Home

Windows Server AD主备配置

1392 预计阅读时间:7分钟 网络技术

在部署活动目录服务的时候,首先应该考虑域控制器的安全性,主域控一旦崩掉,一般很难修复,后果非常严重,本文介绍在活动目录中部署两台域控制器,两台都是主控,互为冗余。

如果一个域内有多个域控制器,可以有如下好处:
提高用户登录的效率:如果同时有多台域控制器对客户提供服务,可以分担审核用户登录身份(账户与密码)的负担,让用户登录效率更佳。
容错功能:如果有域控制器发生故障,此时依然能有其他正常的域控制器继续提供域服务器。
高可用性:可以配置成为冗余,其中一台故障,不需要切换仍然可保持正常服务。

Windows Server 准备工作

修改主机名

## powershell 管理员执行 或 终端 管理员执行

Rename-Computer -NewName "AD-S1" -Force -Restart

# 修改计算机名字并立即重启生效。

使用固定 IP地址

删除安全服务

Remove-WindowsFeature -Name Windows-Defender

当然你也可以使用工具删除

域控制器安装

## powershell 管理员执行 或 终端 管理员执行

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

# 关闭防火墙

Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools 

# 安装域控角色

如上图,代表安装完成。(安装完成后重启一次。)

将服务器提升为域控制器

## powershell 管理员执行 或 终端 管理员执行,执行后会提示是否继续,回车继续即可。

Install-ADDSForest `
    -DomainName "songxwn.local" `
    -ForestMode Win2025 `
    -DomainMode Win2025 `
    -DomainNetbiosName "SONGXWN" `
    -SafeModeAdministratorPassword (ConvertTo-SecureString "Songxwn.com" -AsPlainText -Force) `
    -InstallDNS

注意:执行配置完成后,会自动重启。重启后,要使用 songxwn\administrator 用户登录,密码和之前的本地administrator一样。

PowerShell 配置AD 命令的详解:

-DomainName "xiangjigong.com"
该参数指定新的 Active Directory 域的 DNS 名称。

这里创建的域名是 xiangjigong.com,可以自行修改。

-ForestMode Win2025
该参数用于指定新的 AD 域林的功能级别(Forest Functional Level)。

功能级别定义了林中能支持的活动目录功能。

Windows2008, Windows2008R2

Windows2012, Windows2012R2

Windows2016

Windows2025

-DomainMode Win2025
该参数指定域的功能级别(Domain Functional Level)。

与林功能级别类似,定义了该域支持的功能和特性。

-DomainNetbiosName XIANGJIGONG
指定域的 NetBIOS 名称,NetBIOS 名称是一个15字符以内的短名,主要用于旧的网络浏览、兼容应用等。

一般与域名的前缀(主机部分)相同或类似,通常大写。

例如 xiangjigong.com 域对应的 NetBIOS 名称是 XIANGJIGONG。

-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "xiangjigong.com" -Force)
该参数指定目录服务恢复模式(DSRM)管理员账号(内建管理员账户)的密码。

DSRM 是 AD 维护和恢复时使用的特殊模式。

命令部分 (ConvertTo-SecureString -AsPlainText "xiangjigong.com" -Force) 是将明文密码 "xiangjigong.com" 转换成安全的字符串格式,符合命令要求。

注意,密码应遵循复杂性策略,以保证安全。

-InstallDNS
指示安装过程也安装 DNS 服务器角色,并自动配置DNS。

对 Active Directory 域控来说,DNS 服务是必备的,因为 AD 依赖 DNS 进行名称解析和服务定位。

一些优化(也不算优化吧可选)

组策略 - 修改密码过期时间

powershell 执行 gpmc.msc 打开组策略管理。

修改最长最短使用期限都为0天。

然后让AD执行 gpupdate /force 强制快速应用组策略。

修改 DNS 转发器 - 加快DNS查询

运行 dnsmgmt.msc,修改所有的转发器为本地网络的公共DNS服务器。

这里选择阿里云

ADSI - 设置普通用户不能自己将计算机加入域控

运行adsiedit.msc,点击操作 > 连接到 > 确定(连接到默认域控)> 右键 DC=xiangjigong,DC=com 属性进行编辑。
找到“ ms-DS-MachineAccountQuota” ,将其数值由默认的10改成0 。然后点击应用。如上图。 (默认是10次,代表普通用户可以将十台计算机加入域控,但域控管理员不受限制。)

NTP服务器配置 - 使用公网权威NTP服务器作为上游同步

w32tm /config /manualpeerlist:cn.ntp.org.cn,0x8 /syncfromflags:MANUAL /update

#  仅主域控配置公网ntp服务器,并立即同步

w32tm /resync

# 强制同步NTP服务器,最好所有AD中的域控制器,都执行一次。


w32tm /query /status /verbose   

# 查看当前状态,NTP是否配置成功。

给自己添加狗管理身份

启用并使用 Active Directory 回收站

## powershell 管理员执行。在主域控制器执行。

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=xiangjigong,DC=com’ –Scope ForestOrConfigurationSet –Target ‘xiangjigong.com’

# 在主域控上执行,注意修改域名。

已删除的对象,运行 dsac.exe 去 Active Directory 管理中心 > Deleted Objects 下查看并还原。

第一台 AD 就完事了,接下来第 2 台

备 DC 安装

准备工作一致,直击主题。

更改 DNS

网络 AI