域控制器安装命令是Windows Server操作系统中将服务器提升为域控制器的核心操作，通常通过“Active Directory 域服务和域控制器安装向导”（dcpromo.exe）或PowerShell命令实现，以下是详细安装步骤及命令说明,涵盖不同场景下的操作要点。

通过图形界面安装（dcpromo.exe）

在早期Windows Server版本（如2008/2012）中，dcpromo.exe是主要安装工具，步骤如下：

1. 准备条件：确保服务器静态IP配置、DNS指向自身、时间同步正确，并安装“Active Directory 域服务”角色（通过服务器管理器添加）。
2. 运行向导：在“服务器管理器”中点击“添加角色和功能”，或直接在命令提示符输入dcpromo.exe启动向导。
3. 部署配置：
   • 选择“在新林中新建域”（如果是新域）或“现有林中新建子域/域树”（扩展现有域结构）。
   • 输入域名（如example.com）和NetBIOS名称（如EXAMPLE）。
   • 设置林功能域功能级别（建议Windows Server 2016及以上，以启用新特性）。
   • 指定数据库和日志文件路径（默认为C:\Windows\NTDS），以及SYSVOL共享位置（默认C:\Windows\SYSVOL）。
   • 设置目录服务还原模式密码（至少8位，包含大小写字母、数字和符号）。
4. 完成安装：向导自动安装AD DS组件、创建SYSVOL共享、复制目录分区，完成后重启服务器。

通过PowerShell安装（推荐，Windows Server 2012 R2及以上）

PowerShell提供更灵活的自动化安装方式，核心命令为Install-ADDSForest（新建林）或Install-ADDSDomainController（加入现有域）,以下为常见场景的命令示例及参数说明：

新建域控制器（新林）

Install-ADDSForest `
-DomainName "example.com" `
-DomainNetbiosName "EXAMPLE" `
-InstallDns:$true `
-DatabasePath "C:\NTDS" `
-LogPath "C:\Logs" `
-SysvolPath "C:\SYSVOL" `
-NoRebootOnCompletion:$false `
-Force:$true

参数说明：
| 参数 | 作用 |
|------|------|
| -DomainName | 域名（FQDN格式，如example.com） |
| -DomainNetbiosName | 域的NetBIOS名称（15字符内，大写） |
| -InstallDns | 自动安装DNS服务（域控制器必须依赖DNS） |
| -DatabasePath/LogPath/SysvolPath | 自定义数据库、日志、SYSVOL路径（避免使用系统盘） |
| -NoRebootOnCompletion | 安装完成后是否自动重启（$false表示自动重启） |
| -Force | 跳过确认提示（自动化脚本中常用） |

将成员服务器提升为子域控制器

Install-ADDSDomainController `
-DomainName "child.example.com" `
-InstallDns:$true `
-DatabasePath "D:\NTDS" `
-LogPath "E:\Logs" `
-NoRebootOnCompletion:$false

前提条件：服务器必须已加入父域（example.com）,且DNS指向父域或已安装的域控制器。

将成员服务器提升为附加域控制器（额外域控制器）

Install-ADDSDomainController `
-DomainName "example.com" `
-SiteName "Default-First-Site-Name" `
-InstallDns:$true `
-ReplicationSourceDC "DC1.example.com" `
-NoRebootOnCompletion:$false

参数说明：
| 参数 | 作用 |
|------|------|
| -SiteName | 指定Active Directory站点（优化复制流量） |
| -ReplicationSourceDC | 指定复制源域控制器（减少跨站点复制延迟） |

安装后验证

1. 检查服务状态：运行services.msc，确认“Active Directory 域服务”相关服务（如Netlogon、Kerberos）已启动。
2. 验证DNS记录：在DNS管理器中检查是否自动创建了域分区（如_msdcs.example.com）和SRV记录（如_ldap._tcp.example.com）。
3. 测试域功能：在客户端加入域后，使用nltest /dsgetsite查看站点信息，或通过dcdiag /v执行AD诊断测试。

常见问题与注意事项

1. DNS依赖问题：域控制器必须使用可靠的DNS服务，若未安装DNS或指向外部DNS，会导致域信任关系建立失败。
2. 网络配置：确保域控制器之间网络互通，防火墙允许以下端口：TCP/UDP 53（DNS）、88（Kerberos）、389（LDAP）、445（SMB）等。
3. 权限要求：执行安装的用户需是Enterprise Administrators组成员（新建林时）或Domain Administrators组成员（加入现有域时）。

相关问答FAQs

Q1：安装域控制器时提示“找不到域控制器”，如何解决？
A：通常是由于DNS配置错误导致，请确保：

1. 服务器的首选DNS指向已存在的域控制器或自身（如果是第一个域控制器）；
2. 检查DNS中是否包含域的A记录和SRV记录（可通过nslookup -type=srv _ldap._tcp.example.com验证）；
3. 若使用防火墙，开放TCP/UDP 53端口（DNS）和TCP 389端口（LDAP）。

Q2：域控制器安装完成后，客户端无法加入域，报错“找不到该域”，如何处理？
A：可能原因及解决方法：

1. DNS解析问题：客户端DNS未指向域控制器，或域控制器DNS记录不完整，在客户端设置DNS为域控制器IP，并使用nslookup example.com测试域名解析；
2. 网络连通性：检查客户端与域控制器之间的网络是否互通，可使用ping测试IP连通性，Test-NetConnection测试端口连通性（如Test-NetConnection -ComputerName DC1 -Port 389）；
3. 时间同步问题：客户端与域控制器时间差超过5分钟会导致认证失败，可通过w32tm /resync强制同步时间。