首页 > 第3季 · Windows Server 2025 > AD 域控制器部署与日常运维(WS2025新版)
第3季 · WS2025 · AD

AD 域控制器部署与日常运维(WS2025新版)

📌 系列:第3季 · Windows Server 2025 💠 版本:WS2025 🔧 专题:AD

【第3季第1篇】Windows Server 2025 AD 域控制器:密码哈希即时更新、DNS over HTTPS 与最新安全模型

系列:爱依航 · Windows Server 2025 运维系列

本篇主题:AD 域控制器部署与日常运维(WS2025 新版)

环境:域名 iehang.cn / IP 192.168.10.10 / NetBIOS IEHANG

开篇:WS 2025 是一次真正的升级

WS 2025 是 Windows Server 的最新长期服务频道(LTSC)版本。

对 AD 域管理员来说,WS 2025 有两个真正值得关注的新功能:

第一:密码哈希即时更新。 以往修改用户密码后,要等 AD 复制到所有域控,新登录才能用新密码。WS 2025 引入了 Credential Roaming 的增强版,支持跨域控的即时密码哈希同步。这个变化对多域控环境意义重大。

第二:DNS over HTTPS(DoH)。 DNS 查询默认支持加密传输,内网 DNS 通信从此不怕被窃听。

这两个功能,是 WS 2025 区别于前两代的最核心差异。

Part 1 · WS 2025 AD 新功能详解

1. 即时密码哈希更新(Password Hash Synchronization Enhancement)

在 WS 2025 之前的版本,密码变更后的哈希同步流程是:

用户改密码 → PDC Emulator 更新 → 等待复制到所有 DC → 其他 DC 上的登录才能用新密码。

WS 2025 改善了这一流程,通过增强的凭据漫游机制,减少密码同步延迟。

验证命令(WS 2025 新增):


# 查看域控的密码复制策略
Get-ADDomainController -Filter * | Select Name,Domain,IsGlobalCatalog,PasswordSyncStatus

# WS 2025 新增:检查密码哈希同步状态
repadmin /showattr * CN=Partitions,CN=Configuration,DC=iehang,DC=cn /attrs msDS-ReplicationEpoch

# 检查凭据同步配置
Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=iehang,DC=cn" `
  -Properties * | Select-Object msDS-*,Enabled

2. DNS over HTTPS(DoH)支持

WS 2025 DNS 服务器支持 DNS over HTTPS 加密查询,解决了内网 DNS 被中间人窃听的问题。


# 查看当前 DoH 配置状态(WS 2025 新增)
Get-DnsServerDoHConfiguration

# 为内网 DNS 启用 DoH
Set-DnsServerDoHConfiguration -IPAddress 192.168.10.10 -AutoUpgrade $true -Name "https://dns.iehang.cn/doh/query"

# 查看 DoH 映射表
Get-DnsServerResourceRecord -ZoneName "." -RRType Srv

3. 安全默认策略全面升级

WS 2025 的安全默认设置(Security Defaults)更严格:

安全项 WS 2019 WS 2022 WS 2025
------- -------- -------- --------
LDAP 签名 需手动开启 默认要求 ✅ 默认要求
LDAP 通道绑定 需手动开启 可选 ✅ 默认强制
Kerberos AES Required 建议开启 推荐 ✅ 默认推荐
NTLM SSP 可用 受限 更受限
DNS DoH ✅ 支持

Part 2 · WS 2025 AD DS 部署

安装 AD DS(PowerShell 全程)


# 安装 AD DS 角色和工具
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

# 提升为域控制器
Import-Module ADDSDeployment

Install-ADDSForest `
  -DatabasePath "C:\Windows\NTDS" `
  -DomainName "iehang.cn" `
  -DomainNetbiosName "IEHANG" `
  -ForestMode "WindowsServer2025" `
  -DomainMode "WindowsServer2025" `
  -InstallDns:$true `
  -SafeModeAdministratorPassword (ConvertTo-SecureString "WS2025SafeMode!" -AsPlainText -Force) `
  -Force:$true

WS 2025 新增 ForestMode 和 DomainMode:WindowsServer2025

从 WS 2019/WS 2022 迁移到 WS 2025


# 提升域功能级别到 WS 2025
Set-ADDomainMode -Identity iehang.cn -DomainMode WindowsServer2025
Set-ADForestMode -Identity iehang.cn -ForestMode WindowsServer2025

# 验证级别
(Get-ADDomain iehang.cn).DomainMode
(Get-ADForest iehang.cn).ForestMode

迁移步骤与 WS 2022 迁移流程一致,详见第2季第1篇。

Part 3 · 常见故障 Top 3

故障一:DoH 配置导致 DNS 解析异常

表现: 启用 DoH 后,部分旧客户端无法解析内部域名。

原因: 部分 Windows 旧版本(Win10 1809 之前)不支持 DoH,DNS 查询会失败。

解决方法:


# 临时禁用 DoH(仅内部使用时不建议开启 DoH)
Set-DnsServerDoHConfiguration -IPAddress 192.168.10.10 -State Off

# 查看 DNS 服务器日志
Get-WinEvent -FilterHashtable @{LogName="DNS Server";StartTime=(Get-Date).AddHours(-1)} -MaxEvents 20

建议: DoH 主要用于外网 DNS 转发,内部解析不建议强制开启 DoH。

故障二:Ntlm敏感安全设置导致旧客户端认证失败

WS 2025 进一步限制了 NTLM SSP(Security Support Provider),使用旧协议的系统可能出现间歇性认证失败。


# 查看当前 NTLM 网络安全设置
Get-ADDomain iehang.cn | Select *Ntlm*

# 检查 NTLM 审计日志(Event ID 8004 = NTLM 登录被拒绝)
Get-WinEvent -FilterHashtable @{LogName="Security";ID=8004;StartTime=(Get-Date).AddDays(-3)} -MaxEvents 20 | Select TimeCreated,Message

# 如果需要临时放宽 NTLM 限制(在域控制器 OU 上配置 GPO)
# 安全路径:计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 网络安全: LAN Manager 身份验证级别

故障三:AD 复制出现 Schema 版本不匹配

表现: 新加入的 WS 2025 域控与旧域控复制报错。


# 检查 Schema 版本(WS 2025 Schema 版本 = 88)
(Get-ADObject "CN=Schema,CN=Configuration,DC=iehang,DC=cn" -Properties objectVersion).objectVersion

# 检查所有域控的目录复制状态
repadmin /replsummary

# 强制复制
repadmin /syncall /APed

Part 4 · WS 2025 AD 日常运维清单


# 完整诊断(WS 2025 新增更多诊断输出)
dcdiag /e /c /v

# AD 数据库健康检查
Get-ADReplicationFailure -Target iehang.cn | Format-Table Server,FailureType,FirstFailureTime

# 检查 WS 2025 新增凭据同步状态
Get-ADReplicationPartnerMetadata -Target "DC=iehang,DC=cn" -Partition "DC=iehang,DC=cn" | Select LastReplicationSuccess,LastReplicationAttempt

# 导出域用户状态(含 WS 2025 新增属性)
Get-ADUser -Filter * -Properties PasswordLastSet,LastLogonDate,msDS-UserPasswordExpiryTimeComputed | `
  Select Name,SamAccountName,PasswordLastSet,@{N="Expiry";E={[datetime]::FromFileTime($_.msDS-UserPasswordExpiryTimeComputed)}} | `
  Export-Csv -Path C:\Reports\ADUsers_$(Get-Date -Format "yyyyMMdd").csv -NoTypeInformation

# 检查 DNS DoH 状态
Get-DnsServerDoHConfiguration | Select IPAddress,State,AutoUpgrade

下期预告

WS 2025 DNS:除了 DoH,还有什么新东西?DNS 聚合查询、Geo-Location Based Resolution……

下一期:Windows Server 2025 DNS 部署与新特性全面解析。