Windows Server 2019创建并配置AD域控制器

我们在给Windows Server添加角色和功能时，会发现有一项“远程桌面服务安装”，它的介绍为“为虚拟桌面基础结构（Virtual Desktop Infrastructure，VDI）安装所需的角色服务以创建基于虚拟机或基于会话的桌面部署”，启用这项功能之后，就可以实现VDI功能了。但是，如果我们想在服务器上部署VDI远程桌面服务，就需要将本地服务器加入到AD域中，否则无法部署。

想让企业内成百上千的电脑、用户和资源实现统一管理、单点登录和集中安全策略吗？​​ 这背后离不开Active Directory（AD）域服务这颗心脏。它是微软Windows网络环境的中央管理大脑。今天，我们就以Windows Server 2019为例，简单介绍一下中创建AD（Active Directory）域控制器。

要创建AD域控制器，首先要确保服务器配置了静态IP地址，这点我们是满足的；同时因为域控服务器一般也充当DNS服务器角色，所以也需要将AD服务器设置为DNS服务器的首选DNS地址（Windows Server 2019配置DNS服务器），这点我们也已经满足了。

开始之前，建议把服务器的名称也改一下。

然后在服务器管理器，点击“添加角色和功能”选项。在向导中，选择“基于角色或基于功能的安装”，点击“下一步”。

确认选择服务器，点击“下一步”。

在“选择服务器角色”页面，选中“Active Directory域服务”，确认要添加的功能，点击“下一步”。

在“选择功能”页面，按需调整，然后点击“下一步”。

确认AD DS（Active Directory Domain Service，AD域服务)相关信息，AD DS存储有关网络上的用户计算机和其他设备的信息，有助于管理员安全地管理该信息，并有助于用户间的资源共享和协作。

确认安装信息，点击“安装”。

安装完成之后，点击结果框中的“将次服务器提升为域控制器”开始配置AD域服务。

林是由一个或多个互相关联的域组成的一个整体结构，它是AD中最高级别的组织单位。首先，选择部署操作为“添加新林”，并指定此域的根域名为DNS服务器中配置的tt.com，然后点击“下一步”。

我的服务器版本为Server 2019，但是默认的林功能级别和域功能级别最高只能选择到Windows Server 2016；域控制器功能默认勾选DNS服务器。因为需要目录服务还原模式（Directory Services Restore Mode，DSRM）密码才能登录未运行AD DS的域控制器，所以需要指定目录服务还原模式（DSRM）密码，建议设置一个强密码，并妥善保管。

因为我们已经配置好了DNS服务器，在“DNS选项”这个页面，更改创建委派的凭据，然后点击“下一步”。

NetBIOS域名配置部分，按需进行调整。

在“路径”页面，可以配置AD DS的数据库、日志文件和SYSVOL的文件夹位置，默认位置始终位于%systemroot%中，我们用默认即可。

在“查看选项”页面，检查所做的选择是否正确。

还可以点击页面中的“查看脚本”按钮，查看用于AD DS部署的Windows PowerShell脚本。

Import-Module ADDSDeployment
Install-ADDSForest -CreateDnsDelegation:$true
-DatabasePath “C:\Windows\NTDS” -DnsDelegationCredential (Get-Credential)
-DomainMode “WinThreshold” -DomainName "tt.com"
-DomainNetbiosName “TT” -ForestMode "WinThreshold"
-InstallDns:$true -LogPath "C:\Windows\NTDS"
-NoRebootOnCompletion:$false -SysvolPath "C:\Windows\SYSVOL"
-Force:$true
然后点击“下一步”。

在“先决条件检查”页面，确认所有先决条件检查都成功通过，然后点击“安装”开始安装。

如上图所说，系统会自动重启以应用更改，并在重启后自动完成域控制器的安装和配置，并且自动加入域tt.com。

在远程登录时，提示证书风险，证书名称已经变成了tietou.tt.com。

在Windows系统中，可以看到计算机已经加入域tt.com，计算机全名已经变成了tietou.tt.com。

运行“dnsmgmt.msc”打开DNS管理器，我们可以看到，相比于之前，左侧导航栏中少了一个信任点的文件夹；在区域tt.com中，名称服务器（NS）中的tietou.变成了tietou.tt.com.，并且多了一条解析tietou的A记录，也就是表示将tietou.tt.com解析为192.168.1.59。

运行“dsa.msc”或“control userpasswords”打开Active Directory用户和计算机，可以在此界面查看和管理域tt.com中的用户、组和服务等。

域控制器domain controller的列表中列出了当前计算机，DC类型为GC（Global Catalog，全局编录），GC是存储林中所有AD对象副本的域控制器。

Users列出了当前的用户和组的列表，Administrator已经列出，我们就是使用此账号登陆的。

下面还有另外3个账号，我们测试一下登录情况。

可以看到，貌似账号没有登录权限，若要远程登录，改账号需要具有通过远程桌面服务进行登录的权限。难道是没有带域？我们在用户名前面输入域名tt.com，然后通过\分割账户名，下方提示登录到tt.com域。

在远程桌面用户列表中，可以看到可登录的用户名为TT\tietou2，我们用这个账户试一下。

结果还是不行，一样的情况。

后来发现是组策略（Group Policy Objects, GPOs）的问题，普通用户组已经没有权限了，暂时只能将用户先加入到管理员Administrators组了。

然后问题就解决了，可以顺利登录了。

至此，域控制器勉强算创建完了。通过本次实践，我们成功地将一台独立的Windows Server打造成了企业IT管理的核心——域控制器。​这仅仅是开始，接下来你可以轻松地将网络中的其他设备纳入域中进行统一管理，开启高效、安全的集中化管理新时代。​

你准备好将你的第一台服务器提升为域控了吗？欢迎在评论区分享你的搭建经验或遇到的问题！