血赚1000大洋，为小型企业规划组织架构部署Windows Server 2025 AD域控。

        哈喽大家好，欢迎来到虚拟化时代君（XNHCYL），收不到通知请将我点击星标！“   大家好，我是虚拟化时代君，一位潜心于互联网的技术宅男。这里每天为你分享各种你感兴趣的技术、教程、软件、资源、福利…（每天更新不间断，福利不见不散）

第一章、引言

今天认识的小开总，新公司刚成立，为了提升管理效率，想实现一套组织架构，于是托人找到本丁，本丁直接推荐部署一套域。目的统一管理员工计算机、管理员随时查阅员工机器内容、统一管理文件共享和管理用户策略等。这样计算机的权限也可以有效的控制。这次小小的投资，不仅解决了管理难题，还为未来发展打下了基础（主要为了让小开总持续输出，不然小丁咋赚money）所以，今天主要分享下Windows Server2025部署AD域，大家觉得值不值1000大洋！

第二章、环境准备

• 硬件信息：DeLL PowerEdge R730xd

• ESXi：VMware ESXi, 87.0.3,

• vCenter：VMware vCenter 8.0.3 24322831

第三章、目录

1. Windows Server 2025的变化

2. Windows Server 2025虚拟机创建

3. Windows Server 2025虚拟机系统安装

4. Windows Server2025安装VMware tools

5. AD域服务安装

6. 配置AD域服务

第四章、Windows Server2025变化

Windows Server2025在Active Directory 域服务中的一些变化，不再赘述其他功能。（来自https://learn.microsoft.com/zh-cn/windows-server/get-started/whats-new-windows-server-2025）

Active Directory 域服务 (AD DS) 和 Active Directory 轻型域服务 (AD LDS) 的最新增强功能引入了一系列新功能和增强功能，旨在优化你的域管理体验：

• 32k 数据库页面大小可选功能 - 自从在使用 8k 数据库页面大小的 Windows 2000 中引入可扩展存储引擎 (ESE) 数据库后，AD 便使用此数据库。8k 架构设计决策导致整个 AD 存在某些限制，而这些限制已记录在 AD 最大限制可伸缩性中。此限制的其中一个示例为单个记录 AD 对象，而其大小不能超过 8k 字节。迁移到 32k 数据库页面格式对受过往限制影响的领域实现了巨大改进，其中就包括多值属性现在可存储高达 3,200 个值（以 2.6 为系数的一个增幅）。

  新的 DC 可与 32k 页面数据库一起安装，而该数据库会使用 64 位长整型值 ID (LID) 并在“8k 页面模式”下运行，以便与以前的版本保持兼容。升级后的 DC 会继续使用其当前的数据库格式和 8k 页面。迁移到 32k 数据库页面操作会在林范围内完成，且要求林中的所有 DC 均具有支持 32k 页面的数据库。

• AD 架构更新 - 引入三个新的日志数据库文件 (LDF)，以用于扩展 AD 架构、sch89.ldf、sch90.ldf 和 sch91.ldf。 MS-ADAM-Upgrade3.ldf 中进行了 AD LDS 等效架构更新。有关先前架构更新的详细信息，请参阅 Windows Server AD 架构更新

• AD 对象修复 - AD 现在允许企业管理员修复缺少核心属性 SamAccountType 和 ObjectCategory 的对象。企业管理员可将对象的 LastLogonTimeStamp 属性重置为当前时间。这些操作会通过新的 RootDSE 来修改名为 fixupObjectState 的受影响对象的操作功能来实现。

• 通道绑定审核支持 - 现在可为轻型目录访问协议 (LDAP) 通道绑定启用事件 3074 和 3075。当通道绑定策略修改为更安全的设置时，管理员可以识别环境中不支持或失败的通道绑定的设备。这些审核事件也可在 Windows Server 2022 及更高版本中通过 KB4520412 来查询。

• DC 位置算法改进 - DC 发现算法提供了新功能，同时改进了将 NetBIOS 式短域名映射到 DNS 式域名的新功能。若要了解详细信息，请参阅 Active Directory DC 定位器更改。

•  备注Windows 不会在 DC 发现操作期间使用邮件槽，因为 Microsoft 已宣布为这些旧技术弃用 WINS 和邮件槽。

• 林和域功能级别 - 新的功能级别可用于实现一般可支持性，而新的 32K 数据库页面大小功能必须使用该级别。新的功能级别将映射到针对无人参与安装的 DomainLevel 10 和 ForestLevel 10 值。Microsoft 没有改造 Windows Server 2019 和 Windows Server 2022 的功能级别的计划。若要执行域控制器 (DC) 的无人参与升级和降级，请参阅域控制器无人参与升级和降级的 DCPROMO 应答文件语法。

  DsGetDcName 应用程序编程接口 (API) 还支持新标志 DS_DIRECTORY_SERVICE_13_REQUIRED，它可用于启用运行 Windows Server 2025 的 DC 的位置。可以在以下文章中了解有关功能级别的详细信息：

•  备注需要新的 AD 林或 AD LDS 配置集才能具有 Windows Server 2016 或更高的功能级别。要升级 AD 或 AD LDS 副本，要求现有域或配置集已在运行，且其功能级别为 Windows Server 2016 或更高。Microsoft 建议所有客户现在开始规划将其 AD 和 AD LDS 服务器升级到 Windows Server 2022，以便为下一个版本做好准备。林和域功能级别

  • 提升域功能级别

  • 提升林功能级别

• 改进针对名称/Sid 查找的算法 - 不同计算机帐户之间的本地安全机构 (LSA) 名称和 Sid 查找转发功能不再使用旧版 Netlogon 安全通道。改用 Kerberos 身份验证和 DC 定位器算法。为保持与旧操作系统的兼容性，仍可使用 Netlogon 安全通道作为回退选项。

• 改进了机密属性 的安全性 - DC 和 AD LDS 实例仅允许 LDAP 在加密连接时添加、搜索和修改涉及机密属性的操作。

• 改进默认计算机帐户密码的安全性 - AD 现在使用随机生成的默认计算机帐户密码。Windows 2025 DC 会阻止将计算机帐户密码设为计算机帐户名称的默认密码。

  可通过启用 GPO 设置域控制器：拒绝设置默认计算机帐户密码来控制此行为，而该设置位于：计算机配置\Windows 设置\安全设置\本地策略\安全选项

  Active Directory 管理中心 (ADAC)、Active Directory 用户和计算机 (ADUC)、net computer 和 dsmod 等实用工具也遵循此新行为。ADAC 和 ADUC 均不再允许创建 2k 之前的 Windows 帐户。

• 用于实现加密敏捷性的 Kerberos PKINIT 支持 - 现已更新 Kerberos 中用于初始身份验证的 Kerberos 公钥加密 (PKINIT) 协议实现，从而通过支持更多算法并删除硬编码算法来实现加密敏捷性。

• LAN Manager GPO 设置 - GPO 设置“网络安全性:下次更改密码时不存储 LAN Manager 哈希值”不再显示，同时也不适用于新版本的 Windows。

• 默认进行 LDAP 加密 - 默认情况下，执行简单身份验证和安全层 (SASL) 绑定后，所有 LDAP 客户端通信均会使用 LDAP 密封。要了解有关 SASL 的详细信息，请参阅 SASL 身份验证。

• 针对 TLS 1.3 的 LDAP 支持 - LDAP 使用最新的 SCHANNEL 实现，并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。使用 TLS 1.3 可以消除过时的加密算法，提供比旧版本更高的安全性，旨在实现尽可能多的握手加密。若要了解详细信息