CDNK博客
在搭建域控制器(Domain Controller, DC)时,应选择当前受支持、具备长期服务渠道(LTSC)且符合组织安全与生命周期要求的 Windows Server 版本。截至 2024 年底,推荐如下:
✅ 首选推荐:Windows Server 2022(LTSC)
- ✅ 官方支持周期长:主流支持至 2027年10月13日,扩展支持至 2032年10月14日(微软官方确认)。
- ✅ 完全支持 Active Directory 域服务(AD DS),兼容所有现代功能(如基于证书的登录、Kerberos Armoring、AES-256 加密、LDAP Channel Binding、零信任就绪特性)。
- ✅ 支持最新硬件(UEFI 安全启动、TPM 2.0、容器化 AD 工具)、增强的安全基线(默认启用 SMB 签名、强制 LDAP 签名/通道绑定)。
- ✅ 可作为新林(forest)或新域(domain)的首个域控制器,也支持从 Windows Server 2012 R2 或更高版本原地升级(需满足功能级别要求)。
- ✅ 与 Azure AD Connect、Hybrid Identity、Windows 365、Microsoft Entra ID 集成最佳。
⚠️ 次选(仅限特定场景,不建议新部署):
- Windows Server 2019(LTSC)
- 主流支持已结束(2024年1月9日),目前处于扩展支持阶段(至2029年1月9日)。
- 仍可部署,但微软不再提供新功能更新,仅发布关键/安全补丁;缺乏 Win Server 2022 的安全增强(如 Secured-Core Server、改进的 Credential Guard)。
- ❗ 不推荐用于新建生产环境,仅适用于短期过渡或遗留系统兼容性需求。
❌ 明确不推荐(已淘汰或高风险):
- Windows Server 2016:主流支持已于2022年1月结束,扩展支持将于2027年1月12日终止;缺少关键安全机制(如强制 LDAP Channel Binding 默认未启用),存在已知漏洞修复受限。
- Windows Server 2012 / 2012 R2:已完全停止支持(2023年10月10日终止扩展支持),无任何安全更新,存在严重合规与安全风险(如 CVE-2023-23378 等未修复漏洞),严禁用于生产域控制器。
- Windows Server 版本 21H2(Semi-Annual Channel):不支持安装 AD DS 角色(微软明确禁用),仅适用于容器、微服务等场景,不可用作域控制器。
📌 关键注意事项:
-
功能级别(Forest/Domain Functional Level):
- Windows Server 2022 DC 要求林/域功能级别至少为 Windows Server 2008 R2(推荐提升至 Windows Server 2016 或 2012 R2+ 以启用现代功能)。
- 若环境中仍有 Server 2008 R2 DC,需先迁移或退役,再提升功能级别。
-
硬件与虚拟化:
- 推荐使用支持 TPM 2.0 和 Secure Boot 的服务器(物理或 Hyper-V/VMware 虚拟机);
- 虚拟化平台需满足 Microsoft 虚拟化支持策略(如 Hyper-V、VMware vSphere ≥ 7.0U3)。
-
最小化部署原则:
- 域控制器应仅安装 AD DS 角色(禁用 IIS、Web Server 等非必要角色),关闭 GUI(使用 Server Core 或 Nano Server —— 注:Nano Server 自 2022 起已不再支持 AD DS,故推荐 Server Core 安装选项)。
✅ 最佳实践总结:
全新部署域控制器,请务必选用 Windows Server 2022(Server Core + LTSC),并确保林/域功能级别 ≥ Windows Server 2012 R2。同步规划高可用(≥2台 DC)、异地备份(NTDS.dit + 系统状态)、定期健康检查(dcdiag / repadmin)及安全加固(组策略、防火墙、最小权限管理)。
如需具体部署步骤、功能级别升级指南或混合身份(Azure AD 同步)配置建议,我可为您进一步提供详细操作说明。