一、安装配置验证
域控服务器安装完成后需验证以下配置项:
- 操作系统版本检查:确认Windows Server版本符合林功能级别要求
- 静态IP配置:禁用DHCP分配并确保网卡节能模式已关闭
- 目录服务恢复密码:验证DSRM密码复杂度与存储位置
- 系统时间同步:使用
w32tm /query /status命令检查时间偏差<2分钟
| 服务名称 | 启动类型 |
|---|---|
| Netlogon | 自动 |
| DNS Client | 自动 |
| Kerberos Key… | 手动 |
二、DNS集成检查
DNS集成验证需完成以下步骤:
- 检查_sites、_tcp等SRV记录是否存在
- 验证正向查找区域动态更新状态为安全更新
- 测试反向解析记录PTR指针生成情况
- 配置条件转发器确保外部域名解析
使用nslookup -type=all _ldap._tcp.dc._msdcs.域名命令验证服务定位记录
三、组策略管理审计
组策略管理应包含以下检查点:
- 默认策略备份:使用
Backup-GPO备份Default Domain Policy - 策略继承验证:检查OU层级间的策略继承关系
- 客户端策略应用:使用
gpresult /h report.html生成策略报告 - 密码策略合规:确认符合企业安全基线要求
完整的域控检查流程应包含安装配置验证(系统基线)、DNS集成(服务发现)、组策略管理(安全控制)三个核心模块。建议每月执行SYSVOL健康检查,每季度进行跨站点复制测试,并建立自动化监控告警机制
