簡介

本教程主要內容為使用Windows Server 2025 部署Active Directory （ADDS\域控制器）服務。
所有操作盡量使用PowerShell，可提高部署效率和自動化操作。

AD 系列文章：https://songxwn.com/categories/AD/

使用目的

用于基礎設施中的LDAP統一身份授權認證、NTP 服務器、DNS服務器。

LDAP 系列文章：https://songxwn.com/tags/ldap/

域控配置要求

建議至少 2C6G 50G存儲

Windows Server 2025 最新ISO下載

MD5：985096E0D119BD8D2947CC2220986EE2

SHA1：5370F9F768EC31B846B2B7E14DCAF597C649ADEA

SHA256：72E67B86E0F7A000BF33D2CFB2394680E909AB3F880EAB42222177F5F4DF8E8A

BT 磁力 （可用迅雷或qBittorrent 下載）：

magnet:?xt=urn:btih:02b56c181327e1effeda992a3b3f0de3c74ba792&dn=zh-cn_windows_server_2025_updated_april_2025_x64_dvd_ea86301d.iso&xl=7050024960

KMS 安裝/激活密鑰

安裝密鑰：D764K-2NDRG-47T6Q-P8T8W-YP6DF

注意：安裝的時候選擇 Windows Server 2025 Datacenter 桌面體驗 版本。

激活命令

# 運行管理員權限的powershell 窗口




slmgr /ipk D764K-2NDRG-47T6Q-P8T8W-YP6DF

# 安裝KMS密鑰



slmgr /skms kms.songxwn.com
# 指定KMS 激活服務器



slmgr /ato

# 配置激活

# 然后重啟系統即可完成轉換。

域控安裝前準備

修改計算機名字 （作為域控后不建議隨意修改名字）

## powershell 管理員執行 或 終端 管理員執行

Rename-Computer -NewName "AD-S1" -Force -Restart

# 修改計算機名字并立即重啟生效。

配置固定IP

刪除安全服務 （可選）

Remove-WindowsFeature -Name Windows-Defender

域控安裝

添加域控制器角色

## powershell 管理員執行 或 終端 管理員執行

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

# 關閉防火墻

Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools 

# 安裝域控角色

如上圖，代表安裝完成。（安裝完成后盡量重啟一次。）

將服務器配置為域控制器

## powershell 管理員執行 或 終端 管理員執行，執行后會提示是否繼續，回車繼續即可。

Install-ADDSForest `
    -DomainName "songxwn.local" `
    -ForestMode Win2025 `
    -DomainMode Win2025 `
    -DomainNetbiosName "SONGXWN" `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "Songxwn.com" -AsPlainText -Force) `
    -InstallDNS

注意：執行配置完成后，會自動重啟。重啟后，要使用 songxwn\administrator 用戶登錄，密碼和之前的本地administrator一樣。

以上powershell 配置AD 命令的詳細講解：

-DomainName "songxwn.local"

• 該參數指定新的 Active Directory 域的 DNS 名稱。

• 這里創建的域名是 songxwn.local，可以自行修改。

-ForestMode Win2025

• 該參數用于指定新的 AD 域林的功能級別（Forest Functional Level）。

• 功能級別定義了林中能支持的活動目錄功能。

  • Windows2008, Windows2008R2

  • Windows2012, Windows2012R2

  • Windows2016

  • Windows2025

-DomainMode Win2025

• 該參數指定域的功能級別（Domain Functional Level）。

• 與林功能級別類似，定義了該域支持的功能和特性。

-DomainNetbiosName SONGXWN

• 指定域的 NetBIOS 名稱，NetBIOS 名稱是一個15字符以內的短名，主要用于舊的網絡瀏覽、兼容應用等。

• 一般與域名的前綴（主機部分）相同或類似，通常大寫。

• 例如 songxwn.local 域對應的 NetBIOS 名稱是 SONGXWN。

-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "Songxwn.com" -Force)

• 該參數指定目錄服務恢復模式（DSRM）管理員賬號（內建管理員賬戶）的密碼。

• DSRM 是 AD 維護和恢復時使用的特殊模式。

• 命令部分 (ConvertTo-SecureString -AsPlainText "Songxwn.com" -Force) 是將明文密碼 "Songxwn.com" 轉換成安全的字符串格式，符合命令要求。

• 注意，密碼應遵循復雜性策略，以保證安全。

-InstallDNS

• 指示安裝過程也安裝 DNS 服務器角色，并自動配置DNS。

• 對 Active Directory 域控來說，DNS 服務是必備的，因為 AD 依賴 DNS 進行名稱解析和服務定位。

域控安裝后

組策略 - 修改密碼過期時間

powershell 執行 gpmc.msc 打開組策略管理。

修改最長最短使用期限都為0天。

然后讓AD執行 gpupdate /force 強制快速應用組策略。

修改 DNS 轉發器 - 加快DNS查詢

運行 dnsmgmt.msc，修改所有的轉發器為本地網絡的公共DNS服務器。

ADSI - 設置普通用戶不能自己將計算機加入域控

運行adsiedit.msc，點擊操作 > 連接到 > 確定（連接到默認域控）> 右鍵 DC=songxwn,DC=local 屬性進行編輯。

找到“ ms-DS-MachineAccountQuota” ，將其數值由默認的10改成0 。然后點擊應用。如上圖。 （默認是10次，代表普通用戶可以將十臺計算機加入域控，但域控管理員不受限制。）

組策略 - 只允許本地管理員登錄域控計算機 - 可選

powershell 執行 gpmc.msc 打開組策略管理。

添加 Administrators 組 和 Domain Admins組，這樣只能添加到本地管理員組的普通用戶，或域控管理員用戶能進行登錄這臺計算機。

然后讓AD執行 gpupdate /force 強制快速應用組策略。

NTP服務器配置 - 使用公網權威NTP服務器作為上游同步

因為默認僅僅會用COMS作為時間源，久了時間會偏移。

w32tm /config /manualpeerlist:cn.ntp.org.cn,0x8 /syncfromflags:MANUAL /update

#  僅主域控配置公網ntp服務器，并立即同步





w32tm /resync

# 強制同步NTP服務器，最好所有AD中的域控制器，都執行一次。


w32tm /query /status /verbose   

# 查看當前狀態，NTP是否配置成功。

Leap 指示符: 0(無警告)
層次: 3 (次引用 - 與(S)NTP 同步)
精度: -23 (每刻度 119.209ns)
根延遲: 0.2056026s
根分散: 4.0711694s
引用 ID: 0xB65C0C0B (源 IP:  182.92.12.11)
上次成功同步時間: 2025/4/29 8:52:14
源: cn.ntp.org.cn,8
輪詢間隔: 6 (64s)

相位偏移: -0.2507314s
ClockRate: 0.0156261s
計算機狀態: 1 (等候)
時間源標志:0 (無)
服務器角色: 64 (時間服務)
上次同步錯誤: 0 (成功地執行了命令。)
上次成功同步時間后的時間: 19.3403555s

創建額外的域控管理員用戶

運行dsa.msc 打開Active Directory 用戶和計算機

進入 Users 組織單位下，右鍵 Administrator，選擇復制創建用戶。

啟用并使用 Active Directory 回收站

## powershell 管理員執行。在主域控制器執行。

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=songxwn,DC=local’ –Scope ForestOrConfigurationSet –Target ‘songxwn.local’

# 在主域控上執行，注意修改域名。

已刪除的對象，運行 dsac.exe 去 Active Directory 管理中心 > Deleted Objects 下查看并還原。

啟用數據庫 32k 頁可選功能 -- 可選

# powershell 管理執行，輸入Y繼續。

$params = @{
    Identity = 'Database 32k pages feature'
    Scope = 'ForestOrConfigurationSet'
    Server = 'AD-S1'
    Target = 'songxwn.local'
}
Enable-ADOptionalFeature @params

# 注意修改域名。

微軟官方文檔

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview

運維技術交流群

發送郵件到 ?? me@songxwn.com

或者關注WX公眾號：網工格物

博客（最先更新）

https://songxwn.com/