Windows Server AD 主备部署记录
这篇文章记录在 Windows Server 中部署两台域控制器,实现 AD 域冗余的基本过程。严格来说,AD 域里不存在“主备域控”的单主结构,两台域控制器都可以对外提供认证和目录服务,重点是通过多台 DC 提高可用性和容错能力。
为什么建议部署两台域控制器
在同一个域中部署多台域控制器,主要有这些好处:
- 登录请求可以分摊到多台 DC,提升整体响应能力。
- 一台 DC 故障时,另一台仍然可以继续提供认证服务。
- DNS、目录服务和复制机制都有更好的冗余性。
第一台域控制器部署
1. 基础准备
先完成主机名、IP 和基础安全配置。
修改主机名
## powershell 管理员执行 或 终端 管理员执行
Rename-Computer -NewName "AD-S1" -Force -Restart使用固定 IP 地址
按需关闭 Defender
Remove-WindowsFeature -Name Windows-Defender如果环境对安全性要求较高,这一步需要谨慎评估,不建议在生产环境中简单照搬。
2. 安装 AD DS 角色
安装前先按需要调整防火墙策略,然后添加 AD-Domain-Services 角色:
## powershell 管理员执行 或 终端 管理员执行
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
# 关闭防火墙
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
# 安装域控角色
3. 提升为新的域控制器
如果这是第一台 DC,就需要先创建新的林和域:
## powershell 管理员执行 或 终端 管理员执行,执行后会提示是否继续,回车继续即可。
Install-ADDSForest `
-DomainName "songxwn.local" `
-ForestMode Win2025 `
-DomainMode Win2025 `
-DomainNetbiosName "SONGXWN" `
-SafeModeAdministratorPassword (ConvertTo-SecureString "Songxwn.com" -AsPlainText -Force) `
-InstallDNS执行完成后系统会自动重启。重启后,需要使用 songxwn\administrator 登录,密码与原本本地 Administrator 保持一致。
4. 关键参数说明
上面的命令里,最关键的是下面几个参数:
-DomainName "xiangjigong.com"
该参数指定新的 Active Directory 域的 DNS 名称。
这里创建的域名是 xiangjigong.com,可以自行修改。
-ForestMode Win2025
该参数用于指定新的 AD 域林的功能级别(Forest Functional Level)。
功能级别定义了林中能支持的活动目录功能。
Windows2008, Windows2008R2
Windows2012, Windows2012R2
Windows2016
Windows2025
-DomainMode Win2025
该参数指定域的功能级别(Domain Functional Level)。
与林功能级别类似,定义了该域支持的功能和特性。
-DomainNetbiosName XIANGJIGONG
指定域的 NetBIOS 名称,NetBIOS 名称是一个15字符以内的短名,主要用于旧的网络浏览、兼容应用等。
一般与域名的前缀(主机部分)相同或类似,通常大写。
例如 xiangjigong.com 域对应的 NetBIOS 名称是 XIANGJIGONG。
-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "xiangjigong.com" -Force)
该参数指定目录服务恢复模式(DSRM)管理员账号(内建管理员账户)的密码。
DSRM 是 AD 维护和恢复时使用的特殊模式。
命令部分 (ConvertTo-SecureString -AsPlainText "xiangjigong.com" -Force) 是将明文密码 "xiangjigong.com" 转换成安全的字符串格式,符合命令要求。
注意,密码应遵循复杂性策略,以保证安全。
-InstallDNS
指示安装过程也安装 DNS 服务器角色,并自动配置DNS。
对 Active Directory 域控来说,DNS 服务是必备的,因为 AD 依赖 DNS 进行名称解析和服务定位。第一台域控制器的常见补充配置
下面这些不是必须项,但在实际环境里通常会一并处理。
1. 调整密码策略
powershell 执行 gpmc.msc 打开组策略管理。
修改最长最短使用期限都为0天。
然后让AD执行 gpupdate /force 强制快速应用组策略。
2. 配置 DNS 转发器
运行 dnsmgmt.msc,把 DNS 转发器改成内网可达的公共 DNS 或上游 DNS 服务器。文中的示例使用的是阿里云 DNS。
3. 限制普通用户加域数量
运行adsiedit.msc,点击操作 > 连接到 > 确定(连接到默认域控)> 右键 DC=xiangjigong,DC=com 属性进行编辑。
找到“ ms-DS-MachineAccountQuota” ,将其数值由默认的10改成0 。然后点击应用。如上图。 (默认是10次,代表普通用户可以将十台计算机加入域控,但域控管理员不受限制。)
4. 配置时间同步
主域控建议明确指定上游 NTP 源,然后强制同步一次。
w32tm /config /manualpeerlist:cn.ntp.org.cn,0x8 /syncfromflags:MANUAL /update
# 仅主域控配置公网ntp服务器,并立即同步
w32tm /resync
# 强制同步NTP服务器,最好所有AD中的域控制器,都执行一次。
w32tm /query /status /verbose
# 查看当前状态,NTP是否配置成功。5. 补充管理员权限
6. 启用 Active Directory 回收站
## powershell 管理员执行。在主域控制器执行。
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=xiangjigong,DC=com’ –Scope ForestOrConfigurationSet –Target ‘xiangjigong.com’已删除的对象,运行 dsac.exe 去 Active Directory 管理中心的 Deleted Objects 下查看并还原。
第一台域控制器完成后,域的基本框架就已经建立好了。接下来再把第二台服务器加入同一个域,并提升为额外域控制器。
第二台域控制器部署
第二台服务器的基础准备和第一台类似,仍然需要先设置固定 IP、主机名,并确保 DNS 指向现有域控制器。
完成加域后,再执行“提升为域控制器”操作,让它成为现有域中的附加 DC。
DNS 配置
第二台 DC 的 DNS 设置尤其重要。部署阶段建议优先指向第一台域控制器,提升完成后再根据实际情况把两台 DC 互相指向,形成冗余。
总结
AD 域控的关键不是“装好一台”,而是尽早做出冗余。两台域控制器部署完成后,建议再补一轮检查:
- 确认两台 DC 都能正常登录和解析域名。
- 确认 AD 复制状态正常。
- 确认 DNS、时间同步和回收站功能都已经生效。
这样后续再做用户、组策略和加域管理时,环境会稳定很多。