CLOUD云计算
在搭建域控制器(Domain Controller, DC)时,应选择当前受支持、具备长期服务渠道(LTSC)且符合安全与功能需求的 Windows Server 版本。截至 2024年中,推荐如下:
✅ 首选推荐:Windows Server 2022(LTSC)
- ✅ 官方支持中:主流支持至 2027年10月12日,扩展支持至 2032年10月14日(微软生命周期政策)。
- ✅ Active Directory 功能完备:支持所有现代 AD DS 功能(如可选的 AD Recycle Bin、Fine-Grained Password Policies、AD FS 集成、SMB 3.1.1、TLS 1.3、硬件安全模块(HSM)集成等)。
- ✅ 安全性增强:默认启用 Credential Guard、Hypervisor-protected Code Integrity(HVCI)、Secured-core Server 支持,显著提升域控制器防凭证窃取能力。
- ✅ 兼容性优秀:完全兼容 Windows 10/11、Azure AD Connect、Microsoft Entra ID(原 Azure AD)混合部署。
- ✅ 最低硬件要求合理:2 CPU 核心、512 MB RAM(建议 ≥4 GB)、≥32 GB 磁盘(系统盘建议 SSD + RAID 1)。
⚠️ 次选(仅限特定场景):Windows Server 2019(LTSC)
- ⚠️ 主流支持已于 2024年1月9日结束,目前仅处于扩展支持阶段(至 2029年1月9日),不再接收非安全更新(仅关键安全补丁)。
- ❌ 不建议新部署:微软明确建议新环境避免使用已过主流支持期的版本;缺乏新安全机制(如 HVCI 默认强化、Secured-core 支持较弱)。
- ✅ 若已有 2019 环境且需短期过渡或合规审计允许,可继续运行,但应规划升级路径。
❌ 不推荐/禁止用于新域控制器:
- Windows Server 2016(主流支持已于2022年1月结束,扩展支持至2027年1月)→ 已落后,缺少关键安全基线;
- Windows Server 2012/R2 → 已终止所有支持(2023年10月彻底停更),存在严重未修复漏洞,严禁在生产环境部署新DC;
- Windows Server SAC(Semi-Annual Channel)版本 → 不支持安装 AD DS 角色(微软明确禁用),仅适用于容器、微服务等无状态场景。
📌 重要补充建议:
-
必须使用 Server Core 或 Desktop Experience?
→ 强烈推荐 Server Core 安装选项:攻击面更小、重启更少、资源占用更低,且可通过 PowerShell / RSAT / Windows Admin Center 远程管理,完全满足 DC 运维需求。 -
虚拟化部署?
→ 推荐在 Hyper-V(WS2022)、VMware vSphere(v7+)或 Azure VM 上部署;确保启用 VM-GenerationID 支持(防止 USN 回滚)和 时间同步配置正确(DC 必须指向可靠 NTP 源,如time.windows.com或内部权威时间服务器)。 -
云优先场景?
→ 若无需本地 AD,优先评估 Microsoft Entra ID(Azure AD)+ Entra ID Domain Services(托管 PaaS 域服务) —— 免运维、自动高可用、内置安全策略,适合新中小型企业。
✅ 总结一句话:
全新部署域控制器,请务必选择 Windows Server 2022(LTSC,Server Core 推荐),并确保及时打补丁、启用安全加固策略(如 LSASS 保护、最小权限原则、定期备份系统状态)。
如需具体部署步骤、最佳实践清单(如 DNS 配置、FSMO 角色规划、备份恢复方案),我可为您进一步提供。