Windows Server 域控制器部署步骤
一、前期准备
1. 硬件要求
- 物理或虚拟服务器
- 至少 2 核 CPU,4GB RAM(推荐 4 核,8GB RAM 以上)
- 至少 40GB 可用磁盘空间
- 静态 IP 地址
2. 软件要求
- Windows Server 2016/2019/2022 标准版或数据中心版
- 有效的产品密钥(评估版有 180 天试用期)
3. 网络要求
- DNS 服务器(通常与 AD DS 集成)
- 确保 TCP/IP 设置正确
二、详细部署步骤
步骤 1:基础系统配置
# 设置计算机名
Rename-Computer -NewName "DC01" -Restart
# 设置静态 IP
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress "192.168.1.10" -PrefixLength 24 -DefaultGateway "192.168.1.1"
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses "192.168.1.10", "127.0.0.1"
步骤 2:安装 Active Directory 域服务
通过服务器管理器安装:
打开
服务器管理器
点击
"添加角色和功能"
选择
"基于角色或基于功能的安装"
选择目标服务器
勾选
"Active Directory 域服务"
点击
"添加功能" 安装所需依赖
连续点击
"下一步",最后点击
"安装"
或使用 PowerShell:
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
步骤 3:提升为域控制器
方法一:图形界面配置
在服务器管理器中点击
黄色警告标志 →
"将此服务器提升为域控制器"
选择
"添加新林"(首次部署)
输入根域名(如:
contoso.com)
设置目录服务还原模式(DSRM)密码
配置 DNS 选项(保持默认)
设置 NetBIOS 域名
指定 AD DS 数据库、日志文件和 SYSVOL 的路径
查看配置摘要,点击
"下一步" 开始安装
系统自动重启
方法二:PowerShell 部署
# 安装 AD DS 角色后执行
Import-Module ADDSDeployment
# 创建新林
Install-ADDSForest `
-DomainName "contoso.com" `
-DomainNetbiosName "CONTOSO" `
-ForestMode "WinThreshold" `
-DomainMode "WinThreshold" `
-InstallDns:$true `
-NoRebootOnCompletion:$false `
-Force:$true
步骤 4:验证安装
# 检查域控制器状态
Get-ADDomainController
# 测试 DNS
nslookup contoso.com
nslookup _ldap._tcp.contoso.com
# 检查 AD DS 服务状态
Get-Service ADWS, NTDS, DNS, KDC, Netlogon
步骤 5:初始配置
创建组织单位(OU):
New-ADOrganizationalUnit -Name "Users" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Computers" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Servers" -Path "DC=contoso,DC=com"
创建域管理员账户:
New-ADUser -Name "域管理员" -SamAccountName "admin" -UserPrincipalName "admin@contoso.com"
Add-ADGroupMember -Identity "Domain Admins" -Members "admin"
三、客户端加入域
Windows 客户端加入域:
右键
"此电脑" →
"属性"
点击
"更改设置"
在
"计算机名" 选项卡点击
"更改"
选择
"域",输入域名(如:
contoso.com)
输入有权限加入域的凭据
重启计算机
使用 PowerShell:
Add-Computer -DomainName "contoso.com" -Credential (Get-Credential) -Restart
四、后续操作建议
1. 配置组策略(GPO)
- 打开 "组策略管理"(gpmc.msc)
- 创建新的组策略对象
- 配置密码策略、安全策略等
2. 备份域控制器
# 备份系统状态(包含 AD)
wbadmin start systemstatebackup -backupTarget:D:
3. 添加额外域控制器(可选)
- 在另一台服务器上重复步骤 1-2
- 在提升为域控制器时选择 "将域控制器添加到现有域"
五、故障排除
常见问题及解决方法:
DNS 解析失败
# 检查 DNS 配置
ipconfig /all
# 确保 DC 的 DNS 指向自己
时间同步问题
# 配置时间服务
w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time
无法加入域
检查日志:
- 事件查看器 → Windows 日志 → Directory Service
dcdiag /v 命令进行诊断
六、安全建议
修改默认管理账户:重命名 Administrator 账户
配置账户锁定策略:防止暴力破解
启用审核策略:监控重要事件
定期更新:安装 Windows Update
实施最小权限原则:用户仅分配必要权限
重要注意事项:
- 域控制器时间必须同步
- 至少保留 2 台域控制器以实现高可用
- 定期备份 Active Directory
- 生产环境建议使用 SSL 证书
- 在虚拟化环境中避免使用快照功能
此部署创建了一个基本的 Windows Server 域环境,实际生产环境可能需要根据具体需求进行额外的安全配置和优化。
