Windows Server 2025 搭建AD域控和初始化

一、前期准备

1. 系统要求

• Windows Server 2025（评估版或正式版）
• 静态 IP 地址
• 足够的磁盘空间（建议至少 50GB）
• 服务器名称符合命名规范

2. 网络配置

# 设置静态 IP
New-NetIPAddress -InterfaceAlias "Ethernet" `
  -IPAddress "192.168.1.10" `
  -PrefixLength 24 `
  -DefaultGateway "192.168.1.1"

# 设置 DNS（指向自己或上游 DNS）
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" `
  -ServerAddresses ("127.0.0.1", "8.8.8.8")

二、安装 AD 域服务

方法1：使用 PowerShell

# 安装 AD 域服务角色
Install-WindowsFeature -Name AD-Domain-Services `
  -IncludeManagementTools

# 安装后需要提升域控
Install-ADDSForest `
  -DomainName "contoso.com" `
  -DomainNetbiosName "CONTOSO" `
  -InstallDNS:$true `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force) `
  -Force:$true

方法2：使用服务器管理器 GUI

三、提升为域控制器配置

部署配置

• 部署操作：添加新林
• 根域名：contoso.com（根据实际修改）
• 林功能级别：Windows Server 2025
• 域功能级别：Windows Server 2025
• 指定域控制器功能：
  • ✓ 域名系统 (DNS) 服务器
  • ✓ 全局编录 (GC)
  • 域控制器只读 (RODC)：根据需求选择

DNS 选项

如果出现 DNS 委派警告，可以忽略继续。

其他选项

• 数据库文件夹：C:\Windows\NTDS
• 日志文件文件夹：C:\Windows\NTDS
• SYSVOL 文件夹：C:\Windows\SYSVOL

目录服务还原模式密码

设置一个安全的 DSRM 密码。

四、初始化配置

1. 验证安装

# 检查域服务状态
Get-Service ADWS, NTDS, DNS, KDC

# 检查域信息
Get-ADDomain
Get-ADForest

# 检查 DNS 记录
Get-DnsServerResourceRecord -ZoneName "contoso.com"

2. 配置 DNS

# 设置转发器（如果需要）
Add-DnsServerForwarder -IPAddress "8.8.8.8"
Add-DnsServerForwarder -IPAddress "8.8.4.4"

# 配置条件转发器（用于多域环境）
Add-DnsServerConditionalForwarderZone `
  -Name "otherdomain.com" `
  -MasterServers "192.168.1.20"

3. 创建组织单元（OU）

# 创建基础 OU 结构
New-ADOrganizationalUnit -Name "Users" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Computers" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Servers" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Groups" -Path "DC=contoso,DC=com"

# 创建部门 OU
New-ADOrganizationalUnit -Name "IT" -Path "OU=Users,DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "HR" -Path "OU=Users,DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Finance" -Path "OU=Users,DC=contoso,DC=com"

4. 创建用户和组

# 创建用户
New-ADUser -Name "张三" `
  -SamAccountName "zhangsan" `
  -UserPrincipalName "zhangsan@contoso.com" `
  -Path "OU=IT,OU=Users,DC=contoso,DC=com" `
  -AccountPassword (ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force) `
  -Enabled $true

# 创建安全组
New-ADGroup -Name "IT_Admins" `
  -GroupScope Global `
  -GroupCategory Security `
  -Path "OU=Groups,DC=contoso,DC=com"

# 添加用户到组
Add-ADGroupMember -Identity "IT_Admins" -Members "zhangsan"

5. 配置组策略（GPO）

# 查看默认 GPO
Get-GPO -All

# 创建新 GPO
New-GPO -Name "IT Security Policy" `
  -Comment "IT部门安全策略"

# 链接 GPO 到 OU
New-GPLink -Name "IT Security Policy" `
  -Target "OU=IT,OU=Users,DC=contoso,DC=com"

五、最佳实践配置

1. 时间同步

# 配置权威时间源
w32tm /config /syncfromflags:manual /manualpeerlist:"time.windows.com"
w32tm /config /reliable:yes
w32tm /config /update
net stop w32time && net start w32time

# 验证时间同步
w32tm /query /status

2. 备份配置

# 创建系统状态备份任务
# 使用 Windows Server Backup 功能

3. 监控和日志

# 启用详细日志
wevtutil sl "Directory Service" /e:true
wevtutil sl "DNS Server" /e:true

六、故障排除

常见问题检查

# 1. 检查域控健康状态
dcdiag /v /c /d /e /s:%computername%

# 2. 检查 DNS 解析
nslookup contoso.com
nslookup %computername%.contoso.com

# 3. 检查复制状态
repadmin /replsummary
repadmin /showrepl

# 4. 检查 Kerberos
klist purge  # 清除 Kerberos 票据

验证步骤

# 验证 AD 服务
Test-ADService -Services All

# 验证 DNS 区域
Test-DnsServer -ZoneName "contoso.com"

# 验证组策略
gpresult /r

七、添加额外域控制器（可选）

# 在第二台服务器上
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Install-ADDSDomainController `
  -DomainName "contoso.com" `
  -InstallDNS:$true `
  -SiteName "Default-First-Site-Name" `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force)

注意事项

生产环境建议：

• 至少部署两台域控制器
• 使用专用服务器，不要与其他角色混用
• 定期备份系统状态和 AD 数据库

安全建议：

• 使用复杂的 DSRM 密码
• 启用审核策略
• 定期更新 Windows Server

Windows Server 2025 新特性：

• 增强的 AD 安全功能
• 改进的 PowerShell 模块
• 更好的容器化支持

按照以上步骤，您可以成功搭建和初始化 Windows Server 2025 AD 域环境。每个组织根据实际需求可能需要调整配置。