1. 服务器规划
本系列全部教程基于以下统一实验环境,所有文章中的环境配置以此为准。
| 服务器 | 角色 | CPU | 内存 | 磁盘 | IP 地址 |
|---|---|---|---|---|---|
| DC01 | AD + DNS + KMS | 4 核 | 8 GB | 240 GB | 192.168.10.254 |
| DC02 | AD + DNS + DHCP | 4 核 | 8 GB | 240 GB | 192.168.10.253 |
| WDS01 | WDS + DHCP | 4 核 | 8 GB | 240 GB | 192.168.10.252 |
| WSUS01 | WSUS | 4 核 | 8 GB | 240 GB + 1 TB | 192.168.10.251 |
| FS01 | 文件服务器 + IIS | 4 核 | 8 GB | 240 GB + 1 TB | 192.168.10.250 |
| RDS01 | RDS | 8 核 | 16 GB | 240 GB + 500 GB | 192.168.10.249 |
💡 服务器命名规则
- DC01/DC02:Domain Controller(域控制器)
- WDS01:Windows Deployment Services(部署服务)
- WSUS01:Windows Server Update Services(更新服务)
- FS01:File Server(文件服务器)+ IIS
- RDS01:Remote Desktop Services(远程桌面服务)
2. 虚拟化平台配置
所有服务器部署在 VMware ESXi 8.0 虚拟化平台上。
2.1 物理服务器配置(Dell R720)
| 组件 | 配置 |
|---|---|
| 服务器型号 | Dell PowerEdge R720 |
| CPU | 2 × Intel Xeon E5-2660 v2(总计 20 核 40 线程) |
| 内存 | 128 GB DDR3 ECC(8 × 16 GB) |
| 存储 | 6 × Dell 10K 2.5" 1.2TB SAS HDD(RAID 5,可用容量约 6TB) |
| RAID 控制器 | PERC H710P(RAID 5) |
| 网卡 | 4 口 10G 网卡(Intel X520-DA2 或等效) |
| 虚拟化平台 | VMware ESXi 8.0 |
💡 硬件选型说明
- CPU:E5-2660 v2(2.2GHz,10 核 20 线程/颗)提供总计 20 核 40 线程,足够运行 6 台虚拟机
- 内存:128GB 内存可分配:DC01/02/WDS01/WSUS01/FS01 各 8GB(40GB)+ RDS01 16GB = 56GB,预留 72GB 给 ESXi 和系统开销
- 存储:6× 1.2TB SAS HDD 做 RAID5,可用容量约 6TB,足够存储虚拟机磁盘和 WSUS 更新仓库
- 网卡:4 口 10G 网卡可提供高带宽,适合虚拟机密集网络访问
2.2 ESXi 主机配置
| 项目 | 配置 |
|---|---|
| 虚拟化平台 | VMware ESXi 8.0 |
| 物理内存 | ≥ 32 GB(建议 64 GB) |
| 物理 CPU | ≥ 16 核(建议 24 核) |
| 存储空间 | ≥ 2 TB(SSD 或 NVMe) |
| 虚拟网络 | vSwitch0 → 物理网卡 → 192.168.10.0/24 |
2.2 虚拟机创建规范
PowerShell - 通过 PowerCLI 创建虚拟机
# 连接到 ESXi 主机
Connect-VIServer -Server "192.168.10.2" -User "root" -Password "your-password"
# 创建 DC01 虚拟机
New-VM -Name "DC01" `
-ResourcePool "Resources" `
-Datastore "datastore1" `
-MemoryGB 8 `
-NumCpu 4 `
-DiskGB 240 `
-NetworkName "VM Network" `
-GuestId "windowsServer2022Guest"
# 挂载 Windows Server 2022 ISO
Get-VM "DC01" | Get-CDDrive | Set-CDDrive -IsoPath "[datastore1] ISOs\WinServer2022.iso" -Connected $true
# 启动虚拟机
Start-VM "DC01"3. OU 组织架构规划
为模拟真实企业环境,在 iehang.cn 域中创建完整的 OU 组织架构。
3.1 OU 结构图
OU 结构
iehang.cn (域根)
├── IT信息部 (OU)
│ ├── Users (子OU)
│ ├── Computers (子OU)
│ └── Servers (子OU)
├── 财务部 (OU)
│ ├── Users (子OU)
│ └── Computers (子OU)
├── 人事部 (OU)
│ ├── Users (子OU)
│ └── Computers (子OU)
├── 销售部 (OU)
│ ├── Users (子OU)
│ └── Computers (子OU)
├── 生产部 (OU)
│ ├── Users (子OU)
│ └── Computers (子OU)
└── Servers (OU - 所有服务器计算机账户)
├── Domain Controllers (OU)
└── Member Servers (OU)3.2 部门与人员规划
| 部门 (OU) | 人员 | 用户名 | 职位 |
|---|---|---|---|
| IT信息部 | 孔德毅 | kongdeyi | IT 经理 |
| 财务部 | 张桂英 | zhangguiying | 财务主管 |
| 人事部 | 宋丹 | songdan | HR 经理 |
| 销售部 | 张雪 | zhangxue | 销售总监 |
| 生产部 | 石晓杰 | shixiaojie | 生产主管 |
3.3 安全组规划
| 组名 | 作用域 | 成员 |
|---|---|---|
| GG_IT_Admins | 全局 | kongdeyi |
| GG_Finance_Users | 全局 | zhangguiying |
| GG_HR_Users | 全局 | songdan |
| GG_Sales_Users | 全局 | zhangxue |
| GG_Production_Users | 全局 | shixiaojie |
4. 创建 OU 与用户脚本
以下 PowerShell 脚本在 DC01 上以域管理员身份运行,自动创建完整的 OU 结构和用户。
PowerShell - 创建 OU、用户、组
###########################################
# 实验环境 OU 与用户创建脚本
# 运行前提:已在 DC01 上安装 AD DS
# 运行身份:IEHANG\Administrator
###########################################
# 导入 ActiveDirectory 模块
Import-Module ActiveDirectory
# 1. 创建顶级 OU(5 个部门)
New-ADOrganizationalUnit -Name "IT信息部" -Path "DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
New-ADOrganizationalUnit -Name "财务部" -Path "DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
New-ADOrganizationalUnit -Name "人事部" -Path "DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
New-ADOrganizationalUnit -Name "销售部" -Path "DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
New-ADOrganizationalUnit -Name "生产部" -Path "DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
# 2. 创建子 OU(每个部门下创建 Users 和 Computers)
foreach ($ou in @("IT信息部","财务部","人事部","销售部","生产部")) {
New-ADOrganizationalUnit -Name "Users" -Path "OU=$ou,DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
New-ADOrganizationalUnit -Name "Computers" -Path "OU=$ou,DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
}
# 3. 创建 Servers OU(存放所有服务器计算机账户)
New-ADOrganizationalUnit -Name "Servers" -Path "DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
New-ADOrganizationalUnit -Name "Domain Controllers" -Path "OU=Servers,DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
New-ADOrganizationalUnit -Name "Member Servers" -Path "OU=Servers,DC=iehang,DC=cn" -ProtectedFromAccidentalDeletion $false
# 4. 创建用户(5 个部门各 1 人)
New-ADUser -Name "孔德毅" -GivenName "德毅" -Surname "孔" -SamAccountName "kongdeyi" -UserPrincipalName "kongdeyi@iehang.cn" -Path "OU=Users,OU=IT信息部,DC=iehang,DC=cn" -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) -Enabled $true
New-ADUser -Name "张桂英" -GivenName "桂英" -Surname "张" -SamAccountName "zhangguiying" -UserPrincipalName "zhangguiying@iehang.cn" -Path "OU=Users,OU=财务部,DC=iehang,DC=cn" -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) -Enabled $true
New-ADUser -Name "宋丹" -GivenName "丹" -Surname "宋" -SamAccountName "songdan" -UserPrincipalName "songdan@iehang.cn" -Path "OU=Users,OU=人事部,DC=iehang,DC=cn" -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) -Enabled $true
New-ADUser -Name "张雪" -GivenName "雪" -Surname "张" -SamAccountName "zhangxue" -UserPrincipalName "zhangxue@iehang.cn" -Path "OU=Users,OU=销售部,DC=iehang,DC=cn" -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) -Enabled $true
New-ADUser -Name "石晓杰" -GivenName "晓杰" -Surname "石" -SamAccountName "shixiaojie" -UserPrincipalName "shixiaojie@iehang.cn" -Path "OU=Users,OU=生产部,DC=iehang,DC=cn" -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) -Enabled $true
# 5. 创建全局安全组
New-ADGroup -Name "GG_IT_Admins" -GroupScope "Global" -GroupCategory "Security" -Path "DC=iehang,DC=cn"
New-ADGroup -Name "GG_Finance_Users" -GroupScope "Global" -GroupCategory "Security" -Path "DC=iehang,DC=cn"
New-ADGroup -Name "GG_HR_Users" -GroupScope "Global" -GroupCategory "Security" -Path "DC=iehang,DC=cn"
New-ADGroup -Name "GG_Sales_Users" -GroupScope "Global" -GroupCategory "Security" -Path "DC=iehang,DC=cn"
New-ADGroup -Name "GG_Production_Users" -GroupScope "Global" -GroupCategory "Security" -Path "DC=iehang,DC=cn"
# 6. 将用户添加到对应组
Add-ADGroupMember -Identity "GG_IT_Admins" -Members "kongdeyi"
Add-ADGroupMember -Identity "GG_Finance_Users" -Members "zhangguiying"
Add-ADGroupMember -Identity "GG_HR_Users" -Members "songdan"
Add-ADGroupMember -Identity "GG_Sales_Users" -Members "zhangxue"
Add-ADGroupMember -Identity "GG_Production_Users" -Members "shixiaojie"
# 7. 验证创建结果
Get-ADOrganizationalUnit -Filter "*" | Select-Object Name, DistinguishedName
Get-ADUser -Filter "*" -SearchBase "DC=iehang,DC=cn" | Select-Object Name, SamAccountName
Get-ADGroup -Filter "*" -SearchBase "DC=iehang,DC=cn" | Select-Object Name, GroupScope
# 8. 将服务器计算机账户移入 Servers OU
Get-ADComputer -Identity "DC01" | Move-ADObject -TargetPath "OU=Domain Controllers,OU=Servers,DC=iehang,DC=cn"
Get-ADComputer -Identity "DC02" | Move-ADObject -TargetPath "OU=Domain Controllers,OU=Servers,DC=iehang,DC=cn"
# WDS01, WSUS01, FS01, RDS01 在加入域后会自动创建计算机账户,之后手动移入 Member Servers OU
Write-Output "✅ OU、用户、组创建完成!"⚠️ 执行前注意
- 脚本需在 DC01 上以域管理员身份运行
- 确保已安装 Active Directory 模块(AD DS 安装后自动安装)
- 密码
P@ssw0rd!仅用于实验环境,生产环境请使用强密码 - 执行后,所有用户需在首次登录时修改密码
5. 网络与域名配置
5.1 IP 地址规划
| 设备 | IP 地址 | 子网掩码 | 默认网关 | DNS |
|---|---|---|---|---|
| DC01 | 192.168.10.254 | 255.255.255.0 | 192.168.10.1 | 192.168.10.254(自身) |
| DC02 | 192.168.10.253 | 255.255.255.0 | 192.168.10.1 | 192.168.10.254 |
| WDS01 | 192.168.10.252 | 255.255.255.0 | 192.168.10.1 | 192.168.10.254 |
| WSUS01 | 192.168.10.251 | 255.255.255.0 | 192.168.10.1 | 192.168.10.254 |
| FS01 | 192.168.10.250 | 255.255.255.0 | 192.168.10.1 | 192.168.10.254 |
| RDS01 | 192.168.10.249 | 255.255.255.0 | 192.168.10.1 | 192.168.10.254 |
| 客户端(DHCP) | 192.168.10.10-192.168.10.200 | 255.255.255.0 | 192.168.10.1 | 192.168.10.254 |
5.2 DNS 区域规划
DNS 正向查找区域
区域名称: iehang.cn (Active Directory 集成)
├── DC01 (A 记录) → 192.168.10.254
├── DC02 (A 记录) → 192.168.10.253
├── WDS01 (A 记录) → 192.168.10.252
├── WSUS01 (A 记录) → 192.168.10.251
├── FS01 (A 记录) → 192.168.10.250
├── RDS01 (A 记录) → 192.168.10.249
└── client (DHCP 动态注册)5.3 配置 DC01 网络(示例)
PowerShell - 配置 DC01 静态 IP 和 DNS
# 配置静态 IP
New-NetIPAddress -InterfaceAlias "Ethernet0" `
-IPAddress "192.168.10.254" `
-PrefixLength 24 `
-DefaultGateway "192.168.10.1"
# 配置 DNS(指向自身)
Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" `
-ServerAddresses "127.0.0.1"
# 重命名计算机为 DC01
Rename-Computer -NewName "DC01" -Restart6. 实验搭建步骤
以下是可复现的实验环境搭建流程,按步骤执行即可完成全部配置。
阶段一:搭建 ESXi 8.0 虚拟化平台
1
下载 VMware ESXi 8.0 ISO:VMware Customer Connect
2
将 ISO 写入 U 盘或使用 iDRAC/iLO 远程挂载,启动服务器并安装 ESXi 8.0
3
安装完成后,按 F2 进入配置界面,设置静态 IP(例如 192.168.10.2)、子网掩码、网关、DNS
4
从浏览器访问 https://192.168.10.2,使用 root 和密码登录 ESXi Web UI
阶段二:创建虚拟机并安装 Windows Server 2022
5
在 ESXi Web UI 中创建虚拟机 DC01(配置:4 核 / 8 GB / 240 GB)
6
挂载 Windows Server 2022 ISO,启动虚拟机并安装操作系统
7
安装完成后,配置静态 IP(192.168.10.254)、DNS(127.0.0.1),重命名计算机为 DC01
阶段三:安装 AD DS 并提升为域控制器
8
在 DC01 上打开服务器管理器 → 添加角色和功能 → 安装 Active Directory 域服务
9
安装完成后,点击"将此服务器提升为域控制器" → 选择"添加新林",根域名 iehang.cn
10
设置目录服务还原模式(DSRM)密码,完成安装后服务器会自动重启
阶段四:创建 OU、用户、组
11
以域管理员身份登录 DC01,打开 PowerShell ISE(以管理员身份运行)
12
复制并粘贴 第 4 节 中的 PowerShell 脚本,执行后自动创建完整的 OU 组织架构
阶段五:部署其他服务器
13
按照 第 1 节 的服务器规划表,在 ESXi 上创建剩余 5 台虚拟机
14
安装 Windows Server 2022,配置静态 IP 和 DNS(指向 DC01),加入域 iehang.cn
15
将服务器计算机账户移入 OU=Servers,DC=iehang,DC=cn 下的对应 OU
阶段六:验证环境
16
在 DC01 上打开 Active Directory 用户和计算机,验证 OU 结构、用户、组已正确创建
17
从客户端(Windows 10)加入域,使用创建的账户(如 kongdeyi)登录,验证域功能正常
7. 常见问题
Q1:ESXi 主机需要多少内存?
建议 ≥ 32 GB。本规划中 6 台虚拟机总共需要:
- DC01 + DC02 + WDS01 + WSUS01 + FS01 = 5 × 8 GB = 40 GB
- RDS01 = 16 GB
- 合计:56 GB(加上 ESXi 自身开销,建议 64 GB 内存)
Q2:可以使用 VMware Workstation 代替 ESXi 吗?
可以,但 不建议。VMware Workstation 是桌面级虚拟化,性能和稳定性不如 ESXi。本教程统一使用 VMware ESXi 8.0 作为底层平台。
Q3:客户端必须用 Windows 10 吗?
不一定。可以使用 Windows 11、Windows 10 LTSC 2021 等。关键是能加入域并测试各项功能。
Q4:脚本执行失败怎么办?
常见原因:
- 未以域管理员身份运行 PowerShell → 右键"以管理员身份运行"
- Active Directory 模块未加载 → 先安装 AD DS 角色
- OU 已存在 → 删除现有 OU 或使用
-ErrorAction SilentlyContinue