AD系列:Windows Server 2025 搭建AD域控和初始化

本文最后更新于 2025年4月30日 上午

简介

本教程主要内容为使用Windows Server 2025 部署Active Directory (ADDS\域控制器)服务。
所有操作尽量使用PowerShell,可提高部署效率和自动化操作。

AD 系列文章:https://songxwn.com/categories/AD/

使用目的

用于基础设施中的LDAP统一身份授权认证、NTP 服务器、DNS服务器。

LDAP 系列文章:https://songxwn.com/tags/ldap/

域控配置要求

建议至少 2C6G 50G存储

Windows Server 2025 最新ISO下载

MD5:985096E0D119BD8D2947CC2220986EE2

SHA1:5370F9F768EC31B846B2B7E14DCAF597C649ADEA

SHA256:72E67B86E0F7A000BF33D2CFB2394680E909AB3F880EAB42222177F5F4DF8E8A

BT 磁力 (可用迅雷或qBittorrent 下载):

1
2
magnet:?xt=urn:btih:02b56c181327e1effeda992a3b3f0de3c74ba792&dn=zh-cn_windows_server_2025_updated_april_2025_x64_dvd_ea86301d.iso&xl=7050024960

KMS 安装/激活密钥

安装密钥:D764K-2NDRG-47T6Q-P8T8W-YP6DF

注意:安装的时候选择 Windows Server 2025 Datacenter 桌面体验 版本。

激活命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
# 运行管理员权限的powershell 窗口




slmgr /ipk D764K-2NDRG-47T6Q-P8T8W-YP6DF

# 安装KMS密钥



slmgr /skms kms.songxwn.com
# 指定KMS 激活服务器



slmgr /ato

# 配置激活

# 然后重启系统即可完成转换。

域控安装前准备

修改计算机名字 (作为域控后不建议随意修改名字)

1
2
3
4
5
## powershell 管理员执行 或 终端 管理员执行

Rename-Computer -NewName "AD-S1" -Force -Restart

# 修改计算机名字并立即重启生效。

配置固定IP

删除安全服务 (可选)

1
Remove-WindowsFeature -Name Windows-Defender

域控安装

添加域控制器角色

1
2
3
4
5
6
7
8
9
## powershell 管理员执行 或 终端 管理员执行

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

# 关闭防火墙

Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools 

# 安装域控角色

如上图,代表安装完成。(安装完成后尽量重启一次。)

将服务器配置为域控制器

1
2
3
4
5
6
7
8
9
## powershell 管理员执行 或 终端 管理员执行,执行后会提示是否继续,回车继续即可。

Install-ADDSForest `
    -DomainName "songxwn.local" `
    -ForestMode Win2025 `
    -DomainMode Win2025 `
    -DomainNetbiosName "SONGXWN" `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "Songxwn.com" -AsPlainText -Force) `
    -InstallDNS

注意:执行配置完成后,会自动重启。重启后,要使用 songxwn\administrator 用户登录,密码和之前的本地administrator一样。

以上powershell 配置AD 命令的详细讲解:

-DomainName "songxwn.local"

  • 该参数指定新的 Active Directory 域的 DNS 名称。

  • 这里创建的域名是 songxwn.local,可以自行修改。

-ForestMode Win2025

  • 该参数用于指定新的 AD 域林的功能级别(Forest Functional Level)。

  • 功能级别定义了林中能支持的活动目录功能。

    • Windows2008, Windows2008R2

    • Windows2012, Windows2012R2

    • Windows2016

    • Windows2025

-DomainMode Win2025

  • 该参数指定域的功能级别(Domain Functional Level)。

  • 与林功能级别类似,定义了该域支持的功能和特性。

-DomainNetbiosName SONGXWN

  • 指定域的 NetBIOS 名称,NetBIOS 名称是一个15字符以内的短名,主要用于旧的网络浏览、兼容应用等。

  • 一般与域名的前缀(主机部分)相同或类似,通常大写。

  • 例如 songxwn.local 域对应的 NetBIOS 名称是 SONGXWN

-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "Songxwn.com" -Force)

  • 该参数指定目录服务恢复模式(DSRM)管理员账号(内建管理员账户)的密码。

  • DSRM 是 AD 维护和恢复时使用的特殊模式。

  • 命令部分 (ConvertTo-SecureString -AsPlainText "Songxwn.com" -Force) 是将明文密码 "Songxwn.com" 转换成安全的字符串格式,符合命令要求。

  • 注意,密码应遵循复杂性策略,以保证安全。

-InstallDNS

  • 指示安装过程也安装 DNS 服务器角色,并自动配置DNS。

  • 对 Active Directory 域控来说,DNS 服务是必备的,因为 AD 依赖 DNS 进行名称解析和服务定位。

域控安装后

组策略 - 修改密码过期时间

powershell 执行 gpmc.msc 打开组策略管理。

修改最长最短使用期限都为0天。

然后让AD执行 gpupdate /force 强制快速应用组策略。

修改 DNS 转发器 - 加快DNS查询

运行 dnsmgmt.msc,修改所有的转发器为本地网络的公共DNS服务器。

ADSI - 设置普通用户不能自己将计算机加入域控

运行adsiedit.msc,点击操作 > 连接到 > 确定(连接到默认域控)> 右键 DC=songxwn,DC=local 属性进行编辑。

找到“ ms-DS-MachineAccountQuota” ,将其数值由默认的10改成0 。然后点击应用。如上图。 (默认是10次,代表普通用户可以将十台计算机加入域控,但域控管理员不受限制。)

组策略 - 只允许本地管理员登录域控计算机 - 可选

powershell 执行 gpmc.msc 打开组策略管理。

添加 Administrators 组 和 Domain Admins组,这样只能添加到本地管理员组的普通用户,或域控管理员用户能进行登录这台计算机。

然后让AD执行 gpupdate /force 强制快速应用组策略。

NTP服务器配置 - 使用公网权威NTP服务器作为上游同步

因为默认仅仅会用COMS作为时间源,久了时间会偏移。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
w32tm /config /manualpeerlist:cn.ntp.org.cn,0x8 /syncfromflags:MANUAL /update

#  仅主域控配置公网ntp服务器,并立即同步





w32tm /resync

# 强制同步NTP服务器,最好所有AD中的域控制器,都执行一次。


w32tm /query /status /verbose   

# 查看当前状态,NTP是否配置成功。

Leap 指示符: 0(无警告)
层次: 3 (次引用 - 与(S)NTP 同步)
精度: -23 (每刻度 119.209ns)
根延迟: 0.2056026s
根分散: 4.0711694s
引用 ID: 0xB65C0C0B (源 IP:  182.92.12.11)
上次成功同步时间: 2025/4/29 8:52:14
源: cn.ntp.org.cn,8
轮询间隔: 6 (64s)

相位偏移: -0.2507314s
ClockRate: 0.0156261s
计算机状态: 1 (等候)
时间源标志:0 (无)
服务器角色: 64 (时间服务)
上次同步错误: 0 (成功地执行了命令。)
上次成功同步时间后的时间: 19.3403555s

创建额外的域控管理员用户

运行dsa.msc 打开Active Directory 用户和计算机

进入 Users 组织单位下,右键 Administrator,选择复制创建用户。

启用并使用 Active Directory 回收站

1
2
3
4
5
## powershell 管理员执行。在主域控制器执行。

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=songxwn,DC=local’ –Scope ForestOrConfigurationSet –Target ‘songxwn.local’

# 在主域控上执行,注意修改域名。

已删除的对象,运行 dsac.exe 去 Active Directory 管理中心 > Deleted Objects 下查看并还原。

启用数据库 32k 页可选功能 – 可选

1
2
3
4
5
6
7
8
9
10
11
12
# powershell 管理执行,输入Y继续。

$params = @{
    Identity = 'Database 32k pages feature'
    Scope = 'ForestOrConfigurationSet'
    Server = 'AD-S1'
    Target = 'songxwn.local'
}
Enable-ADOptionalFeature @params

# 注意修改域名。

微软官方文档

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview

运维技术交流群

发送邮件到 ➡️ [email protected]

或者关注WX公众号:网工格物

微信扫码

博客(最先更新)

https://songxwn.com/

AD
#dns #ad #ldap #windows
AD系列:Windows Server 2025 搭建AD域控和初始化
https://songxwn.com/AD-DS-install/
作者
Song
发布于
2025年4月29日
更新于
2025年4月30日
许可协议