Window Server2016加入AD域的方法步骤

前置准备和加域操作两个主要部分。以下是详细的步骤说明：

一、 前置准备工作（关键）

在加入域之前，请确保满足以下条件：

网络连通性：

• 确保服务器能与域控制器 (Domain Controller) 正常通信。
• 使用 ping <域控制器IP或主机名> 测试网络连通性。
• 确保服务器的 DNS 设置指向了域控制器的 IP 地址。这是最常见的问题。
  • 打开 控制面板 > 网络和共享中心 > 更改适配器设置。
  • 右键点击正在使用的网络连接 -> 属性。
  • 双击 Internet 协议版本 4 (TCP/IPv4)。
  • 将首选 DNS 服务器设置为域控制器的 IP 地址（如 192.168.1.10），备用 DNS 可以设置另一台域控制器或公共 DNS。

账户权限：

• 需要一个在 Active Directory 中拥有将计算机加入域权限的账户。
• 通常，域管理员 (Domain Admins 组) 或专门的委派账户可以完成此操作。

主机名检查：

• 确保服务器的主机名在网络中是唯一的。
• 右键点击 开始按钮 > 系统，查看“计算机名”。

时间同步：

• 客户端与域控制器的时间差不应超过5分钟。建议将服务器配置为与域控制器进行时间同步。

二、 加入 AD 域的详细步骤

打开系统属性：

• 右键点击 开始按钮，选择 系统。
• 在打开的“系统”窗口中，点击右侧的 重命名此电脑(高级)。
• 或者，按 Win + R，输入 sysdm.cpl 后回车，直接打开“系统属性”窗口。

更改域设置：

• 在“系统属性”窗口中，切换到 计算机名 选项卡。
• 点击 更改... 按钮。

输入域信息：

• 在弹出的对话框中，选择 域 单选框。
• 在下方的输入框中，输入你的 Active Directory 域的全称（例如：yourdomain.com 或 corp.local）。
• 点击 确定。

提供凭据：

• 系统会弹出 Windows 安全对话框。
• 输入拥有加域权限的域账户和密码（格式为：域名\用户名 或 用户名@域名.com，例如：CORP\AdminUser 或 AdminUser@corp.com）。
• 点击 确定。

等待加域成功：

• 如果一切顺利，会弹出“欢迎加入域”的提示。点击 确定。

重启计算机：

• 系统会提示必须重启计算机以使更改生效。点击 确定，然后点击 立即重新启动。

以管理员身份运行 PowerShell。

使用 Add-Computer 命令：

# 基本命令
Add-Computer -DomainName "yourdomain.com" -Credential "yourdomain\AdminUser" -Restart

# 带更多选项的命令示例
Add-Computer -DomainName "corp.local" `
             -Credential (Get-Credential -UserName "CORP\AdminUser" -Message "输入密码") `
             -NewName "SRV-APP01" ` # 可选：在加域时同时重命名计算机
             -OUPath "OU=Servers,DC=corp,DC=local" ` # 可选：指定计算机账户在AD中的组织单位
             -Restart # 可选：完成后自动重启

• 执行命令后，会提示输入对应用户的密码。
• -Restart 参数表示加域成功后自动重启，如果不加，则需要手动重启。

三、 加域后的验证

重启后登录：

• 重启后，登录屏幕会发生变化。点击 “其他用户”。
• 现在你可以使用域账户登录了。格式为：域名\用户名 或 用户名@域名.com。

验证加域状态：

• 再次打开 系统属性 (sysdm.cpl)。
• 在“计算机名”选项卡下，应显示 域: yourdomain.com。
• 在 PowerShell 中运行：Get-CimInstance -ClassName Win32_ComputerSystem | Select Domain，应返回你的域名。

四、 故障排除要点

• 错误: “找不到网络路径”：

  • 几乎都是 DNS 设置错误。检查服务器的 DNS 是否指向域控制器。
  • 防火墙可能阻止了必要的端口（如 53, 88, 135, 389, 445, 636 等）。暂时关闭防火墙测试，或在防火墙上放行相关规则。

• 错误: “拒绝访问”：

  • 使用的账户权限不足。联系域管理员确认账户是否有“将计算机加入域”的权限。
  • 检查密码是否正确。

• 计算机账户问题：

  • 如果之前加过域，可能 AD 中已存在同名的旧计算机账户。可以由域管理员在 “Active Directory 用户和计算机” 中删除或重置该账户，然后再尝试加入。

• 使用 Test-ComputerSecureChannel Cmdlet：

  # 加域后，验证与域的安全通道是否健康
  Test-ComputerSecureChannel -Verbose

  • 如果返回 False，可以使用 Test-ComputerSecureChannel -Repair 尝试修复。

总结流程图：

准备（网络/DNS/权限） → 选择方式（GUI 或 PowerShell） → 执行加域操作 → 重启验证

对于服务器操作，推荐使用 PowerShell 方法，因为它更快速、可脚本化，并且适合远程管理。