文章总结： 本文档详述了在WindowsServer2019上创建并配置AD域控制器的全过程。内容涵盖IP与DNS设置、安装ADDS角色、配置新林与域控制器选项等关键步骤。文章还演示了安装后的DNS验证，并针对普通用户远程登录失败问题，通过调整组成员身份解决，为企业实现集中化管理提供了实用的操作指导。 综合评分： 80 文章分类： 安全建设,实战经验,安全运营

Windows Server 2019创建并配置AD域控制器

原创

衡水铁头哥 衡水铁头哥

铁军哥

2026年2月16日 07:41 北京

正文共：1234 字 27 图，预估阅读时间：2 分钟

我们在给Windows Server添加角色和功能时，会发现有一项“远程桌面服务安装”，它的介绍为“为虚拟桌面基础结构（Virtual Desktop Infrastructure，VDI）安装所需的角色服务以创建基于虚拟机或基于会话的桌面部署”，启用这项功能之后，就可以实现VDI功能了。但是，如果我们想在服务器上部署VDI远程桌面服务，就需要将本地服务器加入到AD域中，否则无法部署。

想让企业内成百上千的电脑、用户和资源实现统一管理、单点登录和集中安全策略吗？​​ 这背后离不开Active Directory（AD）域服务这颗心脏。它是微软Windows网络环境的中央管理大脑。今天，我们就以Windows Server 2019为例，简单介绍一下中创建AD（Active Directory）域控制器。

要创建AD域控制器，首先要确保服务器配置了静态IP地址，这点我们是满足的；同时因为域控服务器一般也充当DNS服务器角色，所以也需要将AD服务器设置为DNS服务器的首选DNS地址（Windows Server 2019配置DNS服务器），这点我们也已经满足了。

开始之前，建议把服务器的名称也改一下。

然后在服务器管理器，点击“添加角色和功能”选项。在向导中，选择“基于角色或基于功能的安装”，点击“下一步”。

确认选择服务器，点击“下一步”。

在“选择服务器角色”页面，选中“Active Directory域服务”，确认要添加的功能，点击“下一步”。

在“选择功能”页面，按需调整，然后点击“下一步”。

确认AD DS（Active Directory Domain Service，AD域服务)相关信息，AD DS存储有关网络上的用户计算机和其他设备的信息，有助于管理员安全地管理该信息，并有助于用户间的资源共享和协作。

确认安装信息，点击“安装”。

安装完成之后，点击结果框中的“将次服务器提升为域控制器”开始配置AD域服务。

林是由一个或多个互相关联的域组成的一个整体结构，它是AD中最高级别的组织单位。首先，选择部署操作为“添加新林”，并指定此域的根域名为DNS服务器中配置的tt.com，然后点击“下一步”。

我的服务器版本为Server 2019，但是默认的林功能级别和域功能级别最高只能选择到Windows Server 2016；域控制器功能默认勾选DNS服务器。因为需要目录服务还原模式（Directory Services Restore Mode，DSRM）密码才能登录未运行AD DS的域控制器，所以需要指定目录服务还原模式（DSRM）密码，建议设置一个强密码，并妥善保管。

因为我们已经配置好了DNS服务器，在“DNS选项”这个页面，更改创建委派的凭据，然后点击“下一步”。

NetBIOS域名配置部分，按需进行调整。

在“路径”页面，可以配置AD DS的数据库、日志文件和SYSVOL的文件夹位置，默认位置始终位于%systemroot%中，我们用默认即可。

在“查看选项”页面，检查所做的选择是否正确。

还可以点击页面中的“查看脚本”按钮，查看用于AD DS部署的Windows PowerShell脚本。

Import-Module ADDSDeploymentInstall-ADDSForest `-CreateDnsDelegation:$true `-DatabasePath "C:\Windows\NTDS"`-DnsDelegationCredential (Get-Credential) `-DomainMode "WinThreshold"`-DomainName "tt.com" `-DomainNetbiosName "TT"`-ForestMode "WinThreshold" `-InstallDns:$true`-LogPath "C:\Windows\NTDS" `-NoRebootOnCompletion:$false`-SysvolPath "C:\Windows\SYSVOL" `-Force:$true

然后点击“下一步”。

在“先决条件检查”页面，确认所有先决条件检查都成功通过，然后点击“安装”开始安装。

如上图所说，系统会自动重启以应用更改，并在重启后自动完成域控制器的安装和配置，并且自动加入域tt.com。

在远程登录时，提示证书风险，证书名称已经变成了tietou.tt.com。

在Windows系统中，可以看到计算机已经加入域tt.com，计算机全名已经变成了tietou.tt.com。

运行“dnsmgmt.msc”打开DNS管理器，我们可以看到，相比于之前，左侧导航栏中少了一个信任点的文件夹；在区域tt.com中，名称服务器（NS）中的tietou.变成了tietou.tt.com.，并且多了一条解析tietou的A记录，也就是表示将tietou.tt.com解析为192.168.1.59。

运行“dsa.msc”或“control userpasswords”打开Active Directory用户和计算机，可以在此界面查看和管理域tt.com中的用户、组和服务等。

域控制器domain controller的列表中列出了当前计算机，DC类型为GC（Global Catalog，全局编录），GC是存储林中所有AD对象副本的域控制器。

Users列出了当前的用户和组的列表，Administrator已经列出，我们就是使用此账号登陆的。

下面还有另外3个账号，我们测试一下登录情况。

可以看到，貌似账号没有登录权限，若要远程登录，改账号需要具有通过远程桌面服务进行登录的权限。难道是没有带域？我们在用户名前面输入域名tt.com，然后通过\分割账户名，下方提示登录到tt.com域。

在远程桌面用户列表中，可以看到可登录的用户名为TT\tietou2，我们用这个账户试一下。

结果还是不行，一样的情况。

后来发现是组策略（Group Policy Objects, GPOs）的问题，普通用户组已经没有权限了，暂时只能将用户先加入到管理员Administrators组了。

然后问题就解决了，可以顺利登录了。

至此，域控制器勉强算创建完了。通过本次实践，我们成功地将一台独立的Windows Server打造成了企业IT管理的核心——域控制器。​这仅仅是开始，接下来你可以轻松地将网络中的其他设备纳入域中进行统一管理，开启高效、安全的集中化管理新时代。​

你准备好将你的第一台服务器提升为域控了吗？欢迎在评论区分享你的搭建经验或遇到的问题！

***推荐阅读***

我们的WireGuard管理系统支持手机电脑了！全平台终端配置，支持扫码连接，一键搞定

还在为AI API费用发愁？我找到了免费使用Gemini 3和Claude 4.5的方法

每月40元实现异地组网！用家用路由器+L2TP协议，在腾讯云上搭建企业级VPN枢纽

保姆级教程：一条命令部署OpenVPN管理系统V4版，支持Win/Mac/安卓/iOS全平台接入

告别卡顿！VMware macOS虚拟机显存3MB变128MB、分辨率自由调整的终极优化指南

成本省下99.7%！用40元的腾讯云服务器自建IPsecVPN，成功对接企业级飞塔防火墙

警惕！封禁UDP 500/4500已无效？飞塔防火墙用TCP 443端口建立IPsec隧道

不只有华三！飞塔ADVPN同样强大，配置更简单，性能超预期！

飞塔ADVPN Web配置会丢失？我用命令行重新部署，性能稳如泰山！

超越SR-MPLS！SRv6实测：基于纯IPv6数据面承载IPv4 VPN业务，体验协议简化之美

2048卡昇腾910C集群算力集群交付工程手册

2048卡昇腾910C集群存储集群交付工程手册

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：铁军哥 衡水铁头哥 衡水铁头哥《Windows Server 2019创建并配置AD域控制器》