Active Directory na Windows Server 2025 — jak skonfigurować kontroler domeny od podstaw?
Active Directory Domain Services (AD DS) to fundament infrastruktury IT każdej firmy korzystającej z ekosystemu Microsoft — a Windows Server 2025 przynosi największe zmiany w tej usłudze od ponad dekady. Jeśli planujesz wdrożyć active directory windows server 2025 od zera lub migrujesz ze starszego środowiska, ten przewodnik przeprowadzi Cię przez cały proces: od wymagań wstępnych, przez instalację roli, tworzenie lasu i domeny za pomocą Install-ADDSForest, projektowanie struktury OU, aż po konfigurację ról FSMO, replikacji i integracji z DNS. Wszelkie kroki są oparte na oficjalnej dokumentacji Microsoft Learn — AD DS Overview.
W tym artykule znajdziesz: gotowe do użycia polecenia PowerShell (w tym pełny blok Install-ADDSForest z parametrami produkcyjnymi), dwie szczegółowe tabele porównawcze ról AD DS i rozmieszczenia FSMO, wskazówki dotyczące konfiguracji DNS zintegrowanego z Active Directory, opis nowości w poziomie funkcjonalności Win2025 (32k baza, dMSA, skalowanie NUMA) oraz sekcję FAQ z odpowiedziami na najczęstsze pytania administratorów.
Licencję na serwer, na którym postawisz swoje AD, znajdziesz w ofercie Windows Server w kluczesoft.pl — zarówno edycję Standard, jak i Datacenter w konkurencyjnych cenach. Jeżeli planujesz sesje RDS dla pracowników domeny, niezbędne będą również licencje dostępowe RDS CAL User dostępne w kluczesoft.pl, a pełną kategorię systemów operacyjnych Microsoft znajdziesz w dziale klucze Windows.
Czym jest Active Directory Domain Services i dlaczego Windows Server 2025 robi różnicę?
Active Directory Domain Services to usługa katalogowa firmy Microsoft, która centralizuje zarządzanie tożsamościami, politykami grup (GPO), uwierzytelnianiem Kerberos i zasobami sieciowymi (drukarki, udziały plików, aplikacje) w całej organizacji. Bez AD DS administratorzy zarządzają każdym komputerem osobno — z AD DS wystarczy zmienić politykę raz, a trafi na setki stacji roboczych automatycznie.
Windows Server 2025 wnosi do AD DS kilka przełomowych funkcji, których próżno szukać w wersjach 2019 czy 2022:
- Poziom funkcjonalności Win2025 (DFL/FFL 10) — nowy poziom lasu i domeny, który odblokowuje zaawansowane opcje, dotychczas niedostępne w żadnej wersji Windows Server.
- 32-kilobajtowa baza danych ESE (opcjonalna) — od Windows 2000 baza AD miała limit 8 KB na stronę, co ograniczało liczbę atrybutów wielowartościowych (np. członkostwo w grupach) do ~1 400 wartości. Server 2025 wprowadza opcjonalną bazę 32 KB, zwiększając ten limit do ~3 200 wartości. Uwaga: migracja in-place zachowuje bazę 8 KB — bazę 32 KB uzyskasz wyłącznie promując nowo zainstalowane kontrolery domeny z Windows Server 2025.
- Delegowane konta usług zarządzanych (dMSA) — nowy typ konta zastępujący ręcznie zarządzane hasła kont serwisowych. System automatycznie rotuje hasło, eliminując jedno z najpoważniejszych źródeł ryzyka w środowiskach AD.
- Skalowanie NUMA — AD DS może teraz w pełni wykorzystać procesory we wszystkich grupach procesorów na nowoczesnym sprzęcie serwerowym, co jest kluczowe dla środowisk z ponad 64 rdzeniami.
- Obowiązkowe szyfrowanie LDAP — LDAP signing i channel binding są teraz wymagane domyślnie, a TLS 1.3 jest w pełni obsługiwany. Microsoft aktywnie wycofuje NTLM na rzecz Kerberos.
- Koniec WINS — Windows Server 2025 to ostatni LTSC, który zawiera usługę WINS. Jeśli Twoja organizacja nadal korzysta z NetBIOS name resolution przez WINS, czas na migrację do czystego DNS.
Wymagania wstępne przed instalacją AD DS na Windows Server 2025
Przed wpisaniem pierwszego polecenia PowerShell upewnij się, że Twoje środowisko spełnia poniższe warunki. Pominięcie któregokolwiek z nich jest jedną z najczęstszych przyczyn błędów podczas promowania serwera na kontroler domeny.
Wymagania sprzętowe i systemowe
- System operacyjny — Windows Server 2025 Standard lub Datacenter (instalacja Server Core jest zalecana dla produkcji ze względów bezpieczeństwa i wydajności).
- RAM — minimum 2 GB (zalecane 4–8 GB dla pierwszego kontrolera w środowisku SMB; 16+ GB dla dużych organizacji).
- Dysk — minimum 32 GB dla systemu; osobny dysk lub wolumin dla bazy AD (NTDS, domyślnie
C:\Windows\NTDS), logów i folderu SYSVOL. W środowiskach produkcyjnych rozdziel te ścieżki na osobne dyski. - Sieć — statyczny adres IP (nigdy DHCP na kontrolerze domeny!). Prawidłowo skonfigurowane DNS (szczegóły poniżej).
Konfiguracja sieci przed instalacją
Kontroler domeny musi mieć statyczny adres IP. Przed instalacją skonfiguruj kartę sieciową za pomocą PowerShell:
# Wyświetl indeksy kart sieciowych
Get-NetAdapter
# Ustaw statyczny adres IP (przykład: interfejs "Ethernet", sieć 192.168.1.0/24)
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1
# Ustaw serwer DNS na siebie (po instalacji AD DS serwer będzie własnym DNS)
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 127.0.0.1
# Zmień nazwę komputera (np. DC01) — wymagany restart
Rename-Computer -NewName "DC01" -Restart
Po ponownym uruchomieniu serwer jest gotowy do instalacji roli AD DS.
Wybór nazwy domeny
Wybór nazwy domeny to decyzja na lata. Microsoft Learn zaleca następujące podejście:
- Środowisko produkcyjne z dostępem do Internetu — użyj subdomen własnej domeny publicznej, np.
corp.twojafirma.pl. Nigdy nie używaj .local w środowiskach, gdzie będziesz korzystać z certyfikatów publicznych lub Entra ID Connect (dawny Azure AD Connect). - Izolowane środowisko wewnętrzne — dopuszczalne jest użycie
firma.internal lub firma.lan, ale .local koliduje z mDNS (Bonjour/Avahi) i może powodować problemy z Apple macOS i urządzeniami IoT. - Nazwa NetBIOS — krótka, maksymalnie 15 znaków, bez myślników na początku i końcu. Zazwyczaj jest to pierwsza część FQDN domeny pisana wielkimi literami, np.
FIRMA.
Przegląd ról usług Active Directory Domain Services
Active Directory Domain Services nie istnieje w próżni — jest częścią szerszego ekosystemu ról Active Directory. Poniższa tabela przedstawia wszystkie role Active Directory dostępne w Windows Server 2025 i ich przeznaczenie:
| Rola Active Directory | Skrót | Przeznaczenie | Kiedy instalować |
|---|
| Active Directory Domain Services | AD DS | Centralne zarządzanie tożsamościami, uwierzytelnianie Kerberos/NTLM, GPO, replikacja katalogu | Zawsze — fundament infrastruktury Microsoft |
| Active Directory Certificate Services | AD CS | Wewnętrzny urząd certyfikacji (PKI) — wystawia certyfikaty SSL, certyfikaty logowania smart card, certyfikaty urządzeń | Gdy potrzebujesz wewnętrznego PKI; wymagane m.in. dla Windows Hello for Business |
| Active Directory Federation Services | AD FS | Single Sign-On (SSO) dla aplikacji zewnętrznych i chmurowych przez protokoły SAML 2.0, OAuth 2.0, OpenID Connect | Gdy integrujesz on-premises AD z aplikacjami SaaS lub Microsoft Entra ID |
| Active Directory Lightweight Directory Services | AD LDS | Lekki katalog LDAP bez kontrolera domeny — dla aplikacji wymagających magazynu katalogowego bez pełnego AD DS | Dla aplikacji niestandardowych, które potrzebują LDAP, ale nie powinny być dołączone do domeny produkcyjnej |
| Active Directory Rights Management Services | AD RMS | Zarządzanie prawami do dokumentów (DRM) — szyfrowanie i kontrola dostępu do plików Word, Excel, PDF nawet po pobraniu poza sieć | W organizacjach wymagających ochrony poufnych dokumentów; coraz częściej zastępowane przez Microsoft Purview |
Krok 1: Instalacja roli AD DS za pomocą PowerShell
Jak zainstalować rolę AD DS na Windows Server 2025 — krok po kroku
Krok 1: Uruchom PowerShell jako Administrator
Kliknij prawym przyciskiem myszy na ikonę PowerShell w menu Start i wybierz „Uruchom jako administrator". Możesz też wcisnąć Win+X i wybrać „Windows PowerShell (Administrator)". Upewnij się, że widzisz w tytule okna napis „Administrator".
Krok 2: Zainstaluj rolę AD-Domain-Services z narzędziami zarządzania
Wpisz poniższe polecenie i poczekaj na jego zakończenie (zwykle 2–5 minut). Parametr -IncludeManagementTools jest krytyczny — bez niego nie zostaną zainstalowane przystawki graficzne (ADUC, ADSI Edit, Group Policy Management) ani moduł PowerShell dla AD, który będzie potrzebny w kolejnych krokach.
# Instalacja roli Active Directory Domain Services wraz z narzędziami administracyjnymi
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
# Sprawdź wynik instalacji
Get-WindowsFeature AD-Domain-Services
Po pomyślnej instalacji w konsoli zobaczysz tabelę ze statusem True w kolumnie InstallState i wartością Installed. Serwer nie wymaga restartu po tym kroku — restart nastąpi automatycznie po promowaniu na kontroler domeny.
Weryfikacja dostępności modułu ADDSDeployment
# Sprawdź, czy moduł ADDSDeployment jest dostępny
Get-Module -Name ADDSDeployment -ListAvailable
# Importuj moduł ręcznie (jeśli nie importuje się automatycznie)
Import-Module ADDSDeployment
Krok 2: Promowanie serwera na kontroler domeny — Install-ADDSForest
Po zainstalowaniu roli nadszedł czas na najważniejszy krok: promowanie serwera na pierwszy kontroler domeny (Domain Controller) i jednoczesne utworzenie nowego lasu Active Directory. W Windows Server 2012 i nowszych narzędzie dcpromo.exe zostało wycofane — jego funkcjonalność przejął cmdlet Install-ADDSForest (dla nowego lasu) lub Install-ADDSDomain (dla nowej domeny w istniejącym lesie) z modułu ADDSDeployment.
Dokumentacja poleceń dostępna jest na Microsoft Learn — Install-ADDSForest.
Pełne polecenie Install-ADDSForest z parametrami produkcyjnymi
# UWAGA: Uruchom jako Administrator na serwerze docelowym
# Zastąp "firma.local" właściwą nazwą swojej domeny
# Hasło DSRM wpisz interaktywnie; nie zapisuj go jawnie w pliku skryptu
$securePassword = Read-Host "Podaj hasło DSRM" -AsSecureString
Install-ADDSForest `
-DomainName "firma.local" `
-DomainNetbiosName "FIRMA" `
-ForestMode "Win2025" `
-DomainMode "Win2025" `
-SafeModeAdministratorPassword $securePassword `
-InstallDns:$true `
-CreateDnsDelegation:$false `
-DatabasePath "C:\Windows\NTDS" `
-LogPath "C:\Windows\NTDS" `
-SysvolPath "C:\Windows\SYSVOL" `
-NoRebootOnCompletion:$false `
-Force:$true
Wyjaśnienie kluczowych parametrów:
-DomainName — pełna kwalifikowana nazwa domeny (FQDN), np. firma.local lub corp.twojafirma.pl. Użyj wyłącznie liter, cyfr i myślników; kropka oddziela etykiety DNS.-DomainNetbiosName — nazwa NetBIOS (legacy), max 15 znaków, bez spacji. Zwykle wielkie litery pierwszej etykiety FQDN.-ForestMode "Win2025" — poziom funkcjonalności lasu (FFL). Wartość Win2025 odpowiada nowemu poziomowi 10, który odblokowuje bazę 32 KB i dMSA. Jeśli w lesie będą starsze DC (np. 2019/2022), użyj odpowiednio niższego poziomu.-DomainMode "Win2025" — poziom funkcjonalności domeny (DFL). Powinna być równa lub niższa od FFL.-SafeModeAdministratorPassword — obowiązkowe hasło trybu DSRM (Directory Services Restore Mode). Jest to specjalne konto administratora, z którego korzystasz w sytuacjach awaryjnych, gdy AD DS nie działa. Przechowuj je bezpiecznie — utrata tego hasła może uniemożliwić odzyskanie kontrolera domeny.-InstallDns:$true — instaluje rolę DNS Server i konfiguruje strefę DNS zintegrowaną z AD. Zdecydowanie zalecane.-DatabasePath — ścieżka do pliku bazy danych AD (ntds.dit). W środowiskach produkcyjnych przesuń ją na osobny dysk.-SysvolPath — folder SYSVOL, który jest replikowany między kontrolerami domeny (zawiera skrypty logowania i szablony GPO).-Force:$true — pomija interaktywne potwierdzenia (wymagane w skryptach automatyzacji).
Po zakończeniu procesu serwer automatycznie uruchomi się ponownie. Po restarcie zaloguj się kontem FIRMA\Administrator — domena jest gotowa.
Weryfikacja po restarcie
# Sprawdź podstawowe informacje o domenie
Get-ADDomain | Select-Object DNSRoot, NetBIOSName, DomainMode, PDCEmulator
# Sprawdź las
Get-ADForest | Select-Object Name, ForestMode, SchemaMaster, DomainNamingMaster
# Sprawdź usługi AD DS
Get-Service -Name NTDS, "DNS Client", Netlogon, W32Time | Select-Object Name, Status
Krok 3: Projektowanie i tworzenie struktury OU (Organizational Units)
Jednostki organizacyjne (OU) to kontenery w Active Directory, w których umieszczasz konta użytkowników, komputerów, grup i innych obiektów. Prawidłowa struktura OU jest fundamentem efektywnego zarządzania GPO — polityki grup dziedziczą się z góry na dół w hierarchii OU, a każdemu kontenerowi możesz delegować uprawnienia administracyjne.
Zasady projektowania struktury OU
- Nie odwzorowuj schematu organizacyjnego — OU powinny odzwierciedlać strukturę administracyjną IT (kto czym zarządza), a nie schemat firmy. Zmiany organizacyjne są częste i nie powinny wymagać przebudowy AD.
- Rozbij według typów obiektów — osobna OU dla użytkowników, komputerów, serwerów, grup, kont serwisowych. Ułatwia stosowanie GPO i delegowanie.
- Głębokość maksymalnie 4–5 poziomów — głębsze struktury utrudniają zarządzanie i zwiększają czas przetwarzania GPO.
- Unikaj umieszczania obiektów bezpośrednio w domenie — obiekty w kontenerze domeny (nie w OU) nie są objęte GPO stosowanymi do OU.
Tworzenie struktury OU za pomocą PowerShell
# Przykładowa hierarchia OU dla firmy "Firma" w domenie firma.local
# Najpierw importuj moduł AD
Import-Module ActiveDirectory
# Utwórz główne OU na poziomie domeny
New-ADOrganizationalUnit -Name "Firma" -Path "DC=firma,DC=local" -Description "Główna jednostka organizacyjna"
New-ADOrganizationalUnit -Name "Serwery" -Path "DC=firma,DC=local" -Description "Serwery fizyczne i wirtualne"
# Utwórz OU dla użytkowników
New-ADOrganizationalUnit -Name "Uzytkownicy" -Path "OU=Firma,DC=firma,DC=local" -Description "Konta użytkowników"
New-ADOrganizationalUnit -Name "Komputery" -Path "OU=Firma,DC=firma,DC=local" -Description "Stacje robocze"
New-ADOrganizationalUnit -Name "Grupy" -Path "OU=Firma,DC=firma,DC=local" -Description "Grupy bezpieczeństwa i dystrybucyjne"
New-ADOrganizationalUnit -Name "KontaSerwisowe" -Path "OU=Firma,DC=firma,DC=local" -Description "Konta usług i konta techniczne"
# Utwórz OU dla działów (zagnieżdżone w Uzytkownicy)
New-ADOrganizationalUnit -Name "IT" -Path "OU=Uzytkownicy,OU=Firma,DC=firma,DC=local"
New-ADOrganizationalUnit -Name "Ksiegowosc" -Path "OU=Uzytkownicy,OU=Firma,DC=firma,DC=local"
New-ADOrganizationalUnit -Name "Sprzedaz" -Path "OU=Uzytkownicy,OU=Firma,DC=firma,DC=local"
New-ADOrganizationalUnit -Name "Zarzad" -Path "OU=Uzytkownicy,OU=Firma,DC=firma,DC=local"
# Utwórz OU dla lokalizacji (np. oddziały)
New-ADOrganizationalUnit -Name "Warszawa" -Path "OU=Komputery,OU=Firma,DC=firma,DC=local"
New-ADOrganizationalUnit -Name "Krakow" -Path "OU=Komputery,OU=Firma,DC=firma,DC=local"
# Zabezpiecz OU przed przypadkowym usunięciem (najlepsze praktyki)
Get-ADOrganizationalUnit -Filter * | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true
# Sprawdź strukturę OU
Get-ADOrganizationalUnit -Filter * | Select-Object Name, DistinguishedName | Sort-Object DistinguishedName
Tworzenie pierwszego konta użytkownika w domenie
# Utwórz konto użytkownika w odpowiedniej OU
New-ADUser `
-Name "Jan Kowalski" `
-GivenName "Jan" `
-Surname "Kowalski" `
-SamAccountName "j.kowalski" `
-UserPrincipalName "[email protected]" `
-Path "OU=IT,OU=Uzytkownicy,OU=Firma,DC=firma,DC=local" `
-AccountPassword (ConvertTo-SecureString "Haslo@2025!" -AsPlainText -Force) `
-Enabled $true `
-ChangePasswordAtLogon $true `
-Description "Administrator IT" `
-Department "IT" `
-Title "Administrator systemów"
# Dodaj użytkownika do grupy Domain Admins (ostrożnie — tylko dla kont admińskich)
Add-ADGroupMember -Identity "Domain Admins" -Members "j.kowalski"
Role FSMO — serce Active Directory
Choć Active Directory jest systemem replikacji wielokierunkowej (multi-master), pewne operacje wymagają jednego, autorytatywnego punktu decyzyjnego. Te „pojedyncze punkty operacji" to role FSMO (Flexible Single Master Operations), wcześniej znane jako role Operations Master. W każdym lesie AD istnieje dokładnie 5 ról FSMO — 2 na poziomie lasu i 3 na poziomie każdej domeny.
Oficjalny opis ról dostępny jest na Microsoft Learn — Planowanie rozmieszczenia ról Operations Master.
5 ról FSMO — co robi każda z nich?
Role na poziomie lasu (1 egzemplarz w całym lesie AD)
- Schema Master (Wzorzec schematu) — jedyny kontroler domeny, który może wprowadzać zmiany w schemacie AD (dodawać atrybuty, klasy obiektów). Aktywny tylko podczas modyfikacji schematu (np. przy instalacji Exchange Server, Lync/Teams, Entra ID Connect). Niedostępność tego DC nie wpływa na codzienne działanie domeny.
- Domain Naming Master (Wzorzec nazw domen) — kontroluje dodawanie i usuwanie domen oraz partycji aplikacji z lasu. Wymagany tylko podczas zmian struktury lasu. Powinien być Global Catalog serverem.
Role na poziomie domeny (1 egzemplarz w każdej domenie)
- PDC Emulator (Emulator podstawowego kontrolera domeny) — najbardziej obciążona rola FSMO. Odpowiada za: synchronizację czasu w domenie (hierarchia NTP), natychmiastowe zmiany haseł (replikacja priorytetowa do PDC), blokady kont, zarządzanie GPO (GPMC zawsze pisze GPO do PDC), emulację starszych klientów NT. Wymaga najlepszego sprzętu w domenie.
- RID Master (Wzorzec identyfikatorów względnych) — przydziela pule RID (Relative Identifiers) innym kontrolerom domeny. Każde nowe konto użytkownika, grupy lub komputera wymaga unikalnego SID, składającego się z SID domeny + RID. DC pobiera pule RID z RID Mastera zanim je wyczerpie.
- Infrastructure Master (Wzorzec infrastruktury) — aktualizuje referencje obiektów między domenami (np. gdy przenosisz użytkownika między domenami w tym samym lesie). Nie powinien być umieszczony na Global Catalog serwerze, chyba że wszystkie DC w domenie są GC lub jest to las z jedną domeną.
Sprawdzanie i przenoszenie ról FSMO w PowerShell
# Sprawdź wszystkie role FSMO naraz
netdom query fsmo
# Sprawdź role lasu przez PowerShell
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
# Sprawdź role domeny przez PowerShell
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster
# Transferuj rolę na inny DC (przeniesienie "w trybie dyplomatycznym" — stary DC jest dostępny)
Move-ADDirectoryServerOperationMasterRole `
-Identity "DC02" `
-OperationMasterRole PDCEmulator, RIDMaster, InfrastructureMaster
# Przechwycenie roli (Seize) — gdy stary DC jest niedostępny (NIEBEZPIECZNE — użyj tylko w awaryjnych)
Move-ADDirectoryServerOperationMasterRole `
-Identity "DC02" `
-OperationMasterRole PDCEmulator `
-Force
Najlepsze praktyki rozmieszczenia ról FSMO — SMB vs. duże organizacje
| Rola FSMO | Środowisko SMB (1–2 DC) | Duże środowisko (3+ DC, kilka lokalizacji) | Uwagi krytyczne |
|---|
| Schema Master | DC01 (razem z PDC) | PDC Emulator domeny korzenia lasu | Aktywny rzadko; niedostępność nie wpływa na operacje codzienne |
| Domain Naming Master | DC01 (razem z PDC) | PDC Emulator domeny korzenia lasu; musi być Global Catalog | Wymagany tylko przy zmianach struktury lasu |
| PDC Emulator | DC01 — najlepszy sprzęt w środowisku | Fizyczny DC w głównej lokalizacji; najlepsza przepustowość sieci; bezpośrednie połączenie NTP z zewnętrznym źródłem czasu | Najbardziej obciążona rola. Monitoruj CPU i sieć. PDC MUSI synchronizować czas z zewnętrznym źródłem NTP (w32tm /config /manualpeerlist:"pool.ntp.org" /syncfromflags:manual /reliable:YES /update) |
| RID Master | DC01 (razem z PDC) | Co-locate z PDC Emulatorem — PDC jest największym konsumentem RID | Monitoruj pulę RID (Get-ADDomain | Select-Object RIDMaster); alert gdy pula < 20% |
| Infrastructure Master | DC01 (akceptowalne w środowisku jednodomenowym) | DC bez roli Global Catalog — CHYBA ŻE wszystkie DC są GC (zalecane przez Microsoft dla Server 2025) | W pojedynczej domenie lub gdy wszystkie DC są GC — dowolny DC. W lesie wielodomenowym: unikaj GC dla tej roli |
Dodawanie drugiego kontrolera domeny — replikacja AD DS
Produkcyjne środowisko AD DS nigdy nie powinno mieć tylko jednego kontrolera domeny. Pojedynczy DC to pojedynczy punkt awarii — jego awaria oznacza niemożność zalogowania się użytkowników (z wyjątkiem lokalnych kont), brak dostępu do udostępnionych zasobów i zatrzymanie pracy firmy. Zainstaluj minimum dwa DC w każdej domenie.
Dodawanie repliki DC do istniejącej domeny
# Na NOWYM serwerze (DC02) — najpierw zainstaluj rolę AD DS
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
# Promuj na kontroler domeny jako replikę istniejącej domeny
$cred = Get-Credential "FIRMA\Administrator"
$securePassword = Read-Host "Podaj hasło DSRM dla DC02" -AsSecureString
Install-ADDSDomainController `
-DomainName "firma.local" `
-Credential $cred `
-SafeModeAdministratorPassword $securePassword `
-InstallDns:$true `
-ReplicationSourceDC "DC01.firma.local" `
-DatabasePath "C:\Windows\NTDS" `
-LogPath "C:\Windows\NTDS" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
Sprawdzanie replikacji
Po dodaniu drugiego DC sprawdź, czy replikacja działa prawidłowo za pomocą narzędzia repadmin:
# Podsumowanie replikacji (szukaj błędów i opóźnień)
repadmin /replsummary
# Szczegółowy status replikacji
repadmin /showrepl
# Wymusz synchronizację wszystkich partycji z wszystkimi DC
repadmin /syncall /AdeP
# Sprawdź połączenia replikacji
repadmin /showconn
Replikacja w obrębie lokalizacji (intra-site) odbywa się z minimalnym opóźnieniem (15 sekund do 3 minut). Replikacja między lokalizacjami (inter-site) jest konfigurowana przez Site Links i może być planowana (np. poza godzinami szczytu). Domyślny protokół replikacji to DFS-R (Distributed File System Replication) dla SYSVOL, a replikacja bazy AD używa własnego mechanizmu opartego na RPC.
Integracja DNS z Active Directory
DNS jest kręgosłupem Active Directory — bez sprawnie działającego DNS żadna usługa AD nie będzie działać prawidłowo. Stacje robocze lokalizują kontrolery domeny właśnie przez rekordy DNS (SRV, A), a nie przez NetBIOS czy WINS.
Strefy DNS zintegrowane z AD — dlaczego to jedyna właściwa opcja
Gdy instalujesz DNS z parametrem -InstallDns:$true, Windows Server 2025 automatycznie tworzy strefę DNS zintegrowaną z Active Directory. Różni się ona fundamentalnie od klasycznej strefy plikowej:
- Replikacja przez AD — dane DNS są przechowywane w bazie AD i replikowane do wszystkich DC, które pełnią rolę serwera DNS. Nie ma potrzeby konfigurowania transferów stref (AXFR/IXFR).
- Bezpieczeństwo — tylko uwierzytelnieni klienci i serwery mogą modyfikować rekordy DNS (Secure Dynamic Update). Eliminuje to ryzyko DNS cache poisoning przez nieautoryzowane wpisy.
- Odporność — każdy DC z rolą DNS jest równorzędnym serwerem autorytatywnym dla strefy. Awaria jednego DC nie powoduje niedostępności DNS.
Konfiguracja DNS po instalacji AD DS
# Sprawdź strefy DNS
Get-DnsServerZone
# Dodaj przekaźnik DNS do zewnętrznych serwerów (np. Google 8.8.8.8)
Add-DnsServerForwarder -IPAddress "8.8.8.8", "8.8.4.4" -PassThru
# Sprawdź rekordy SRV (potwierdź prawidłową rejestrację DC)
nslookup -type=SRV _ldap._tcp.firma.local
# Sprawdź i wymuś rejestrację rekordów DNS przez NetLogon
nltest /dsregdns
net stop netlogon
net start netlogon
# Sprawdź konfigurację DNS na karcie sieciowej DC
Get-DnsClientServerAddress -InterfaceAlias "Ethernet"
Ważna zasada: karta sieciowa kontrolera domeny powinna wskazywać na siebie samego jako pierwszy serwer DNS (127.0.0.1 lub własny adres IP), a drugi serwer DNS powinien wskazywać na inny DC w sieci. Nigdy nie ustawiaj zewnętrznych serwerów DNS (8.8.8.8) jako podstawowego serwera DNS na DC — uniemożliwia to prawidłowe rozwiązywanie nazw w domenie.
Wewnętrzny DNS a forwardery
Typowa konfiguracja DNS w środowisku z AD DS wygląda następująco:
- Stacje robocze mają ustawiony adres DC jako serwer DNS.
- DC rozwiązuje zapytania wewnętrzne (strefa firma.local) autorytatywnie.
- Dla domen zewnętrznych (Google.com, Microsoft.com) DC przekazuje zapytania do forwarderów (8.8.8.8) lub używa root hints.
- Nigdy nie konfiguruj DC tak, by wysyłał zewnętrzne zapytania bezpośrednio do root servers bez forwarderów — zwiększa to latencję i ryzyko wycieku wewnętrznych nazw domen.
Kontrola jakości po pierwszej instalacji AD DS
Po udanym restarcie łatwo uznać, że konfiguracja jest zakończona, bo logowanie do domeny działa. W praktyce pierwszy kontroler domeny wymaga jeszcze testu bazowego: sprawdzasz DNS, katalog SYSVOL, role FSMO, replikację, czas i stan usług. Taki raport warto zapisać w dokumentacji wdrożenia, bo później będzie punktem odniesienia podczas rozbudowy środowiska o drugi kontroler domeny, serwer RDS, serwer plików lub integrację z Microsoft Entra ID.
# Raport bazowy po instalacji pierwszego kontrolera domeny
$domain = Get-ADDomain
$forest = Get-ADForest
$domain | Select-Object DNSRoot, NetBIOSName, DomainMode, PDCEmulator, RIDMaster, InfrastructureMaster
$forest | Select-Object Name, ForestMode, SchemaMaster, DomainNamingMaster
# Test usług katalogowych i DNS
dcdiag /v /c /d /e /s:DC01
dcdiag /test:dns /s:DC01
# Test replikacji i SYSVOL
repadmin /replsummary
net share | Select-String "SYSVOL|NETLOGON"
# Test czasu domenowego
w32tm /query /status
w32tm /monitor
Najważniejsze wyniki to brak błędów w dcdiag /test:dns, obecność udziałów SYSVOL i NETLOGON, poprawnie wskazany PDC Emulator oraz brak istotnych opóźnień replikacji. Jeżeli masz tylko jeden DC, repadmin /replsummary nie pokaże pełnej topologii, ale nadal pozwala szybko wychwycić błędy partycji katalogowych. Po dodaniu DC02 uruchom ten sam zestaw poleceń na obu kontrolerach i porównaj wyniki.
| Objaw po instalacji | Najczęstsza przyczyna | Pierwsza diagnostyka | Zalecana naprawa |
|---|
| Stacja robocza nie widzi domeny | Klient używa zewnętrznego DNS zamiast adresu kontrolera domeny | ipconfig /all oraz nslookup -type=SRV _ldap._tcp.firma.local | Ustaw DNS klienta na adres DC, odśwież konfigurację DHCP i uruchom ipconfig /flushdns |
| Brak udziału SYSVOL lub NETLOGON | SYSVOL nie zakończył inicjalizacji albo wystąpił problem DFS-R | net share, dziennik DFS Replication, dcdiag /test:sysvolcheck | Sprawdź zdarzenia DFS-R, poczekaj na inicjalizację lub napraw replikację SYSVOL przed dodaniem kolejnych DC |
| Błędy Kerberos przy logowaniu | Różnica czasu między klientem a DC przekracza dopuszczalny zakres | w32tm /query /status na kliencie i PDC Emulatorze | Skonfiguruj PDC Emulator na zewnętrzne źródło NTP i wymuś synchronizację czasu |
| Nie działa rozwiązywanie nazw internetowych | Brak forwarderów DNS lub blokada ruchu DNS na zaporze | Resolve-DnsName microsoft.com -Server 127.0.0.1 | Dodaj forwardery DNS w roli DNS Server i sprawdź reguły zapory na porcie 53 |
Warto od razu przygotować prosty standard operacyjny: każdy nowy kontroler domeny powinien przejść ten sam zestaw testów przed uznaniem go za produkcyjny. Dzięki temu nie przenosisz problemów DNS, czasu ani SYSVOL do kolejnych lokalizacji. W małej firmie checklistę możesz przechowywać w dokumentacji IT; w większej organizacji uruchamiaj ją jako skrypt walidacyjny po każdej zmianie w topologii AD DS.
Zabezpieczanie Active Directory — najważniejsze kroki po instalacji
Świeżo zainstalowane AD DS jest bezpieczne z perspektywy domyślnej konfiguracji Windows Server 2025, ale środowisko produkcyjne wymaga dodatkowych kroków. Poniższe rekomendacje są zgodne z Microsoft Security Baseline dla Windows Server 2025:
Najważniejsze kroki bezpieczeństwa
- Wyłącz NTLM tam, gdzie to możliwe — Microsoft aktywnie wycofuje NTLM. Użyj GPO Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options → Network security: Restrict NTLM do ograniczenia użycia NTLM. Upewnij się, że wszystkie aplikacje obsługują Kerberos.
- Włącz Protected Users Security Group — dodaj konta uprzywilejowane do grupy Protected Users. Automatycznie wyłącza NTLM, DES i RC4 dla Kerberos, zabrania buforowania poświadczeń i skraca czas życia biletów TGT do 4 godzin.
- Skonfiguruj Tiered Administration Model (PAW) — podziel konta administratorskie na tier 0 (DC/AD), tier 1 (serwery) i tier 2 (stacje robocze). Konto tier 0 nigdy nie loguje się na stacje robocze.
- Auditing — włącz zaawansowane zasady inspekcji — monitoruj zmiany kont uprzywilejowanych, logowania (event 4624, 4625, 4648), zmiany GPO (event 5136) i modyfikacje schematu.
- Delegowane konta usług zarządzanych (dMSA) — nowy typ konta w Server 2025. Migruj konta serwisowe na dMSA dla automatycznej rotacji haseł.
Backup i odzyskiwanie AD DS
Active Directory wymaga dedykowanego podejścia do backupu. Kopia zapasowa całego systemu (system state backup) to minimum — obejmuje bazę AD, rejestr, SYSVOL i metadane rozruchu.
# Backup stanu systemu (System State) zawierający AD DS
# Wymaga zainstalowania Windows Server Backup
Install-WindowsFeature Windows-Server-Backup
# Wykonaj backup stanu systemu na dysk zewnętrzny lub serwer sieciowy
wbadmin start systemstatebackup -backupTarget:E: -quiet
# Sprawdź dostępne kopie zapasowe
wbadmin get versions
# Wyświetl stan replikacji SYSVOL
Get-DfsrState -ComputerName "DC01" | Select-Object ComputerName, State
Monitorowanie Active Directory — kluczowe zdarzenia Event Log
Wbudowany Event Log w Windows Server 2025 rejestruje wszystkie istotne zdarzenia AD DS. Poniższe ID zdarzeń są szczególnie ważne:
- Event 1000–1999 (Active Directory) — zdarzenia serwisu AD DS; ID 1000 = poprawne uruchomienie AD DS.
- Event 4624 — pomyślne logowanie do domeny (Security log).
- Event 4625 — nieudane logowanie — monitoruj pod kątem ataków brute-force.
- Event 4720 — utworzenie konta użytkownika.
- Event 4726 — usunięcie konta użytkownika.
- Event 4728, 4732 — dodanie członka do grupy bezpieczeństwa.
- Event 4740 — zablokowanie konta użytkownika.
- Event 5136 — modyfikacja obiektu w Active Directory (wymaga włączonego audytu DS Access).
# Sprawdź ostatnie błędy AD DS w Event Log
Get-EventLog -LogName "Directory Service" -EntryType Error -Newest 20 |
Select-Object TimeGenerated, EventID, Message | Format-List
# Monitoruj blokady kont w Security Log
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4740} -MaxEvents 50 |
Select-Object TimeCreated, Message | Format-List
Podnoszenie poziomu funkcjonalności do Win2025
Jeśli dokonałeś instalacji z niższym poziomem funkcjonalności (np. Win2016 dla kompatybilności ze starymi DC) i chcesz teraz podnieść do Win2025 (po migracji wszystkich DC do Windows Server 2025), użyj poniższych poleceń. Microsoft Learn opisuje ten proces na stronie Podnoszenie poziomów funkcjonalności lasu i domeny.
# Sprawdź bieżący poziom funkcjonalności
Get-ADDomain | Select-Object DomainMode
Get-ADForest | Select-Object ForestMode
# Podnieś poziom domeny (wszystkie DC muszą być na Win Server 2025)
Set-ADDomainMode -Identity "firma.local" -DomainMode Windows2025Domain
# Podnieś poziom lasu (po podniesieniu wszystkich domen)
Set-ADForestMode -Identity "firma.local" -ForestMode Windows2025Forest
# W Server 2025: podnosząc FFL automatycznie podnosi wszystkie DFL
# Sprawdź wynik
Get-ADDomain | Select-Object DomainMode
Get-ADForest | Select-Object ForestMode
Ważne: Podniesienie poziomu funkcjonalności jest operacją nieodwracalną. Po podniesieniu do Win2025 nie możesz dodać do domeny DC z Windows Server 2022 lub starszym. Przed wykonaniem operacji upewnij się, że wszystkie DC są na Server 2025 i że masz aktualną kopię zapasową stanu systemu.
Łączenie stacji roboczych z domeną
Po skonfigurowaniu kontrolera domeny czas dołączyć stacje robocze. Wymaga to, by stacja robocza miała ustawiony adres DC jako serwer DNS.
# Na stacji roboczej (Windows 10/11) — uruchom PowerShell jako Admin
# Najpierw ustaw DNS na adres DC
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses "192.168.1.10"
# Dołącz stację do domeny
Add-Computer -DomainName "firma.local" -Credential "FIRMA\Administrator" -Restart
# Lub z parametrem OUPath — dołącz do konkretnej OU
Add-Computer `
-DomainName "firma.local" `
-OUPath "OU=Warszawa,OU=Komputery,OU=Firma,DC=firma,DC=local" `
-Credential "FIRMA\Administrator" `
-Restart
Najczęściej zadawane pytania — Active Directory na Windows Server 2025
Czy dcpromo.exe działa na Windows Server 2025?
Nie — narzędzie dcpromo.exe zostało oficjalnie wycofane już w Windows Server 2012 i nie jest dostępne w Server 2025. Próba jego uruchomienia zwróci komunikat informujący o migracji funkcjonalności do modułu PowerShell ADDSDeployment i Menedżera serwera. Zamiast dcpromo używaj cmdletów Install-ADDSForest (nowy las), Install-ADDSDomain (nowa domena w istniejącym lesie) lub Install-ADDSDomainController (dodatkowy DC w istniejącej domenie). Wszystkie parametry, które kiedyś konfigurowałeś w kreatorze dcpromo, są teraz dostępne jako parametry tych poleceń PowerShell.
Ile kontrolerów domeny potrzebuje mała firma (5–50 pracowników)?
Minimum dwa kontrolery domeny — to absolutne minimum produkcyjne, bez wyjątków. Pojedynczy DC oznacza pojedynczy punkt awarii: jego awaria zatrzymuje logowanie użytkowników, dostęp do GPO i zasobów domenowych. Dla 5–50 pracowników dwa DC (fizyczne lub wirtualne) w tej samej sieci LAN są wystarczające. Przy biurach w dwóch lokalizacjach rozważ jeden DC w każdej lokalizacji, by sesje domenowe działały nawet gdy łącze WAN/VPN jest niedostępne. Na serwerze fizycznym z dobrymi parametrami możesz łączyć rolę DC z innymi rolami (np. plik serwer), jednak NIE instaluj na DC: Exchange Server, SQL Server (poza niezbędnym minimum), ani aplikacji firm trzecich z nieoczekiwanymi zależnościami.
Czym jest hasło DSRM i kiedy go potrzebujesz?
Hasło DSRM (Directory Services Restore Mode) to specjalne hasło administratora lokalnego, które podajesz podczas instalacji AD DS (parametr -SafeModeAdministratorPassword). Używasz go wyłącznie w sytuacjach awaryjnych: gdy baza danych AD jest uszkodzona i musisz uruchomić kontroler domeny w trybie przywracania (DSRM) — analogu trybu awaryjnego dla usług katalogowych. W trybie DSRM Active Directory jest wyłączone, a Ty możesz naprawiać bazę NTDS.dit, przywracać kopię zapasową stanu systemu lub usuwać uszkodzone obiekty. Przechowuj hasło DSRM w bezpiecznym miejscu (menedżer haseł, sejf) — oddzielnie od haseł kont administracyjnych domeny. Możesz zresetować hasło DSRM poleceniem: ntdsutil "set dsrm password" "reset password on server DC01" null.
Czym różni się poziom funkcjonalności Win2025 od Win2019/Win2022?
Poziom funkcjonalności Win2025 (Level 10) to nowy poziom lasu i domeny w Windows Server 2025, który odblokowuje funkcje niedostępne w poprzednich wersjach. Najważniejsze różnice w stosunku do Win2022 (Level 9): opcjonalna baza danych ESE o rozmiarze strony 32 KB (zamiast 8 KB) — zwiększa możliwości przechowywania dużych atrybutów i wielowartościowych grup; obsługa delegowanych kont usług zarządzanych (dMSA) z automatyczną rotacją haseł; lepsze skalowanie NUMA na serwerach wieloprocesorowych; podniesienie FFL do Win2025 automatycznie podnosi też wszystkie DFL w lesie (w poprzednich wersjach trzeba było robić to osobno). Uwaga: podniesienie do Win2025 jest nieodwracalne i wymaga, by WSZYSTKIE DC w środowisku działały na Windows Server 2025.
Czy można zainstalować AD DS bez serwera DNS?
Technicznie tak — parametr -InstallDns:$false pomija instalację roli DNS. Jednak w praktyce jest to błędem, który skomplikuje środowisko. Active Directory wymaga DNS do lokalizowania kontrolerów domeny, usług Kerberos, replikacji i wszelkich operacji domenowych. Jeśli nie zainstalujesz DNS na DC, musisz ręcznie skonfigurować zewnętrzny serwer DNS z odpowiednimi rekordami SRV (dziesiątki rekordów tworzonych automatycznie przez NetLogon). Microsoft zdecydowanie zaleca używanie DNS zintegrowanego z AD — jest to bezpieczniejsze, łatwiejsze w zarządzaniu i automatycznie replikowane między kontrolerami domeny. Jedynym uzasadnionym wyjątkiem jest sytuacja, gdy masz istniejącą infrastrukturę DNS (np. BIND) zintegrowaną z AD przez strefy delegowane.
Jak sprawdzić, który DC posiada daną rolę FSMO?
Najszybszy sposób to polecenie netdom query fsmo w wierszu poleceń lub PowerShell — zwraca listę wszystkich 5 ról z nazwami DC. Alternatywnie w PowerShell: Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster dla ról lasu i Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster dla ról domeny. W graficznym Active Directory Users and Computers: kliknij prawym przyciskiem na domenę → Operations Masters, gdzie zobaczysz role domeny na 3 zakładkach (PDC, RID, Infrastructure). Dla ról lasu: Active Directory Schema snap-in (wymaga rejestracji regsvr32 schmmgmt.dll) oraz Active Directory Domains and Trusts. Pamiętaj, że po reinstalacji lub awarii DC role FSMO mogą pozostać przypisane do nieistniejącego serwera — w takim przypadku konieczne jest przechwycenie (seize) ról.
Jak skonfigurować synchronizację czasu NTP w domenie Active Directory?
Kerberos wymaga, by różnica czasu między klientem a kontrolerem domeny nie przekraczała 5 minut — przekroczenie tego limitu powoduje błędy uwierzytelniania (KRB_AP_ERR_SKEW). W domenie AD DS PDC Emulator jest autorytatywnym źródłem czasu dla wszystkich DC i klientów. Skonfiguruj PDC Emulator tak, by synchronizował się z zewnętrznym źródłem NTP: w32tm /config /manualpeerlist:"0.pl.pool.ntp.org,1.pl.pool.ntp.org" /syncfromflags:manual /reliable:YES /update i net stop w32time && net start w32time. Pozostałe DC synchronizują się z PDC automatycznie przez hierarchię AD. Stacje robocze dołączone do domeny synchronizują się przez ten sam mechanizm — nie musisz ich konfigurować ręcznie.
Podsumowanie — Active Directory na Windows Server 2025 w Twojej firmie
Instalacja Active Directory Domain Services na Windows Server 2025 to inwestycja, która zwraca się od pierwszego dnia — centralne zarządzanie tożsamościami, politykami grup i dostępem do zasobów oszczędza dziesiątki godzin pracy administracyjnej miesięcznie. Kluczowe kroki, które omówiliśmy w tym przewodniku:
- Instalacja roli —
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools. - Promowanie na DC —
Install-ADDSForest z parametrami -DomainName, -DomainNetbiosName, -ForestMode Win2025, -DomainMode Win2025 i -SafeModeAdministratorPassword. - Struktura OU —
New-ADOrganizationalUnit dla logicznej organizacji obiektów i efektywnego stosowania GPO. - Role FSMO — w środowiskach SMB wszystkie 5 ról na pierwszym DC; w dużych środowiskach rozdziel PDC/RID od Infrastructure Mastera i umieść role lasu na DC w domenie korzenia.
- DNS i replikacja — strefy zintegrowane z AD, forwardery dla zewnętrznych domen, regularne
repadmin /replsummary. - Bezpieczeństwo — ograniczenie NTLM, Protected Users, Tiered Administration Model, auditing zdarzeń.
Do uruchomienia Windows Server 2025 potrzebujesz aktywnej licencji — znajdziesz ją w sklepie kluczesoft.pl w kategorii Windows Server. Jeśli w Twojej domenie użytkownicy będą korzystać z Remote Desktop Services (RDS), nie zapomnij o licencjach dostępowych — RDS CAL User dostępne są w kluczesoft.pl w najlepszych cenach na rynku. Pełną ofertę systemów Microsoft, w tym klucze do Windows 10 Pro i Windows 11 Pro dla stacji roboczych dołączanych do domeny, znajdziesz w kategorii klucze Windows w kluczesoft.pl.
Masz pytania dotyczące konfiguracji AD DS lub doboru licencji serwerowych? Napisz do nas — nasi eksperci pomogą dobrać właściwe rozwiązanie dla Twojej firmy.
Dostawa w 1 min
100% Oryginalne
TrustedShops 4.81 · 3 783 opinii
![Jak sprawdzić klucz produktu Windows 11 i Windows 10 — 5 metod [2026]](https://kluczesoft.pl/img/ybc_blog/post/thumb/thumb-132.jpg "Jak sprawdzić klucz produktu Windows 11 i Windows 10 — 5 metod [2026]")
![100+ skrótów klawiszowych Windows 11 i 10 — kompletna ściąga [2026]](https://kluczesoft.pl/img/ybc_blog/post/thumb/hero-26.png "100+ skrótów klawiszowych Windows 11 i 10 — kompletna ściąga [2026]")
![Jak przyspieszyć Windows 11 — 15 sprawdzonych metod [2026]](https://kluczesoft.pl/img/ybc_blog/post/thumb/hero-213.png "Jak przyspieszyć Windows 11 — 15 sprawdzonych metod [2026]")
![Kalkulator licencji Windows Server — oblicz ile potrzebujesz [2026]](https://kluczesoft.pl/img/ybc_blog/post/thumb/hero-339.png "Kalkulator licencji Windows Server — oblicz ile potrzebujesz [2026]")
![Licencja OEM vs ESD vs BOX vs Retail — kompletne porownanie z infografika [2026]](https://kluczesoft.pl/img/ybc_blog/post/thumb/hero-338.png "Licencja OEM vs ESD vs BOX vs Retail — kompletne porownanie z infografika [2026]")
Dodaj komentarz