簡介

本教程主要內(nèi)容為使用Windows Server 2025 部署Active Directory （ADDS\域控制器）服務(wù)。
所有操作盡量使用PowerShell，可提高部署效率和自動化操作。

使用目的

用于基礎(chǔ)設(shè)施中的LDAP統(tǒng)一身份授權(quán)認證、NTP 服務(wù)器、DNS服務(wù)器。

域控配置要求

建議至少 2C6G 50G存儲

Windows Server 2025 最新ISO下載

MD5：985096E0D119BD8D2947CC2220986EE2

SHA1：5370F9F768EC31B846B2B7E14DCAF597C649ADEA

SHA256：72E67B86E0F7A000BF33D2CFB2394680E909AB3F880EAB42222177F5F4DF8E8A

BT 磁力 （可用迅雷或qBittorrent 下載）：

magnet:?xt=urn:btih:02b56c181327e1effeda992a3b3f0de3c74ba792&dn=zh-cn_windows_server_2025_updated_april_2025_x64_dvd_ea86301d.iso&xl=7050024960

本地下載ios地址：http://www.dbjr.com.cn/softs/905129.html

KMS 安裝/激活密鑰

安裝密鑰：D764K-2NDRG-47T6Q-P8T8W-YP6DF

注意：安裝的時候選擇 Windows Server 2025 Datacenter 桌面體驗 版本。

激活命令

# 運行管理員權(quán)限的powershell 窗口
slmgr /ipk D764K-2NDRG-47T6Q-P8T8W-YP6DF
# 安裝KMS密鑰
slmgr /skms kms.songxwn.com
# 指定KMS 激活服務(wù)器
slmgr /ato
# 配置激活
# 然后重啟系統(tǒng)即可完成轉(zhuǎn)換。

域控安裝前準備

修改計算機名字 （作為域控后不建議隨意修改名字）

## powershell 管理員執(zhí)行 或 終端 管理員執(zhí)行
Rename-Computer -NewName "AD-S1" -Force -Restart
# 修改計算機名字并立即重啟生效。

配置固定IP

刪除安全服務(wù) （可選）

Remove-WindowsFeature -Name Windows-Defender

域控安裝

添加域控制器角色

## powershell 管理員執(zhí)行 或 終端 管理員執(zhí)行
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
# 關(guān)閉防火墻
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools 
# 安裝域控角色

如上圖，代表安裝完成。（安裝完成后盡量重啟一次。）

將服務(wù)器配置為域控制器

## powershell 管理員執(zhí)行 或 終端 管理員執(zhí)行，執(zhí)行后會提示是否繼續(xù)，回車繼續(xù)即可。

Install-ADDSForest `
    -DomainName "songxwn.local" `
    -ForestMode Win2025 `
    -DomainMode Win2025 `
    -DomainNetbiosName "SONGXWN" `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "Songxwn.com" -AsPlainText -Force) `
    -InstallDNS

注意：執(zhí)行配置完成后，會自動重啟。重啟后，要使用 songxwn\administrator 用戶登錄，密碼和之前的本地administrator一樣。

以上powershell 配置AD 命令的詳細講解：

-DomainName "songxwn.local"

• 該參數(shù)指定新的 Active Directory 域的 DNS 名稱。

• 這里創(chuàng)建的域名是 songxwn.local，可以自行修改。

-ForestMode Win2025

• 該參數(shù)用于指定新的 AD 域林的功能級別（Forest Functional Level）。

• 功能級別定義了林中能支持的活動目錄功能。

  • Windows2008, Windows2008R2

  • Windows2012, Windows2012R2

  • Windows2016

  • Windows2025

-DomainMode Win2025

• 該參數(shù)指定域的功能級別（Domain Functional Level）。

• 與林功能級別類似，定義了該域支持的功能和特性。

-DomainNetbiosName SONGXWN

• 指定域的 NetBIOS 名稱，NetBIOS 名稱是一個15字符以內(nèi)的短名，主要用于舊的網(wǎng)絡(luò)瀏覽、兼容應(yīng)用等。

• 一般與域名的前綴（主機部分）相同或類似，通常大寫。

• 例如 songxwn.local 域?qū)?yīng)的 NetBIOS 名稱是 SONGXWN。

-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainpowershell "Songxwn.com" -Force)

• 該參數(shù)指定目錄服務(wù)恢復(fù)模式（DSRM）管理員賬號（內(nèi)建管理員賬戶）的密碼。

• DSRM 是 AD 維護和恢復(fù)時使用的特殊模式。

• 命令部分 (ConvertTo-SecureString -AsPlainpowershell "Songxwn.com" -Force) 是將明文密碼 "Songxwn.com" 轉(zhuǎn)換成安全的字符串格式，符合命令要求。

• 注意，密碼應(yīng)遵循復(fù)雜性策略，以保證安全。

-InstallDNS

• 指示安裝過程也安裝 DNS 服務(wù)器角色，并自動配置DNS。

• 對 Active Directory 域控來說，DNS 服務(wù)是必備的，因為 AD 依賴 DNS 進行名稱解析和服務(wù)定位。

域控安裝后

組策略 - 修改密碼過期時間

powershell 執(zhí)行 gpmc.msc 打開組策略管理。

修改最長最短使用期限都為0天。

然后讓AD執(zhí)行 gpupdate /force 強制快速應(yīng)用組策略。

修改 DNS 轉(zhuǎn)發(fā)器 - 加快DNS查詢

運行 dnsmgmt.msc，修改所有的轉(zhuǎn)發(fā)器為本地網(wǎng)絡(luò)的公共DNS服務(wù)器。

ADSI - 設(shè)置普通用戶不能自己將計算機加入域控

運行adsiedit.msc，點擊操作 > 連接到 > 確定（連接到默認域控）> 右鍵 DC=songxwn,DC=local 屬性進行編輯。

找到“ ms-DS-MachineAccountQuota” ，將其數(shù)值由默認的10改成0 。然后點擊應(yīng)用。如上圖。 （默認是10次，代表普通用戶可以將十臺計算機加入域控，但域控管理員不受限制。）

組策略 - 只允許本地管理員登錄域控計算機 - 可選

powershell 執(zhí)行 gpmc.msc 打開組策略管理。

添加 Administrators 組 和 Domain Admins組，這樣只能添加到本地管理員組的普通用戶，或域控管理員用戶能進行登錄這臺計算機。

然后讓AD執(zhí)行 gpupdate /force 強制快速應(yīng)用組策略。

NTP服務(wù)器配置 - 使用公網(wǎng)權(quán)威NTP服務(wù)器作為上游同步

因為默認僅僅會用COMS作為時間源，久了時間會偏移。

w32tm /config /manualpeerlist:cn.ntp.org.cn,0x8 /syncfromflags:MANUAL /update

#  僅主域控配置公網(wǎng)ntp服務(wù)器，并立即同步

w32tm /resync

# 強制同步NTP服務(wù)器，最好所有AD中的域控制器，都執(zhí)行一次。


w32tm /query /status /verbose   

# 查看當(dāng)前狀態(tài)，NTP是否配置成功。

Leap 指示符: 0(無警告)
層次: 3 (次引用 - 與(S)NTP 同步)
精度: -23 (每刻度 119.209ns)
根延遲: 0.2056026s
根分散: 4.0711694s
引用 ID: 0xB65C0C0B (源 IP:  182.92.12.11)
上次成功同步時間: 2025/4/29 8:52:14
源: cn.ntp.org.cn,8
輪詢間隔: 6 (64s)

相位偏移: -0.2507314s
ClockRate: 0.0156261s
計算機狀態(tài): 1 (等候)
時間源標志:0 (無)
服務(wù)器角色: 64 (時間服務(wù))
上次同步錯誤: 0 (成功地執(zhí)行了命令。)
上次成功同步時間后的時間: 19.3403555s

創(chuàng)建額外的域控管理員用戶

運行dsa.msc 打開Active Directory 用戶和計算機

進入 Users 組織單位下，右鍵 Administrator，選擇復(fù)制創(chuàng)建用戶。

啟用并使用 Active Directory 回收站

## powershell 管理員執(zhí)行。在主域控制器執(zhí)行。

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=songxwn,DC=local' –Scope ForestOrConfigurationSet –Target ‘songxwn.local'

# 在主域控上執(zhí)行，注意修改域名。

已刪除的對象，運行 dsac.exe 去 Active Directory 管理中心 > Deleted Objects 下查看并還原。

啟用數(shù)據(jù)庫 32k 頁可選功能 – 可選

# powershell 管理執(zhí)行，輸入Y繼續(xù)。

$params = @{
    Identity = 'Database 32k pages feature'
    Scope = 'ForestOrConfigurationSet'
    Server = 'AD-S1'
    Target = 'songxwn.local'
}
Enable-ADOptionalFeature @params

# 注意修改域名。

微軟官方文檔

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview

到此這篇關(guān)于Windows Server 2025 搭建AD域控和初始化的文章就介紹到這了,更多相關(guān)Server 2025 搭建AD域控和初始化內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論