首页 > 第1季 · Windows Server 2019 > AD 域控制器部署与日常运维
第1季 · WS2019 · AD

AD 域控制器部署与日常运维

📌 系列:第1季 · Windows Server 2019 💠 版本:WS2019 🔧 专题:AD

【第1季第1篇】Windows Server 2019 AD 域控制器:3小时从零搭建到稳定运行

系列:爱依航 · Windows Server 2019 运维系列

本篇主题:AD 域控制器部署与日常运维

环境:域名 iehang.cn / IP 192.168.10.10 / NetBIOS IEHANG

开篇:一个真实场景

你管着公司 100 台电脑。

财务说"统一改个密码策略,复杂度要提高",你一台一台改,改到第 30 台手酸了。

新员工入职,你要跑 5 个系统各建一套账号。离职了,还要跑 5 个系统各销一遍。

打印机共享靠 IP,共享文件夹靠 U 盘,补丁靠群发链接。

这就是没有 AD 域的日子。

AD 域的核心价值就三句话:账号统一管、策略统一下、资源统一享。 搭建好了,以上所有问题,一个入口搞定。

Part 1 · 部署之前,先把网络理清楚

很多人 AD 部署失败,不是因为不会装,而是因为准备工作没做。

硬件与系统要求

项目 最低要求 推荐配置
------ --------- ---------
CPU 1.4 GHz 64位 2 GHz 以上多核
内存 2 GB 8 GB 以上
磁盘 60 GB 100 GB 以上,SSD
操作系统 Windows Server 2019 Standard / Datacenter Datacenter(支持更多功能)

网络规划(本文环境)


域名:        iehang.cn
NetBIOS 名:  IEHANG
域控制器 IP: 192.168.10.10
子网掩码:    255.255.255.0
网关:        192.168.10.1
首选 DNS:    192.168.10.10(自己指向自己)

重要提醒:DNS 必须先配好。 AD 域依赖 DNS 做服务发现,DNS 配错或指向空,域控制器提升这一步 100% 报错。建议把首选 DNS 静态指向本机 IP。

Part 2 · 手把手搭建域控制器

步骤一:修改计算机名

右键"此电脑" → 属性 → 高级系统设置 → 计算机名 → 更改。

建议命名为:DC01

这样一眼就知道这是第一台域控制器。

修改后需要重启生效。

步骤二:配置静态 IP

打开"网络和共享中心" → 更改适配器设置 → 右键网卡 → 属性 → IPv4。

按上文的网络规划填写:


IP 地址:   192.168.10.10
子网掩码:  255.255.255.0
默认网关:  192.168.10.1
首选 DNS:  192.168.10.10

步骤三:添加 AD 域服务角色

打开"服务器管理器" → 添加角色和功能 → 服务器角色 → 勾选 Active Directory 域服务

点击三次"下一步"后点"安装"。安装过程无需选择其他角色,一个 AD DS 就够了。

步骤四:提升为域控制器

角色安装完成后,服务器管理器顶部会出现一个黄色警告栏:"配置此服务器为域控制器"

点击它,启动 AD DS 配置向导。

选择"添加新林",根域名填写:iehang.cn

系统会自动生成 NetBIOS 名:IEHANG(可自行修改,但建议保留自动生成的)

DSRM(目录服务还原模式)密码:务必记录下来。这是域控崩盘后的最后救命密码,建议用密码管理器保存。

其他选项保持默认,直接下一步直到"先决条件检查"。如果全部通过,点击"安装"。

安装完成后服务器会自动重启。

步骤五:验证是否成功

重启后登录界面会发生两个变化:

  1. 登录名从 .\Administrator 变成 IEHANG\Administrator
  2. 开机后服务器管理器界面多了 AD DS 管理单元

打开 PowerShell,运行以下验证命令:


# 验证域控角色是否正常注册
Get-ADDomainController -Discover -Service "PrimaryDC"

# 验证域信息
Get-ADDomain iehang.cn

# 验证复制状态
repadmin /replsummary

# 全面诊断
dcdiag /e /c

所有命令返回绿色或无报错,说明 AD 部署成功。

Part 3 · 打开 AD 的正确方式

认识两个管理工具

AD 装好后,管理入口藏在两个地方:

AD 用户和计算机(ADUC)


dsa.msc

用于管理用户账号、计算机账号、组织单位(OU)、组策略链接等。日常运维用得最多的就是这个。

AD 管理中心(ADAC)


dsac.exe

图形界面更友好,适合查看对象属性和做简单搜索。

创建第一个 OU 和用户

建议先建组织单位(OU),再在 OU 下建用户。不要把用户直接放在默认容器里,否则组策略没法精准下发。

推荐 OU 结构(可根据公司规模调整):


iehang.cn
  ├── IT(IT部门)
  ├── Finance(财务部门)
  ├── HR(人力部门)
  ├── Servers(服务器计算机账号)
  └── ServiceAccounts(服务账号)

在 ADUC 中右键域名 → 新建 → 组织单位,依次建好。

新建用户:右键对应 OU → 新建 → 用户 → 填写姓名、登录名 → 设置密码 → 完成。

Part 4 · 常见故障 Top 3

故障一:域用户登录报"信任关系失败"

报错文字: 安全账户管理器初始化失败,或提示"无法建立信任关系"。

原因: 最常见的原因是 DNS 指向错误。客户端无法通过 DNS 找到域控制器,或者域控制器的 DNS 注册出了问题。

排查步骤:


# 客户端上检查 DNS 是否指向域控制器
ipconfig /all

# 客户端上测试 DNS 解析
nslookup iehang.cn
nslookup _ldap._tcp.dc._msdcs.iehang.cn

# 域控制器上检查 SRV 记录是否注册
nslookup -type=srv _ldap._tcp.dc._msdcs.iehang.cn

解决方法: 将客户端的首选 DNS 改为域控制器的 IP(192.168.10.10),然后重新加域。

故障二:域控制器 DNS 指向错误导致 SYSVOL 异常

表现: 组策略更新时报错,sysvol 共享找不到,部分策略没有生效。

原因: 域控制器自身 DNS 指向了公网 DNS 或其他 IP,导致 AD 相关 DNS 记录无法正确注册到本机。

解决方法:

  1. 将域控制器的首选 DNS 改回 127.0.0.1 或本机 IP 192.168.10.10
  2. 运行以下命令强制重新注册 DNS 记录:

# 强制注册本机 DNS 记录
nltest /dsregdns

# 重启 Netlogon 服务
Restart-Service Netlogon

# 重置计算机账户
Reset-ComputerMachinePassword -Server DC01 -Credential (Get-Credential)

故障三:NTDS.dit 数据库膨胀

表现: C 盘空间不足,AD 数据库文件 ntds.dit 异常增大,有时候可达数十 GB。

原因: 没有定期清理陈旧对象,删除的计算机/用户账号残留在数据库里。

解决方法:


# 查看 AD 数据库大小
(Get-Item C:\Windows\NTDS\ntds.dit).Length / 1GB

# 查看孤立对象数量
Get-ADObject -Filter {IsDeleted -eq $true} -Properties IsDeleted,LastKnownParent | Measure-Object

# 清理已删除对象(垃圾回收)
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=iehang,DC=cn" -Partition "CN=Configuration,DC=iehang,DC=cn" -Replace @{msDS-garbageCollPeriod="24"}

建议定期(每季度)运行垃圾回收,并开启 AD 数据库碎片整理:


# 离线碎片整理(需要先停止 AD DS 服务)
Stop-Service -Name ADWS
Stop-Service -Name NTDS
Stop-Service -Name Netlogon
esentutil /d C:\Windows\NTDS\ntds.dit
Start-Service -Name NTDS
Start-Service -Name ADWS
Start-Service -Name Netlogon

Part 5 · 日常运维清单

每周必做


# 检查域控制器复制状态
repadmin /replsum * /bysrc /bydest

# 检查所有域控的 SYSVOL 状态
dfsrmig /GetMigrationState

# 检查登录失败日志(防暴力破解)
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4625} -MaxEvents 20 | Select TimeCreated,@{N="Account";E={$_.Properties[5].Value}}

# 检查账号过期情况
Search-ADAccount -AccountExpired -UsersOnly | Select Name,SamAccountName

每月必做


# 导出所有域用户列表(含创建时间、最后登录)
Get-ADUser -Filter * -Properties PasswordLastSet,LastLogonDate,Created | `
  Select Name,SamAccountName,Enabled,PasswordLastSet,LastLogonDate,Created | `
  Export-Csv -Path C:\Reports\ADUsers_$(Get-Date -Format "yyyyMMdd").csv -NoTypeInformation

# 检查未在 OU 内的计算机账号(通常是不合规的)
Get-ADComputer -Filter * -Properties DistinguishedName | `
  Where-Object {$_.DistinguishedName -notlike "*,OU=*,DC=iehang,DC=cn"} | `
  Select Name,DistinguishedName

安全加固建议

  1. 开启 LDAP 签名和 LDAP 通道绑定:防止中间人攻击

New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LDAPServerIntegrity" -Value 2
  1. 限制域管理员登录范围:域管理员不应日常登录到成员服务器,只登录域控制器
  1. 启用审核策略:在 Default Domain Controller Policy 中启用登录成功/失败的审核

下期预告

DNS 和 AD 是一对不离不弃的搭档。

下一期我们来讲:DNS 服务器的部署与常见故障排查,包括 iehang.cn 域的正向查找、反向查找,以及 SRV 记录的那些坑。

系列目录(持续更新)

主题 状态
---- ------ ------
第1篇 AD 域控制器部署与日常运维 ✅ 本文
第2篇 DNS 部署与常见故障排查 🔜 下期
第3篇 DHCP 部署与地址管理 📋 待写
第4篇 WDS 无人值守安装实战 📋 待写

*作者:爱依航 · 专注 Windows Server 运维实践*