IFM离线安装域控制器需先在健康源DC上用ntdsutil创建系统状态备份,再通过Install-ADDSDomainController指定-InstallationMediaPath参数执行安装,要求源目标服务器版本一致,安装后验证复制与服务状态。
利用ifm(install from media)介质离线安装域控制器,核心是提前导出系统状态备份并制作可引导的安装源,避免新dc上线时反复从网络复制庞大sysvol和ntds数据库。关键在于备份时机必须选在源dc健康、无复制冲突、且已执行ntdsutil权威清理(如需)之后。
准备IFM备份介质
在一台运行正常、已同步完成的域控制器上操作:
- 以管理员身份打开命令提示符,运行
ntdsutil→activate instance ntds→ifm→create sysvol full c:\ifm_backup(路径需有足够空间,建议≥2×当前NTDS.dit大小) - 备份完成后,
c:\ifm_backup下会生成Active Directory和SYSVOL两个文件夹,以及ifm.log日志;务必验证ifm.log末尾是否含IFM operation completed successfully - 将整个
ifm_backup文件夹复制到目标服务器本地磁盘(如d:\ifm),或刻录为ISO挂载使用;不建议直接共享网络路径,因DC安装过程不读取UNC路径
在目标服务器执行离线DC安装
目标服务器需已加入域(推荐)、配置静态IP与正确DNS(指向现有DC),且未安装AD DS角色:
- 通过PowerShell运行:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools - 执行DCPROMO等效命令:
Install-ADDSForest` 或 `Install-ADDSDomainController`,但必须指定<code>-InstallationMediaPath参数指向IFM路径,例如:
Install-ADDSDomainController -DomainName "corp.example.com" -SafeModeAdministratorPassword (ConvertTo-SecureString "P@ss123!" -AsPlainText -Force) -InstallationMediaPath "d:\ifm" - 若提示“媒体版本不匹配”,说明源DC与目标服务器Windows Server版本不一致(如源为2019,目标为2022),此时IFM不可用,需改用在线安装
安装后验证与注意事项
安装成功重启后,立即检查关键服务与复制状态:
- 确认
NTDS、KDC、DNS Server服务运行中;用repadmin /replsummary查看与其他DC复制是否正常 - SYSVOL应自动初始化完成,
net share中可见SYSVOL和NETLOGON共享;若dfsrs服务卡在“正在启动”,可手动运行dfsrmig /setglobalstate 3强制完成迁移(适用于混合环境) - IFM安装跳过初始复制,因此新DC的USN、更新序列号从备份时刻起算,后续所有变更均通过常规复制同步;若备份距今过久(如超7天),建议安装后立即触发
repadmin /syncall
