一、前期准备
1. 系统要求
- Windows Server 2025(评估版或正式版)
- 静态 IP 地址
- 足够的磁盘空间(建议至少 50GB)
- 服务器名称符合命名规范
2. 网络配置
# 设置静态 IP
New-NetIPAddress -InterfaceAlias "Ethernet" `
-IPAddress "192.168.1.10" `
-PrefixLength 24 `
-DefaultGateway "192.168.1.1"
# 设置 DNS(指向自己或上游 DNS)
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" `
-ServerAddresses ("127.0.0.1", "8.8.8.8")
二、安装 AD 域服务
方法1:使用 PowerShell
# 安装 AD 域服务角色
Install-WindowsFeature -Name AD-Domain-Services `
-IncludeManagementTools
# 安装后需要提升域控
Install-ADDSForest `
-DomainName "contoso.com" `
-DomainNetbiosName "CONTOSO" `
-InstallDNS:$true `
-SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force) `
-Force:$true
方法2:使用服务器管理器 GUI
打开
服务器管理器 →
添加角色和功能
选择
基于角色或基于功能的安装
选择服务器
勾选
Active Directory 域服务
安装完成后,点击
"将此服务器提升为域控制器"
三、提升为域控制器配置
部署配置
- 部署操作:添加新林
- 根域名:contoso.com(根据实际修改)
- 林功能级别:Windows Server 2025
- 域功能级别:Windows Server 2025
- 指定域控制器功能:
- ✓ 域名系统 (DNS) 服务器
- ✓ 全局编录 (GC)
- 域控制器只读 (RODC):根据需求选择
DNS 选项
如果出现 DNS 委派警告,可以忽略继续。
其他选项
- 数据库文件夹:C:\Windows\NTDS
- 日志文件文件夹:C:\Windows\NTDS
- SYSVOL 文件夹:C:\Windows\SYSVOL
目录服务还原模式密码
设置一个安全的 DSRM 密码。
四、初始化配置
1. 验证安装
# 检查域服务状态
Get-Service ADWS, NTDS, DNS, KDC
# 检查域信息
Get-ADDomain
Get-ADForest
# 检查 DNS 记录
Get-DnsServerResourceRecord -ZoneName "contoso.com"
2. 配置 DNS
# 设置转发器(如果需要)
Add-DnsServerForwarder -IPAddress "8.8.8.8"
Add-DnsServerForwarder -IPAddress "8.8.4.4"
# 配置条件转发器(用于多域环境)
Add-DnsServerConditionalForwarderZone `
-Name "otherdomain.com" `
-MasterServers "192.168.1.20"
3. 创建组织单元(OU)
# 创建基础 OU 结构
New-ADOrganizationalUnit -Name "Users" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Computers" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Servers" -Path "DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Groups" -Path "DC=contoso,DC=com"
# 创建部门 OU
New-ADOrganizationalUnit -Name "IT" -Path "OU=Users,DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "HR" -Path "OU=Users,DC=contoso,DC=com"
New-ADOrganizationalUnit -Name "Finance" -Path "OU=Users,DC=contoso,DC=com"
4. 创建用户和组
# 创建用户
New-ADUser -Name "张三" `
-SamAccountName "zhangsan" `
-UserPrincipalName "zhangsan@contoso.com" `
-Path "OU=IT,OU=Users,DC=contoso,DC=com" `
-AccountPassword (ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force) `
-Enabled $true
# 创建安全组
New-ADGroup -Name "IT_Admins" `
-GroupScope Global `
-GroupCategory Security `
-Path "OU=Groups,DC=contoso,DC=com"
# 添加用户到组
Add-ADGroupMember -Identity "IT_Admins" -Members "zhangsan"
5. 配置组策略(GPO)
# 查看默认 GPO
Get-GPO -All
# 创建新 GPO
New-GPO -Name "IT Security Policy" `
-Comment "IT部门安全策略"
# 链接 GPO 到 OU
New-GPLink -Name "IT Security Policy" `
-Target "OU=IT,OU=Users,DC=contoso,DC=com"
五、最佳实践配置
1. 时间同步
# 配置权威时间源
w32tm /config /syncfromflags:manual /manualpeerlist:"time.windows.com"
w32tm /config /reliable:yes
w32tm /config /update
net stop w32time && net start w32time
# 验证时间同步
w32tm /query /status
2. 备份配置
# 创建系统状态备份任务
# 使用 Windows Server Backup 功能
3. 监控和日志
# 启用详细日志
wevtutil sl "Directory Service" /e:true
wevtutil sl "DNS Server" /e:true
六、故障排除
常见问题检查
# 1. 检查域控健康状态
dcdiag /v /c /d /e /s:%computername%
# 2. 检查 DNS 解析
nslookup contoso.com
nslookup %computername%.contoso.com
# 3. 检查复制状态
repadmin /replsummary
repadmin /showrepl
# 4. 检查 Kerberos
klist purge # 清除 Kerberos 票据
验证步骤
# 验证 AD 服务
Test-ADService -Services All
# 验证 DNS 区域
Test-DnsServer -ZoneName "contoso.com"
# 验证组策略
gpresult /r
七、添加额外域控制器(可选)
# 在第二台服务器上
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Install-ADDSDomainController `
-DomainName "contoso.com" `
-InstallDNS:$true `
-SiteName "Default-First-Site-Name" `
-SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force)
注意事项
生产环境建议:
- 至少部署两台域控制器
- 使用专用服务器,不要与其他角色混用
- 定期备份系统状态和 AD 数据库
安全建议:
- 使用复杂的 DSRM 密码
- 启用审核策略
- 定期更新 Windows Server
Windows Server 2025 新特性:
- 增强的 AD 安全功能
- 改进的 PowerShell 模块
- 更好的容器化支持
按照以上步骤,您可以成功搭建和初始化 Windows Server 2025 AD 域环境。每个组织根据实际需求可能需要调整配置。
