CDNK博客
在 Windows Server 2016 中部署域控制器(Domain Controller, DC)时,配置需兼顾安全性、可靠性、性能和可维护性。虽然微软官方未强制要求高配硬件(因AD DS本身资源消耗较低),但生产环境中的最佳实践建议如下:
✅ 一、硬件配置建议(生产环境)
| 组件 | 推荐配置 | 说明 |
|---|---|---|
| CPU | ≥ 2 核(建议 4 核以上);支持虚拟化(如为VM,启用CPU热添加/预留) | AD DS对CPU压力较小,但考虑GC、复制、组策略处理及共存角色(如DNS/DHCP)时需冗余。虚拟化环境中建议固定vCPU预留(避免争用)。 |
| 内存 | ≥ 4 GB(最小);推荐 8–16 GB(尤其多OU/大量用户/启用了AD Recycle Bin/精细权限等) | 活动目录数据库(ntds.dit)主要驻留内存;内存不足将增加磁盘I/O,影响LDAP查询和复制性能。 |
| 存储 | – 系统盘:≥ 60 GB SSD(建议 120+ GB) – 数据库与日志盘:独立SSD(非系统盘),≥ 50 GB(可扩展) |
⚠️ 关键!ntds.dit(数据库)和 edb.log(日志)必须分离到不同物理卷(或至少不同逻辑卷),以提升性能并满足故障恢复要求。禁用快速启动/休眠(避免NTFS元数据不一致)。 |
| 网络 | ≥ 1 GbE 网卡(建议双网卡:主用+备用/管理);启用Jumbo Frame(仅当全网络支持且有收益时) | 确保低延迟、高可用;DC间复制、客户端身份验证对网络稳定性敏感。 |
📌 特别注意(微软官方强调):
- 不要在DC上安装非必要角色/功能(如IIS、Web Server、打印服务等),最小化攻击面。
- 严禁在DC上运行杀毒软件实时扫描
C:WindowsNTDS和C:WindowsSYSVOL目录(会导致LSASS挂起、复制失败)——需使用AD-aware防病毒方案(如Windows Defender ATP + 排除规则)。- 禁用页面文件(Pagefile)在系统盘?❌ 错误! —— 必须保留页面文件(至少1.5×RAM),否则内存不足时LSASS可能崩溃。
✅ 二、操作系统与安装配置
-
版本选择:
✅ Windows Server 2016 Standard 或 Datacenter(二者AD功能完全相同);
❌ 不支持 Server Core 安装选项作为首个林根域控制器(但可作为额外DC——需PowerShell管理,无GUI);推荐使用Server with Desktop Experience(便于初期部署与故障排查)。 -
安装方式:
- 使用
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools或服务器管理器图形界面; - 首次部署必须使用
dcpromo已弃用 → 改用Install-ADDSForest(新建林)或Install-ADDSDomainController(加入域)PowerShell cmdlet(更安全、可脚本化、支持静默安装)。
- 使用
-
关键安全配置:
- 启用 Secure Boot & TPM 2.0(若硬件支持,增强启动完整性);
- 配置 Windows Defender Firewall(仅开放必要端口:LDAP 389/636, Kerberos 88, DNS 53, SMB 445, GC 3268/3269 等);
- 启用 LAPS(Local Administrator Password Solution) 管理本地管理员密码;
- 强制执行 密码策略 和 账户锁定策略(通过GPO);
- 启用 AD Recycle Bin(需林功能级别 ≥ Windows Server 2008 R2)——强烈推荐开启(需在部署后立即启用,不可逆)。
✅ 三、高可用与容灾设计(生产必备)
| 场景 | 建议 |
|---|---|
| 单站点 | 至少部署 2台DC(主+备),分担负载、避免单点故障;启用全局编录(GC) |
| 多站点 | 每个站点 ≥ 2台DC;合理配置站点链接、桥头服务器、复制间隔 |
| 备份 | ✅ 使用 Windows Server Backup 或 VSS-aware企业备份工具(如Veeam) ❌ 禁止仅备份 ntds.dit文件(必须完整系统状态备份)✅ 每周至少1次系统状态备份 + 验证还原演练 |
| 虚拟化注意事项 | – 启用 VM-Generation ID(Hyper-V 2012 R2+ 默认启用,防USN回滚) – 禁用快照(Snapshot)用于长期运行DC(仅限临时测试) – 时间同步:DC必须从可靠外部NTP源同步(如time.windows.com),而非宿主机(防止时间漂移导致Kerberos失败) |
✅ 四、其他最佳实践
- DNS 配置:DC 必须使用自身(127.0.0.1)或另一台DC作为首选DNS服务器;禁止指向公网DNS或非DC的DNS服务器(否则SRV记录解析失败,导致登录/复制异常)。
- SYSVOL 复制:Windows Server 2016 默认使用 DFS Replication (DFSR)(取代旧FRS),确保所有DC运行同一模式(林功能级别 ≥ 2008)。
- 监控:部署 Performance Monitor(计数器:
NTDSDS Bind Time,NTDSLDAP Client Sessions,NTDSDS Search Time)+ Event Log(Directory Service, DNS Server, System)告警。 - 生命周期提醒:Windows Server 2016 主流支持已于2022年1月结束,扩展支持将于2027年1月12日终止 → 建议规划向 Server 2022/2025 迁移。
✅ 总结:一句话部署原则
“最小化安装、分离存储、双机冗余、严格防护、定期备份、时间精准、DNS自治”
如需,我可提供:
- ✅ PowerShell 静默部署DC脚本(含参数校验)
- ✅ 生产环境GPO基线模板(安全/审计设置)
- ✅ LAPS部署与权限委派指南
- ✅ DFSR复制健康检查清单
欢迎随时提出具体场景(如:Azure VM部署DC、混合云AD Connect集成、只读DC配置等),我可进一步细化建议。