VMware Horizon 8基础架构搭建（一）Active Directory域服务部署详解

1. 为什么需要Active Directory域服务？

在搭建VMware Horizon 8虚拟桌面环境时，Active Directory（AD）域服务就像是一个虚拟世界的"身份证系统"。想象一下，如果没有身份证，我们怎么证明"我是我"？AD域服务就是为虚拟桌面环境中的每台计算机、每个用户提供身份认证的基础设施。

我见过不少新手直接跳过AD域配置就开始部署Horizon，结果遇到各种奇怪的权限问题。比如用户无法登录虚拟桌面、策略无法生效、资源访问受限等等。这些问题90%都可以通过正确配置AD域服务来避免。

AD域服务主要解决三个核心问题：

• 集中管理：不用每台电脑单独设置账号密码
• 统一认证：用户只需记住一个账号就能访问所有授权资源
• 策略控制：可以批量设置安全策略、软件安装策略等

2. 环境准备与Windows Server安装

2.1 选择适合的Windows Server版本

在VMware环境中创建虚拟机时，我强烈建议使用Windows Server 2019或2022 Datacenter版。为什么不是Standard版？因为Datacenter版支持无限制的虚拟机激活，这对后续扩展非常有利。

安装过程中有几个关键点需要注意：

1. 分配至少4核CPU和8GB内存（生产环境建议16GB以上）
2. 系统盘建议100GB以上
3. 网络适配器选择VMXNET3（性能最好）
4. 记得安装VMware Tools提升性能

安装完成后，第一件事就是配置静态IP。动态IP会导致域控制器服务不稳定，这是我在实际项目中踩过的坑。建议把DNS服务器地址设为自己（127.0.0.1），等AD安装完成后再添加其他DNS服务器。

2.2 基础系统配置

系统安装完成后，有几个必做的配置：

• 修改计算机名（建议用DC01这样的命名规则）
• 关闭IE增强安全配置（否则后续下载组件会很麻烦）
• 更新系统到最新补丁
• 配置Windows防火墙放行AD相关端口

这里有个小技巧：在提升为域控制器前，先创建一个系统还原点。万一AD安装失败，可以快速回滚，不用重装整个系统。

3. Active Directory域服务安装详解

3.1 添加AD域服务角色

打开服务器管理器，选择"添加角色和功能"，这个向导会引导我们完成安装。关键步骤包括：

1. 选择"基于角色或基于功能的安装"
2. 选择当前服务器
3. 勾选"Active Directory域服务"
4. 同时会自动添加DNS服务器角色（必须的）

安装完成后不要急着关闭窗口，点击"将此服务器提升为域控制器"才是重头戏。

3.2 配置新林（Forest）

在部署配置界面，选择"添加新林"。这里有几个重要参数需要特别注意：

• 根域名：建议使用内部域名如corp.local，不要使用真实的公网域名
• 林功能级别：建议选择当前Server版本
• 域控制器功能：默认勾选DNS和全局编录

设置目录服务还原模式（DSRM）密码时，一定要记下来！这个密码是在域控制器出现严重问题时使用的救命稻草。我建议把这个密码和域管理员密码分开保管。

3.3 DNS配置注意事项

AD域严重依赖DNS服务，安装过程中会自动配置DNS区域。安装完成后需要检查：

1. _msdcs子区域是否正常创建
2. SRV记录是否完整
3. 动态更新是否启用

如果后续要添加额外的域控制器，建议先确保DNS复制正常工作。很多复制问题其实都是DNS配置不当引起的。

4. 初始组织单位规划与配置

4.1 创建组织单位（OU）结构

安装完成后，打开"Active Directory用户和计算机"控制台。我建议按照这个结构创建OU：

• 顶级OU：公司名称
  • Computers（存放计算机账号）
  • Users（存放用户账号）
  • Groups（存放安全组）
  • Servers（存放服务器对象）
  • Horizon（专门用于VMware Horizon相关对象）

这种结构最大的好处是便于应用组策略，而且权限管理更清晰。在实际项目中，我看到过把所有用户都放在Users容器里的做法，后期管理简直是一场噩梦。

4.2 创建服务账户

为VMware Horizon创建专用的服务账户非常有必要。这个账户需要：

• 密码永不过期
• 加入Domain Admins组（仅限安装阶段）
• 配置委派控制（生产环境更安全）

我习惯在Horizon OU下创建"Service Accounts"子OU来集中管理这类账户。安装完成后，记得把服务账户从Domain Admins组中移除，遵循最小权限原则。

4.3 组策略基础配置

虽然完整的组策略配置可以后续进行，但有几个基础策略建议现在就设置：

1. 密码策略（复杂度、长度、有效期）
2. 账户锁定策略（防止暴力破解）
3. Kerberos策略（影响认证安全）
4. 用户权限分配（如本地登录权限）

这些策略最好在OU级别设置，而不是直接修改默认域策略。这样后期调整更灵活，也更容易排错。

5. 后续维护与排错技巧

5.1 日常维护最佳实践

AD域控制器的维护有几个黄金法则：

• 定期备份系统状态（至少每周一次）
• 监控磁盘空间（特别是C盘和日志分区）
• 定期检查复制状态（repadmin /showrepl）
• 避免直接在域控制器上安装其他应用

我强烈建议为域控制器配置专属的监控告警，包括CPU、内存、磁盘和关键服务状态。很多AD问题都是小问题积累成大问题的。

5.2 常见问题排查

当遇到域认证问题时，可以按这个顺序排查：

1. 检查网络连通性（ping测试）
2. 验证DNS解析（nslookup）
3. 检查相关服务是否运行（netlogon、kdc等）
4. 查看事件日志（特别是Directory Service日志）

有个很有用的命令是dcdiag /v，它能全面检查域控制器的健康状况。在添加新的Horizon连接服务器前，一定要确保这个命令没有报错。

5.3 性能优化建议

对于虚拟化的域控制器，有几个性能优化点：

• 为虚拟机预留内存（防止内存回收）
• 使用固定大小的虚拟磁盘
• 禁用不必要的Windows服务
• 定期整理数据库（ntdsutil）

如果是大型部署，建议至少部署两台域控制器实现高可用。但要注意，所有域控制器都应该放在不同的ESXi主机上，避免单点故障。