【第2季第1篇】Windows Server 2022 AD 域控制器：新版本变化、Security Defaults 与安全加固

系列：爱依航 · Windows Server 2022 运维系列

本篇主题：AD 域控制器部署与日常运维（WS2022 新版）

环境：域名 iehang.cn / IP 192.168.10.10 / NetBIOS IEHANG

开篇：WS 2022 的 AD 有哪些变化

WS 2022 的 AD 域服务不是简单的版本号升级，而是伴随着安全模型的根本性改变。

最大的变化：默认启用 Smartcard Required for Active Directory administrative operations（智能卡要求），以及 LDAP 签名和 LDAP 通道绑定的强制开启。

如果你从 WS 2019 迁移过来，第一个感受是"账号登录变严格了"。这是好事，但如果没有提前准备，可能导致运维事故。

本文介绍 WS 2022 的 AD 部署与新版本差异。

Part 1 · 部署前准备（对比 WS 2019）

硬件要求（WS 2022）

------	---------	---------
项目	最低要求	推荐配置
CPU	1.4 GHz 64位	2 GHz 以上多核
内存	2 GB	8 GB 以上（建议 16 GB）
磁盘	60 GB	100 GB 以上，SSD
操作系统	Windows Server 2022 Standard / Datacenter	Datacenter

网络参数（与 WS 2019 系列保持一致）


域名：        iehang.cn
NetBIOS 名：  IEHANG
域控制器 IP： 192.168.10.10
子网掩码：    255.255.255.0
网关：        192.168.10.1
首选 DNS：    192.168.10.10

Part 2 · 升级 AD DS 角色的注意事项（域林功能级别）

功能级别说明

AD 域的功能级别（Forest Functional Level / Domain Functional Level）决定了域控制器支持的功能上限。

---------	------------	---------------	---------
功能级别	最低域控版本	AD recycle bin	凭据漫游
Windows Server 2012 R2	WS 2012 R2	✅	✅
Windows Server 2016	WS 2016	✅	✅
Windows Server 2019	WS 2019	✅	✅
Windows Server 2022	WS 2022	✅	✅

WS 2022 的域和林功能级别和 WS 2019 相同，主要区别在于安全默认值和 LDAP 策略。

迁移建议

如果你已有 WS 2019 的域（iehang.cn），将域功能级别提升到 WS 2022：


# 提升域功能级别（执行前确保所有域控均为 WS 2019 及以上）
Set-ADDomainMode -Identity iehang.cn -DomainMode WindowsServer2022

# 提升林功能级别
Set-ADForestMode -Identity iehang.cn -ForestMode WindowsServer2022

# 验证结果
(Get-ADDomain iehang.cn).DomainMode
(Get-ADForest iehang.cn).ForestMode

注意： 提升后无法回退，请确保所有域控都已升级到 WS 2022 再操作。

Part 3 · 部署 WS 2022 域控制器

步骤一：安装 AD DS 角色


Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

步骤二：提升为域控制器（新建林）


Import-Module ADDSDeployment

Install-ADDSForest `
  -DatabasePath "C:\Windows\NTDS" `
  -DomainName "iehang.cn" `
  -DomainNetbiosName "IEHANG" `
  -ForestMode "WindowsServer2022" `
  -DomainMode "WindowsServer2022" `
  -InstallDns:$true `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "YourSafeModePassword!" -AsPlainText -Force) `
  -Force:$true

步骤三：WS 2022 的新安全默认值

WS 2022 AD DS 安装完成后，系统会自动启用以下安全策略：

LDAP 签名强制要求：LDAP 查询必须签名，防止中间人攻击
LDAP 通道绑定：LDAP over TLS（LDAPS）连接必须验证证书
Kerberos RC4 加密禁用警告：仅允许 AES 加密（已有域迁移时需注意兼容性）

可以通过以下命令验证：


# 检查 LDAP 签名要求
Get-ADDomain iehang.cn | Select-Object *Require*

# 检查域控安全设置
Get-ADObject -Identity "CN=Domain-DNS,CN=iehang.cn,CN=MicrosoftDNS,DC=DomainDNSZones,DC=iehang,DC=cn" `
  -Properties * | Select-Object Name,msDS-Behavior

# 查看当前 Kerberos 加密类型设置
Get-ADDomainController -Filter * | ForEach-Object {
  [Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey('LocalMachine', $_.Name).OpenSubKey('SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters')
}

Part 4 · 从 WS 2019 迁移域控到 WS 2022

如果你的域控制器目前是 WS 2019，想升级为 WS 2022，步骤如下：

第一步：将 WS 2022 服务器加入现有域

在 WS 2022 服务器上，将其加入 iehang.cn 域（作为成员服务器，重启后登录账号变为 IEHANG\Administrator）。

第二步：在 WS 2022 上安装 AD DS 角色


Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

第三步：使用 Seizure 操作转移 FSMO 角色

在 WS 2022 域控制器上（PDC 角色仍在 WS 2019 域控上时）：


Move-ADDirectoryServerOperationMasterRole -Identity "WS2022-DC" `
  -OperationMasterRole 0,1,2,3,4 `
  -Force

0 = PDC Emulator
1 = RID Master
2 = Infrastructure Master
3 = Schema Master
4 = Domain Naming Master

FSMO 角色对应编号：

第四步：降级旧的 WS 2019 域控


# 在 WS 2019 域控上执行
Uninstall-ADDSDomainController `
  -DemoteOperationMasterRole:$true `
  -Force:$true

降级后，将 WS 2019 服务器重装为成员服务器或退出域均可。

Part 5 · 常见故障 Top 3

故障一：LDAP 通道绑定导致旧客户端连接失败

表现： 非域内设备或旧系统通过 LDAP 连接域控制器时报错"LDAP 通道绑定未建立"，连接被拒绝。

原因： WS 2022 默认强制 LDAP 通道绑定（LDAP over TLS），旧设备使用明文 LDAP 或证书不匹配会被拒绝。

解决方法：


# 临时放宽 LDAP 通道绑定要求（生产环境建议评估后再执行）
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" `
  -Name "LDAPServerEnforceChannelBinding" -Value 1 -Type DWord

# 重新启动 AD DS 服务使更改生效
Restart-Service NTDS -Force

# 最佳实践：在非信任设备上强制使用 LDAPS（636 端口），而不是禁用通道绑定

长期方案： 为所有 LDAP 客户端配置可信证书，迁移到 LDAPS。

故障二：Kerberos AES 加密导致认证失败

表现： 部分旧客户端（Windows 7 未更新）无法登录域，报"KDC 不支持加密类型"。

原因： WS 2022 域控默认优先使用 AES 加密，禁用 RC4-HMAC（旧式 Kerberos 加密）。未打 KB article 299357 更新的 Windows 7 客户端不支持 AES。

解决方法：


# 检查用户账号的 Kerberos 加密类型
Get-ADUser -Identity username -Properties msDS-SupportedEncryptionTypes

# 临时为特定用户启用 RC4（不推荐长期使用）
Set-ADUser -Identity username -Replace @{msDS-SupportedEncryptionTypes="28"}

# 更好的方案：升级客户端系统到 Windows 10/11，或安装 KB299357 更新

故障三：AD 复制失败，报"复制目标拒绝"

表现： repadmin /replsummary 报目标服务器不可达，或复制延迟警告。

排查：


# 查看详细复制错误
repadmin /showrepl

# 查看复制拓扑
repadmin /repl Topology * /csv | ConvertFrom-Csv | Select-Object "Source DSA","Destination DSA","Number of Failures"

# 测试特定端口连通性（AD 复制依赖 389/636/3268/3269 端口）
Test-NetConnection -ComputerName ws2019-dc.iehang.cn -Port 389

Part 6 · WS 2022 AD 日常运维清单

新增 WS 2022 特有检查项


# 检查域和林功能级别
(Get-ADDomain iehang.cn).DomainMode
(Get-ADForest iehang.cn).ForestMode

# 检查 LDAP 通道绑定设置
(Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters").LDAPServerEnforceChannelBinding

# 检查安全审核（WS 2022 默认开启更严格的审核）
auditpol /get /category:* | Select-String "Credential Validation"

# 检查 LDAP 签名状态
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4742;StartTime=(Get-Date).AddDays(-7)} -MaxEvents 20

标准运维命令（与 WS 2019 通用）


# 域控制器复制状态
repadmin /replsummary

# 诊断 AD 问题
dcdiag /e /c

# 检查 SYSVOL 状态
dfsrmig /GetMigrationState

# 检查账号审计
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4625} -MaxEvents 20 | Select TimeCreated,@{N="Account";E={$_.Properties[5].Value}}

下期预告

WS 2022 的 DNS 多了什么？DNS 策略（DNS Policy）、Response Rate Limiting、DNSSEC 配置界面升级……

下一期：Windows Server 2022 DNS 部署与 DNS Policy 实战。