AD系列：Windows Server 2025 搭建AD域控和初始化

简介

本教程主要内容为使用Windows Server 2025 部署Active Directory （ADDS\域控制器）服务。

所有操作尽量使用PowerShell，可提高部署效率和自动化操作。

AD 系列文章：https://songxwn.com/categories/AD/

使用目的

用于基础设施中的LDAP统一身份授权认证、NTP 服务器、DNS服务器。

LDAP 系列文章：https://songxwn.com/tags/ldap/

域控配置要求

建议至少 2C6G 50G存储

Windows Server 2025 最新ISO下载

MD5：985096E0D119BD8D2947CC2220986EE2

SHA1：5370F9F768EC31B846B2B7E14DCAF597C649ADEA

SHA256：72E67B86E0F7A000BF33D2CFB2394680E909AB3F880EAB42222177F5F4DF8E8A

BT 磁力 （可用迅雷或qBittorrent 下载）：

magnet:?xt=urn:btih:02b56c181327e1effeda992a3b3f0de3c74ba792&dn=zh-cn_windows_server_2025_updated_april_2025_x64_dvd_ea86301d.iso&xl=7050024960

KMS 安装/激活密钥

安装密钥：D764K-2NDRG-47T6Q-P8T8W-YP6DF

注意：安装的时候选择 Windows Server 2025 Datacenter 桌面体验 版本。

激活命令

# 运行管理员权限的powershell 窗口

slmgr /ipk D764K-2NDRG-47T6Q-P8T8W-YP6DF

# 安装KMS密钥

slmgr /skms kms.songxwn.com
# 指定KMS 激活服务器

slmgr /ato

# 配置激活

# 然后重启系统即可完成转换。

域控安装前准备

修改计算机名字 （作为域控后不建议随意修改名字）

## powershell 管理员执行 或 终端 管理员执行

Rename-Computer -NewName "AD-S1" -Force -Restart

# 修改计算机名字并立即重启生效。

配置固定IP

删除安全服务 （可选）

Remove-WindowsFeature -Name Windows-Defender

域控安装

添加域控制器角色

## powershell 管理员执行 或 终端 管理员执行

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

# 关闭防火墙

Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools 

# 安装域控角色

如上图，代表安装完成。（安装完成后尽量重启一次。）

将服务器配置为域控制器

## powershell 管理员执行 或 终端 管理员执行，执行后会提示是否继续，回车继续即可。

Install-ADDSForest `
    -DomainName "songxwn.local" `
    -ForestMode Win2025 `
    -DomainMode Win2025 `
    -DomainNetbiosName "SONGXWN" `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "Songxwn.com" -AsPlainText -Force) `
    -InstallDNS

注意：执行配置完成后，会自动重启。重启后，要使用 songxwn\administrator 用户登录，密码和之前的本地administrator一样。

以上powershell 配置AD 命令的详细讲解：

-DomainName "songxwn.local"

• 该参数指定新的 Active Directory 域的 DNS 名称。

• 这里创建的域名是 songxwn.local，可以自行修改。

-ForestMode Win2025

• 该参数用于指定新的 AD 域林的功能级别（Forest Functional Level）。

• 功能级别定义了林中能支持的活动目录功能。

  • Windows2008, Windows2008R2

  • Windows2012, Windows2012R2

  • Windows2016

  • Windows2025

-DomainMode Win2025

• 该参数指定域的功能级别（Domain Functional Level）。

• 与林功能级别类似，定义了该域支持的功能和特性。

-DomainNetbiosName SONGXWN

• 指定域的 NetBIOS 名称，NetBIOS 名称是一个15字符以内的短名，主要用于旧的网络浏览、兼容应用等。

• 一般与域名的前缀（主机部分）相同或类似，通常大写。

• 例如 songxwn.local 域对应的 NetBIOS 名称是 SONGXWN。

-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "Songxwn.com" -Force)

• 该参数指定目录服务恢复模式（DSRM）管理员账号（内建管理员账户）的密码。

• DSRM 是 AD 维护和恢复时使用的特殊模式。

• 命令部分 (ConvertTo-SecureString -AsPlainText "Songxwn.com" -Force) 是将明文密码 "Songxwn.com" 转换成安全的字符串格式，符合命令要求。

• 注意，密码应遵循复杂性策略，以保证安全。

-InstallDNS

• 指示安装过程也安装 DNS 服务器角色，并自动配置DNS。

• 对 Active Directory 域控来说，DNS 服务是必备的，因为 AD 依赖 DNS 进行名称解析和服务定位。

域控安装后

组策略 - 修改密码过期时间

powershell 执行 gpmc.msc 打开组策略管理。

修改最长最短使用期限都为0天。

然后让AD执行 gpupdate /force 强制快速应用组策略。

修改 DNS 转发器 - 加快DNS查询

运行 dnsmgmt.msc，修改所有的转发器为本地网络的公共DNS服务器。

ADSI - 设置普通用户不能自己将计算机加入域控

运行adsiedit.msc，点击操作 > 连接到 > 确定（连接到默认域控）> 右键 DC=songxwn,DC=local 属性进行编辑。

找到“ ms-DS-MachineAccountQuota” ，将其数值由默认的10改成0 。然后点击应用。如上图。 （默认是10次，代表普通用户可以将十台计算机加入域控，但域控管理员不受限制。）

组策略 - 只允许本地管理员登录域控计算机 - 可选

powershell 执行 gpmc.msc 打开组策略管理。

添加 Administrators 组 和 Domain Admins组，这样只能添加到本地管理员组的普通用户，或域控管理员用户能进行登录这台计算机。

然后让AD执行 gpupdate /force 强制快速应用组策略。

NTP服务器配置 - 使用公网权威NTP服务器作为上游同步

因为默认仅仅会用COMS作为时间源，久了时间会偏移。

w32tm /config /manualpeerlist:cn.ntp.org.cn,0x8 /syncfromflags:MANUAL /update

#  仅主域控配置公网ntp服务器，并立即同步

w32tm /resync

# 强制同步NTP服务器，最好所有AD中的域控制器，都执行一次。

w32tm /query /status /verbose   

# 查看当前状态，NTP是否配置成功。

Leap 指示符: 0(无警告)
层次: 3 (次引用 - 与(S)NTP 同步)
精度: -23 (每刻度 119.209ns)
根延迟: 0.2056026s
根分散: 4.0711694s
引用 ID: 0xB65C0C0B (源 IP:  182.92.12.11)
上次成功同步时间: 2025/4/29 8:52:14
源: cn.ntp.org.cn,8
轮询间隔: 6 (64s)

相位偏移: -0.2507314s
ClockRate: 0.0156261s
计算机状态: 1 (等候)
时间源标志:0 (无)
服务器角色: 64 (时间服务)
上次同步错误: 0 (成功地执行了命令。)
上次成功同步时间后的时间: 19.3403555s

创建额外的域控管理员用户

运行dsa.msc 打开Active Directory 用户和计算机

进入 Users 组织单位下，右键 Administrator，选择复制创建用户。

启用并使用 Active Directory 回收站

## powershell 管理员执行。在主域控制器执行。

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=songxwn,DC=local’ –Scope ForestOrConfigurationSet –Target ‘songxwn.local’

# 在主域控上执行，注意修改域名。

已删除的对象，运行 dsac.exe 去 Active Directory 管理中心 > Deleted Objects 下查看并还原。

启用数据库 32k 页可选功能 -- 可选

# powershell 管理执行，输入Y继续。

$params = @{
    Identity = 'Database 32k pages feature'
    Scope = 'ForestOrConfigurationSet'
    Server = 'AD-S1'
    Target = 'songxwn.local'
}
Enable-ADOptionalFeature @params

# 注意修改域名。

微软官方文档

https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview

运维技术交流群

发送邮件到 ️ me@songxwn.com

或者关注WX公众号：网工格物

博客（最先更新）

https://songxwn.com/