AD域控服务器配置是企业网络管理中的核心环节,主要用于集中管理用户账户、计算机、安全策略及网络资源,确保网络身份验证、授权和管理的统一性,以下是详细的配置步骤及注意事项,涵盖环境准备、安装部署、策略配置等全流程。
环境准备阶段
在部署AD域控前,需完成基础环境规划,避免后续配置冲突或性能问题。
硬件与系统要求
域控服务器的硬件配置需满足域内用户及资源的管理需求,推荐配置如下:
| 组件 | 最低配置 | 推荐配置 | 说明 |
|---|---|---|---|
| CPU | 双核2.0GHz | 四核及以上 | 支持虚拟化(若后续需虚拟域控) |
| 内存 | 4GB RAM | 8GB及以上 | 域用户数量每增加50人,建议内存增加2GB |
| 硬盘 | 80GB可用空间 | 200GB及以上SSD | 系统盘、AD数据库(NTDS.dit)、日志文件(EDB.log)需分盘存储,提升性能 |
| 网络 | 千兆网卡 | 万兆网卡 | 需固定静态IP地址,避免DHCP分配导致IP变更 |
| 操作系统 | Windows Server 2019/2022 Datacenter | 同左 | 必须为完整版,不支持家庭版或标准版(除非通过升级安装) |
网络规划
- IP地址配置:域控需静态IP,192.168.1.10/24,子网掩码255.255.255.0,网关192.168.1.1。
- DNS服务器:必须将DNS指向自身IP(192.168.1.10),域内所有客户端DNS需同步配置为域控IP,确保域名解析正常。
- 域名后缀:选择内部域名,如
corp.local或company.com,避免与公共域名重复,且建议使用.local减少外部解析冲突。 - 网络隔离:确保域控与客户端处于同一VLAN,或通过路由策略允许必要通信端口(如TCP/UDP 53、88、135、389、445等)。
服务器基础配置
安装AD域控前,需完成服务器基础设置,确保系统稳定运行。
设置静态IP与DNS
通过“服务器管理器”进入“网络连接”,配置IPv4地址为静态,DNS服务器填入域控自身IP(如192.168.1.10),禁用IPv6(若环境不需要)。
配置计算机名与工作组
右键“此电脑”→“属性”→“更改设置”,修改计算机名为易识别的名称(如DC01),确保符合命名规范(不超过15字符,不含特殊字符),工作组默认为WORKGROUP(域控安装后会自动更改为域名)。
时间同步
域内所有设备需时间同步,避免因时间差异导致认证失败,在域控上配置NTP服务器:
- 打开“注册表编辑器”,路径
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig,修改Type值为NTP。 - 路径
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer,修改Enabled值为1。 - 重启Windows Time服务:
net stop w32time && net start w32time。
关闭防火墙与杀毒软件
临时关闭Windows Defender防火墙(域控安装完成后需重新配置规则),避免AD安装过程中被拦截,同时暂停第三方杀毒软件,防止误杀系统文件。
安装Active Directory域服务(AD DS)
AD DS是域控的核心组件,需通过服务器管理器或命令行安装。
通过服务器管理器安装
- 打开“服务器管理器”,点击“添加角色和功能”,进入“添加角色和功能向导”。
- 选择“基于角色或功能的安装”,目标服务器选择当前服务器,点击“下一步”。
- 在“服务器角色”中勾选“Active Directory域服务”,点击“添加功能”确认依赖项(如.NET Framework、管理工具等)。
- 安装完成后,在服务器管理器提示中点击“将此服务器提升为域控”,或通过“工具”→“Active Directory域服务配置”启动向导。
配置域控选项
在“Active Directory域服务配置向导”中:
- 部署配置:选择“添加新林”,输入根域名(如
corp.local),设置NetBIOS域名(默认与域名前缀一致,如CORP)。 - 域控选项:设置还原模式密码(需8位以上,包含大小写、数字、特殊字符),此密码用于域控故障修复模式登录。
- 数据库和日志文件:建议将数据库(
NTDS.dit)、日志文件(EDB.log)存储在不同物理磁盘,例如数据库放在D:,日志放在E:,提升I/O性能。 - DNS选项:勾选“DNS服务器”,创建DNS正向查找区域(自动关联域名),反向查找区域可选(建议创建,便于IP反向解析)。
- 附加选项:默认即可,点击“下一步”直至安装完成。
安装过程需重启服务器,重启后域控服务将自动启动。
验证域控部署
安装完成后,需验证AD DS是否正常工作,确保域控可管理域内资源。
检查AD服务状态
- 打开“服务”(services.msc),确认以下服务正在运行:
- Active Directory Domain Services
- DNS Server
- Netlogon(域登录服务)
- Kerberos Key Distribution Center
验证DNS记录
- 打开“DNS管理器”(dnsmgmt.msc),检查正向查找区域下是否自动创建以下记录:
- SOA记录(起始授权机构)
- NS记录(名称服务器)
- A记录(域控主机记录,如
DC01.corp.local) - SRV记录(Kerberos、LDAP等服务的定位记录,关键域控服务依赖)
将客户端加入域
- 在客户端计算机(Windows 10/11)上,打开“系统属性”→“计算机名”→“更改”,输入域名
corp.local,点击“确定”,输入域管理员账户(如CORPAdministrator)及密码,重启后即可加入域。 - 在域控上打开“Active Directory用户和计算机”(dsa.msc),查看客户端计算机是否出现在“Computers”容器中。
域控策略配置
通过组策略(GPO)集中管理域内用户和计算机的安全设置及应用策略。
默认域策略
- 打开“组策略管理器”(gpmc.msc),右键“域”→
corp.local→“编辑默认域策略”。 - 密码策略:配置“密码必须符合复杂性要求”“密码长度最小值”“密码最长/最短使用期限”等,提升账户安全性。
- 账户锁定策略:设置“账户锁定阈值”(如5次无效登录)、“锁定时间”(如30分钟),防止暴力破解。
- Kerberos策略:配置票据生命周期、加密类型等,确保域认证安全。
创建OU(组织单位)
为便于管理,可按部门或功能创建OU,销售部”“技术部”“域控制器”等,右键“域”→“新建组织单位”,分配对应GPO策略。
注意事项与最佳实践
- 备份策略:定期备份域控系统状态(包含AD数据库、注册表、系统文件),使用Windows Server Backup工具,建议每日增量备份,每周完整备份。
- 高可用性:为避免单点故障,可部署额外域控(ADC),通过“Active Directory域服务配置向导”将新服务器设置为域控,并全局编录(GC)角色。
- 安全加固:
- 禁用域控的远程管理(除管理员IP外)
- 定期更新系统补丁
- 限制域管理员账户数量,使用普通账户日常操作
- 网络隔离:域控仅开放必要端口(如53、88、135、389、445、636等),关闭其他端口,减少攻击面。
相关问答FAQs
问题1:域控服务器部署后,客户端无法加入域,提示“找不到网络路径”,如何解决?
解答:此问题通常与网络通信或DNS配置相关,排查步骤如下:
- 确认客户端DNS服务器是否指向域控IP(如192.168.1.10),可通过
ipconfig /all检查。 - 检查域控防火墙是否允许“域网络”的入站规则,启用“Active Directory域服务”(TCP 389、445、88等端口)。
- 在客户端运行
nslookup 域名(如nslookup corp.local),验证是否能解析到域控IP。 - 检查域控Netlogon服务是否正常运行(
services.msc),若未运行,手动启动并设置自动启动。
问题2:如何将域控服务器降级为成员服务器,移除AD DS角色?
解答:降级前需确保域内无其他域控,否则可能导致域功能异常,步骤如下:
- 以域管理员身份登录域控,打开“Active Directory域服务配置向导”,选择“此域控是域中最后一个域控”,勾选“删除域”。
- 输入管理员密码,确认删除DNS集成、全局编录等选项,点击“下一步”开始降级。
- 降级完成后,服务器将重启,自动更改为工作组模式,此时可通过“服务器管理器”移除AD DS角色(若残留)。
- 重启后,检查DNS服务是否已卸载,确保网络配置恢复正常(如DNS可改为网关IP)。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/49225.html
