Windows配置域控

本文档适用Server2012R2~Server2025，但2012R2在2023.10.10 end of life了，且server2016、server2019不如server2022，建议使用server2022/2025。为啥建议，参考https://cloud.tencent.com/developer/article/2337704。

回到正题：

以下是公共镜像新买的机器操作，如果不是干净的环境，建议备份数据后重装系统为公共镜像操作。全程在VNC里操作是为了能完整看到全过程。

1、VNC登录，Network Location Wizard选"是"(没看到的话可能是镜像配置隐藏了Network Location Wizard，直接跳过这步)

如果新建的机器主机名没生效，需要手动重启下。运行control system看下主机名是否需要重启生效，是的话，先重启使主机名生效，比如下图：

2、配置静态IP（不配也可以，忽略后面的静态IP的告警即可）

3、powershell安装dotnet Get-WindowsFeature net-*|Install-WindowsFeature 4、配置域控，可以用3句powershell命令实现自动化安装 第1句 Install-WindowsFeature -Name DNS -IncludeManagementTools 第2句 Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

第3句（替换5处红底标记）

密码：QYv_lr6dx6cj

域：citrixlab.local

第3句命令里的数字，你域控是2012R2系统就取6，是2016/2019/2022/2025就取7 信息（密码、域、系统代号）替换成自己的

Install-ADDSForest -SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "QYv_lr6dx6cj" -Force) -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "7" -DomainName "citrixlab.local" -DomainNetbiosName "CITRIXLAB" -ForestMode "7" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$false -SysvolPath "C:\Windows\SYSVOL" -Force:$true

https://learn.microsoft.com/zh-cn/powershell/module/addsdeployment/install-addsforest?view=windowsserver2025-ps

5、域控配置好以后，运行dsa.msc创建域用户并将用户加到Domain Admins、Domain Computers组里

选一下密码永不过期

6、在控制台修改VPC的DNS，把域控的内网IP加到前面，并重启域控机器（如果不统一改整个vpc的话，单台机器要入域的话，第一个dns需改成域控机器的内网IP才行）

7、避免在公网使用53端口、445端口的业务，安全组请先对内网网段放行，然后禁止0.0.0.0/0访问 53端口主要是安全合规的背景 445端口主要是黑客攻击的背景 安全组配置不当使得DNS在公网能访问的话，就会被平台封禁53端口流量，影响机器内外网53端口业务 针对53端口，建议内网放行全部，外网禁止所有，参考下图

8、登录要入域的机器执行入域（运行sysdm.cpl，更改 → 隶属于）

入域后就可以用第5步里设置的域用户登录了