安装第一台域控制器

1. 安装 AD DS 角色

打开服务器管理器，点击右上角管理 → 添加角色和功能

安装类型选择基于角色或基于功能的安装 → 选择当前服务器 DC01 → 下一步

在服务器角色列表中勾选 Active Directory 域服务，弹出"添加功能"对话框点确定 → 下一步到安装

安装完成后，服务器管理器顶部会出现黄色感叹号提示，点击将此服务器提升为域控制器

部署配置：选择添加新林 → 根域名输入 iehang.cn → 选择Windows Server 2016林和域功能级别（兼容 2019/2022/2025）→ 下一步

设置DSRM 密码（目录服务还原模式密码，用于紧急恢复），建议与管理员密码不同但同样复杂 → 下一步

确认 DNS 服务器选项（默认勾选）、NetBIOS 域名确认、数据库和日志路径（默认即可）→ 点击安装

安装完成后自动重启。重启后以 IEHANG\Administrator 登录，表示已进入域环境

PowerShell - 一键安装 AD DS 并提升为域控制器

# 第一步：安装 AD DS 角色和 PowerShell 管理工具
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools -Restart

# 第二步：安装完成后，提升为域控制器（创建新林）
Import-Module ADDSDeployment

Install-ADDSForest `
    -DomainName "iehang.cn" `
    -DomainNetbiosName "IEHANG" `
    -ForestMode "WinThreshold" `
    -DomainMode "WinThreshold" `
    -DatabasePath "C:\Windows\NTDS" `
    -LogPath "C:\Windows\NTDS" `
    -SysvolPath "C:\Windows\SYSVOL" `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "P@ssw0rd!DSRM" -AsPlainText -Force) `
    -InstallDNS $true `
    -Force -NoRebootOnCompletion

# 第三步：手动重启
Restart-Computer -Force

💡 林功能级别说明

WinThreshold 对应 Windows Server 2016 功能级别，这是 2019/2022/2025 的最低兼容级别。选择更高级别会限制低版本 DC 加入，但能启用更多新功能。实验环境推荐 WinThreshold。

2. 配置新林和域

提升域控制器时，AD 安装向导会自动完成以下操作：

创建 AD 数据库 ntds.dit
创建 SYSVOL 共享文件夹（用于 GPO 和脚本）
安装并配置 DNS 服务器
创建 5 个 FSMO 角色并全部指派给第一台 DC
创建默认的 OU（Users、Computers、Domain Controllers 等）
注册 DNS SRV 记录和 A 记录

3. PowerShell 一键安装

PowerShell - 无交互安装（自动化脚本）

# 适用于无人值守部署的完整脚本
$DomainName = "iehang.cn"
$DSRMPass = ConvertTo-SecureString "P@ssw0rd!DSRM" -AsPlainText -Force

# 安装角色（不自动重启）
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

# 提升为域控制器
Install-ADDSForest `
    -DomainName $DomainName `
    -SafeModeAdministratorPassword $DSRMPass `
    -InstallDNS $true `
    -Force

# 安装完成后自动重启
if ($?) { Restart-Computer -Force }

4. 验证安装结果

PowerShell - 安装后验证

# 检查域信息
Get-ADDomain

# 检查域控制器信息
Get-ADDomainController -Filter "*"

# 检查 FSMO 角色持有者
Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

# 检查 DNS SRV 记录是否注册
Resolve-DnsName "_ldap._tcp.dc._msdcs.iehang.cn" -Type SRV
Resolve-DnsName "DC01.iehang.cn" -Type A

# 运行 AD 诊断
dcdiag /test:DNS

5. DNS 与 Netlogon 验证

CMD - DNS 和 Netlogon 验证

# 验证 DNS 注册
nltest /dsgetdc:iehang.cn

# 验证 SYSVOL 共享
net share

# 检查 AD 服务状态
sc query NTDS
sc query Netlogon
sc query DNS

6. 常见问题

Q1：Install-ADDSForest 报错"无法联系 IP DNS 服务器"

确认 DC01 的首选 DNS 指向 127.0.0.1 或 192.168.10.254。如果指向外网 DNS（如 114.114.114.114），AD 域服务无法正确创建 DNS 区域。运行 Set-DnsClientServerAddress -InterfaceAlias "Ethernet0" -ServerAddresses "192.168.10.254" 修复。

Q2：安装后登录提示"信任关系失败"

通常因为使用了本地管理员账户登录。安装 AD 后需要使用 IEHANG\Administrator（域管理员）登录。如果确实使用域账户但仍报错，可能是 DNS 解析问题，检查 DNS 设置。

Q3：如何卸载 AD DS（回退）

警告：这是不可逆操作！如果是最后一台 DC，卸载 AD 会删除整个域。使用 Uninstall-ADDSDomainController -DemoteOperationDetectorRole -RemoveDnsDelegation -Force -Reboot

📑 目录