host-Only中主机ping子网NAT中主机
ping 20.20.20.1 #子网NAT中主机ping子网Host-Only中主机，要关闭防火墙

4）宿主机关闭上述功能

reg add HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters /v IPEnableRouter /t REG_DWORD /d 0 #以管理员权限运行CMD命令，关闭IP路由功能，重启生效
net stop RemoteAccess #关闭路由服务
sc config RemoteAccess start= disabled
route print #显示路由
route print 20.20.2* #显示单条路由
route delete 20.20.20.0 mask 255.255.255.0 #删除单条路由
route delete 0.0.0.0 #删除默认路由

​ 5）若使用云平台，可增加vlan网段，用三层交换机实现

1.windows5加入域，安装提升为域控

windows5的DNS为主20.20.20.1和辅10.10.10.1（注意此处要装子域的主DNS，主一定要设为自己的IP20.20.20.1，辅设为10.10.10.1使能自动委派过来），加入域wxj.com后用域最高管理员登录

2.输入子域相关信息

3.创建DNS服务器，输入密码

4.自动重启后，查看windows5的DNS正向区域，新建林中域控制器反向主要区域

5.填入网段

6.从正向更新反向指针记录

7.反向设置起始授权机构和名称服务器

8.windows1和windows5重启后查看windows1正反向

9.反向20.20.20.in-addr.arpa设置windows1起始授权机构和名称服务器

10.在windows5的CMD中测试

DNS改为20.20.20.1和10.10.10.1，若出现UNKNOW ::1提示，网卡中把IPv6勾除，只留IPv4

11.在windows1的CMD中测试

12.主机E，计算机名为windows5，用qz\\administrator登录

略

13.主机F：计算机名为windows6，IP为20.20.20.2/24，网关为20.20.20.254，DNS为20.20.20.1；2）网络为Host-Only仅主机模式；3）用qz\\administrator登录并加入qz.wxj.com域

（1）主机F设置好主机名和网络等

（2）用qz\\administrator加入qz.wxj.com域，若不能用此帐户加入，需在主控windows1设置qz\\administrator有加入域树的权限

为方便后续操作，这里也可以用“创建自定义任务”选项设置所有任务都委派

（3）用qz\\administrator加入域，并用qz\\administrator登陆

（4）在windows6测试

五、集团上海分部建立域控为wzl.com，做为上海分部的主控

采用域控DC和域服DNS集成 ​ 1）Windows Server G名为windows7：30.30.30.1/24，网关为30.30.30.254；2）网络为自定义VMnet0（仅主机模式）；3）VMware中NAT与自定义VMnet0子网属于不同IP段时（此例10.10.10.0/24与30.30.30.0/24），宿主机需通过IP转发和路由规则实现跨子网通信

route add 30.30.30.0 mask 255.255.255.0 10.10.10.254 #若NAT子网为10.10.10.0/24，自定义VMnet0子网为30.30.30.0/24，需在宿主机添加路由规则，NAT网关为10.10.10.254
ping 10.10.10.1 #子网自定义VMnet0中主机ping子网NAT中主机
ping 30.30.30.1 #子网NAT中主机ping子网自定义VMnet0中主机，要关闭防火墙

1.windows1做二个准备

（1）DNS设置反向为复制此林中所有DNS服务器，使wzl.com建成后DNS中有此反向区域

（2）DNS设置条件转发器到windows7的wzl.com，设置后windows1重启

2.windows7安装提升为域控

windows7的DNS为30.30.30.1和10.10.10.1，加入wxj.com域，用域最高管理员登录

（1）安装域服务

（2）提升为域控

（3）为林中的树域

（4）无法创建委派可不用理会

（5）自动重启后，新建林中主要反向区域30.30.30（建立中出现错误提示可不用理会）并从正向更新反向记录和名称服务器等

（6）去IPv6，DNS设为30.30.30.1和10.10.10.1，测试

（7）在windows1测试

（8）在主机G（windows1）的AD用户和计算机中建委派wzl\\administrator拥有所有权限，重启windows7并用wzl\\administrator登录

略

六、上海分部建子域控sh.wzl.com（不用委派方法）

1.在windows7正向新建域

2.输入子域名

3.查看已创建，待后续操作

4.主机H：1）计算机名为windows8，IP为30.30.30.2/24，网关为30.30.30.254，DNS为30.30.30.1；2）网络为自定义VMnet0（仅主机模式）；3）用wzl\\administrator加入wzl.com并登录

略，若加不了域用类似windows6加域方法

5.windows8安装sh.wzl.com主域控

（1）安装域控

略

（2）提升为子域sh主域控（集成DNS）

（3）出现错误提示如下

（4）需要在windows1把wzl\\administrator加入到Enterprise Admins 组

（5）注意上步骤设置好后，所涉及的主机A、主机G和主机H要重启，后续安装过程

略

（6）更改windows8的DNS：30.30.30.2和30.30.30.1后测试

（7）作业：1）主机 I 计算机名为windows9，IP为30.30.30.3/24，网关为30.30.30.254，DNS为30.30.30.2；2）网络为自定义VMnet0（仅主机模式）；3）用sh\\administrator加入sh.wzl.com并登录；4）在windows9测试上步骤中的所有域名是否正常？

七、域控内网页测试

1.windows8安装IIS网页服务器，更改默认网站首页文件为index.html，文件内容为“www.sh.wzl.com”；在windows8的DNS中添加www.sh.wzl.com新记录；在windows9中（windows9的DNS只指向30.30.30.2）访问www.sh.wzl.com

2.windows7安装IIS网页服务器，更改默认网站首页文件为index.html，文件内容为“www.wzl.com”；在windows7的DNS中添加www.wzl.com新记录；在windows9中（windows9的DNS只指向30.30.30.2）访问www.wzl.com

3.windows5安装IIS网页服务器，更改默认网站首页文件为index.html，文件内容为“www.qz.wxj.com”；在windows5的DNS中添加www.qz.wxj.com新记录；在windows9中（windows9的DNS只指向30.30.30.2）访问www.qz.wxj.com

4.windows1安装IIS网页服务器，更改默认网站首页文件为index.html，文件内容为“www.wxj.com”；在windows1的DNS中添加www.wxj.com新记录；在windows9中（windows9的DNS只指向30.30.30.2）访问www.wxj.com

5.在windows6中（windows6的DNS只指向20.20.20.1）访问上面四个网站

八、域中主机访问外网，建模拟ISP商DNS主机

1）Windows Server D名为ISP：40.40.40.1/24,网关：40.40.40.254，DNS为40.40.40.1；2）网络为关闭DHCP的VMnet4，网段40.40.40.0/24；3）涉及所有密码为qz123***

1.添加新网络VMnet4和修改宿主机网关

2.Windows Server D设置主机名ISP、IP地址等

route add 40.40.40.0 mask 255.255.255.0 10.10.10.254

3.主机ISP安装DNS服务器和WEB服务器

主机ISP安装IIS网页服务器，更改默认网站首页文件为index.html，文件内容为“www.baidu.com”；安装DNS服务器,建正反主区域baidu.com，在DNS中添加www.baidu.com新记录；过程省略

4.在windows1的DNS中配置转发器，需等待FQDN解析成功

5.测试访问外网www.baidu.com

在windows9或域中任何主机（windows9的DNS只指向30.30.30.2）访问www.baidu.com，过程省略

6.Windows Server C 设置主机名QQ、IP地址等

7.主机QQ安装WEB服务器

主机QQ安装IIS网页服务器，更改默认网站首页文件为index.html，文件内容为“www.qq.com”，过程省略

8.在主机ISP中建正反主区域qq.com，添加www.qq.com新记录

9.测试访问外网www.qq.com

在windows9或域中任何主机（windows9的DNS只指向30.30.30.2）访问www.qq.com，过程省略