Windows?Server?2025?搭建AD域控和初始化

    目录

• 简介
• 使用目的
• 域控配置要求
• Windows Server 2025 最新ISO下载
• KMS 安装/激活密钥
• 激活命令
• 域控安装前准备
• 修改计算机名字 （作为域控后不建议随意修改名字）
• 配置固定IP
• 删除安全服务 （可选）
• 域控安装
• 添加域控制器角色
• 将服务器配置为域控制器
• 以上powershell 配置AD 命令的详细讲解：
• -DomainName "songxwn.local"
• -ForestMode Win2025
• -DomainMode Win2025
• -DomainNetbiosName SONGXWN
• -SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainpowershell "Songxwn.com" -Force)
• -InstallDNS
• 域控安装后
• 组策略 - 修改密码过期时间
• 修改 DNS 转发器 - 加快DNS查询
• ADSI - 设置普通用户不能自己将计算机加入域控
• 组策略 - 只允许本地管理员登录域控计算机 - 可选
• NTP服务器配置 - 使用公网权威NTP服务器作为上游同步
• 创建额外的域控管理员用户
• 启用并使用 Active Directory 回收站
• 启用数据库 32k 页可选功能 – 可选
• 微软官方文档

    简介
    本教程主要内容为使用Windows Server 2025 部署Active Directory （ADDS\域控制器）服务。
    所有操作尽量使用PowerShell，可提高部署效率和自动化操作。
    使用目的
    用于基础设施中的LDAP统一身份授权认证、NTP 服务器、DNS服务器。
    域控配置要求
    建议至少 2C6G 50G存储
    Windows Server 2025 最新ISO下载
    MD5：985096E0D119BD8D2947CC2220986EE2
    SHA1：5370F9F768EC31B846B2B7E14DCAF597C649ADEA
    SHA256：72E67B86E0F7A000BF33D2CFB2394680E909AB3F880EAB42222177F5F4DF8E8A
    BT 磁力 （可用迅雷或qBittorrent 下载）：
    

magnet:?xt=urn:btih:02b56c181327e1effeda992a3b3f0de3c74ba792&dn=zh-cn_windows_server_2025_updated_april_2025_x64_dvd_ea86301d.iso&xl=7050024960

    本地下载ios地址：https://www.jb51.net/softs/905129.html
    KMS 安装/激活密钥
    安装密钥：D764K-2NDRG-47T6Q-P8T8W-YP6DF
    注意：安装的时候选择 Windows Server 2025 Datacenter 桌面体验 版本。
    激活命令
    

# 运行管理员权限的powershell 窗口
slmgr /ipk D764K-2NDRG-47T6Q-P8T8W-YP6DF
# 安装KMS密钥
slmgr /skms kms.songxwn.com
# 指定KMS 激活服务器
slmgr /ato
# 配置激活
# 然后重启系统即可完成转换。

    域控安装前准备
    修改计算机名字 （作为域控后不建议随意修改名字）
    

## powershell 管理员执行 或 终端 管理员执行
Rename-Computer -NewName "AD-S1" -Force -Restart
# 修改计算机名字并立即重启生效。

    配置固定IP
    
    删除安全服务 （可选）
    

Remove-WindowsFeature -Name Windows-Defender

    域控安装
    添加域控制器角色
    

## powershell 管理员执行 或 终端 管理员执行
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
# 关闭防火墙
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools 
# 安装域控角色

    
    如上图，代表安装完成。（安装完成后尽量重启一次。）
    将服务器配置为域控制器
    

## powershell 管理员执行 或 终端 管理员执行，执行后会提示是否继续，回车继续即可。

Install-ADDSForest `
    -DomainName "songxwn.local" `
    -ForestMode Win2025 `
    -DomainMode Win2025 `
    -DomainNetbiosName "SONGXWN" `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "Songxwn.com" -AsPlainText -Force) `
    -InstallDNS

    注意：执行配置完成后，会自动重启。重启后，要使用 songxwn\administrator 用户登录，密码和之前的本地administrator一样。
    
    以上powershell 配置AD 命令的详细讲解：
    -DomainName "songxwn.local"

• 
      该参数指定新的 Active Directory 域的 DNS 名称。
      
• 
      这里创建的域名是 songxwn.local，可以自行修改。
      

    -ForestMode Win2025

• 
      该参数用于指定新的 AD 域林的功能级别（Forest Functional Level）。
      
• 
      功能级别定义了林中能支持的活动目录功能。
      
  • 
        Windows2008, Windows2008R2
        
  • 
        Windows2012, Windows2012R2
        
  • 
        Windows2016
        
  • 
        Windows2025
        

    -DomainMode Win2025

• 
      该参数指定域的功能级别（Domain Functional Level）。
      
• 
      与林功能级别类似，定义了该域支持的功能和特性。
      

    -DomainNetbiosName SONGXWN

• 
      指定域的 NetBIOS 名称，NetBIOS 名称是一个15字符以内的短名，主要用于旧的网络浏览、兼容应用等。
      
• 
      一般与域名的前缀（主机部分）相同或类似，通常大写。
      
• 
      例如 songxwn.local 域对应的 NetBIOS 名称是 SONGXWN。
      

    -SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainpowershell "Songxwn.com" -Force)

• 
      该参数指定目录服务恢复模式（DSRM）管理员账号（内建管理员账户）的密码。
      
• 
      DSRM 是 AD 维护和恢复时使用的特殊模式。
      
• 
      命令部分 (ConvertTo-SecureString -AsPlainpowershell "Songxwn.com" -Force) 是将明文密码 "Songxwn.com" 转换成安全的字符串格式，符合命令要求。
      
• 
      注意，密码应遵循复杂性策略，以保证安全。
      

    -InstallDNS

• 
      指示安装过程也安装 DNS 服务器角色，并自动配置DNS。
      
• 
      对 Active Directory 域控来说，DNS 服务是必备的，因为 AD 依赖 DNS 进行名称解析和服务定位。
      

    域控安装后
    组策略 - 修改密码过期时间
    powershell 执行 gpmc.msc 打开组策略管理。
    修改最长最短使用期限都为0天。
    然后让AD执行 gpupdate /force 强制快速应用组策略。
    
    修改 DNS 转发器 - 加快DNS查询
    运行 dnsmgmt.msc，修改所有的转发器为本地网络的公共DNS服务器。
    
    ADSI - 设置普通用户不能自己将计算机加入域控
    运行adsiedit.msc，点击操作 > 连接到 > 确定（连接到默认域控）> 右键 DC=songxwn,DC=local 属性进行编辑。
    
    找到“ ms-DS-MachineAccountQuota” ，将其数值由默认的10改成0 。然后点击应用。如上图。 （默认是10次，代表普通用户可以将十台计算机加入域控，但域控管理员不受限制。）
    组策略 - 只允许本地管理员登录域控计算机 - 可选
    powershell 执行 gpmc.msc 打开组策略管理。
    
    添加 Administrators 组 和 Domain Admins组，这样只能添加到本地管理员组的普通用户，或域控管理员用户能进行登录这台计算机。
    然后让AD执行 gpupdate /force 强制快速应用组策略。
    NTP服务器配置 - 使用公网权威NTP服务器作为上游同步
    因为默认仅仅会用COMS作为时间源，久了时间会偏移。
    

w32tm /config /manualpeerlist:cn.ntp.org.cn,0x8 /syncfromflags:MANUAL /update

#  仅主域控配置公网ntp服务器，并立即同步

w32tm /resync

# 强制同步NTP服务器，最好所有AD中的域控制器，都执行一次。


w32tm /query /status /verbose   

# 查看当前状态，NTP是否配置成功。

Leap 指示符: 0(无警告)
层次: 3 (次引用 - 与(S)NTP 同步)
精度: -23 (每刻度 119.209ns)
根延迟: 0.2056026s
根分散: 4.0711694s
引用 ID: 0xB65C0C0B (源 IP:  182.92.12.11)
上次成功同步时间: 2025/4/29 8:52:14
源: cn.ntp.org.cn,8
轮询间隔: 6 (64s)

相位偏移: -0.2507314s
ClockRate: 0.0156261s
计算机状态: 1 (等候)
时间源标志:0 (无)
服务器角色: 64 (时间服务)
上次同步错误: 0 (成功地执行了命令。)
上次成功同步时间后的时间: 19.3403555s

    创建额外的域控管理员用户
    运行dsa.msc 打开Active Directory 用户和计算机
    
    进入 Users 组织单位下，右键 Administrator，选择复制创建用户。
    启用并使用 Active Directory 回收站
    

## powershell 管理员执行。在主域控制器执行。

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=songxwn,DC=local' –Scope ForestOrConfigurationSet –Target ‘songxwn.local'

# 在主域控上执行，注意修改域名。

    已删除的对象，运行 dsac.exe 去 Active Directory 管理中心 > Deleted Objects 下查看并还原。
    
    启用数据库 32k 页可选功能 – 可选
    

# powershell 管理执行，输入Y继续。

$params = @{
    Identity = 'Database 32k pages feature'
    Scope = 'ForestOrConfigurationSet'
    Server = 'AD-S1'
    Target = 'songxwn.local'
}
Enable-ADOptionalFeature @params

# 注意修改域名。

    微软官方文档
    https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview
    到此这篇关于Windows Server 2025 搭建AD域控和初始化的文章就介绍到这了,更多相关Server 2025 搭建AD域控和初始化内容请搜索电脑手机教程网以前的文章或继续浏览下面的相关文章希望大家以后多多支持电脑手机教程网！