如何在 Windows 10 和 11 中加入域（完整指南）

配置客户端的 DNS 以指向域控制器并通过名称验证连接。

通过 GUI 加入团队或 PowerShell的 使用 AD 凭据并重新启动以应用更改。

通过重新建立安全通道或重新进入设备来解决信任失败。

加入后检查 AD 成员资格、资源访问和策略执行情况。

在下面的几行中，您将找到一个完整、清晰的指南，旨在不留任何遗漏之处： 先决条件、网络准备（包括 DNS）、每个接口和每条线路的方法 comandos、如何重新团结那些已​​经解散的团队，以及如何修复可怕的信任关系错误。所有这些都带有细微的差别， Windows 10和 Windows 11以及一些实用技巧，确保它不会妨碍你。在需要将服务器提升为控制器的环境中，请查看如何 将服务器提升为域控制器 完善基础设施。

先决条件

首先，最好确认您满足最低要求。 如果没有这些要求，域加入通常会失败。 或者该过程不稳定。

兼容Windows版本：Windows 家庭版（包括家庭 SL）不支持域加入功能。您需要 Windows 专业版或企业版。

拥有域的权限- 具有添加计算机权限的凭证（通常是域管理员或特定委派）。

与域控制器 (DC) 的连接：客户端必须能够无阻塞地访问 DC 网络（足够的延迟和端口）。

指向 DC 的 DNS：计算机的首选DNS必须是域控制器的IP，以便它可以解析AD名称。

时间和时区 与域同步（Kerberos 身份验证对时间偏差很敏感）。

当地许可证 在计算机上：如果可能，请使用本地管理员帐户启动该过程。

作战域：必须安装 AD DS 并使其正常运行，并且至少有一个可访问的 DC。

防火墙：在域/私有网络上，请检查它是否阻止 DNS、LDAP/LDAPS、Kerberos、RPC 等解析。在公共网络上，建议保持启用状态。

如果您对 Windows 版本有任何疑问，请记住以下关键细节： Windows Home 不支持加入域如果您遇到这种情况，第一步是升级到 Pro 或 Enterprise。

在客户端计算机上配置网络

为了使连接首次正常工作，网络配置必须合适。 最关键的是客户端的DNS：应该指向域控制器的 IP，而不是 路由器，也不是公共 DNS。

Windows 10

在 Windows 10 中，如果您的网络配置良好，您可以通过 DHCP 保留 IP，但请确保首选 DNS 指向 DC（例如， 192.168.1.5 作为控制器的 DNS）。如果您使用固定 IP，请定义 DC 的 IP、网关和首选 DNS，并将内部备用 DNS 留为可选。

如何在 OneDrive 中逐步创建表单为了快速检查连接性和名称解析，打开 PowerShell 并通过名称 ping 域服务器。 使用你的 DC 的真实姓名，例如：

ping server-2019-a

如果你回复姓名，则表明 客户端 DNS 解析有效 并且 DC 在线响应，这至关重要。

Windows 11

在 Windows 11 中，您可以从网络设置中编辑 DNS 服务器分配，并将其设置为 IPv4 手动，将 DC IP 设置为首选（例如， 192.168.1.5)。如果您的基础设施支持，其余参数可以通过 DHCP 来维护。

重复 连通性测试 使用 PowerShell 验证一切是否正确：

ping server-2022-a

如果您没有收到回复，请仔细检查您的网络设置、防火墙以及服务器名称是否正确。 修复客户端的 DNS 通常可以解决大多数问题。 在这个阶段。

检查网络配置是否正确

一旦完成了网络的微调，最好通过非常具体的测试来验证它。 打开控制台 (CMD 或 PowerShell）具有权限 并执行以下检查：

通过 IP 地址 ping DC 以确认 IP 级网络连接。

通过 DNS 名称对 DC 进行 ping 操作，以验证 客户端根据域的 DNS 进行解析.

DC 名称和域的 nslookup（例如 contoso.local）以验证查询是否指向 DC 的 DNS。

如果出现问题，您通常会查看 DNS、网关或防火墙问题。 在尝试加入之前修复此问题 否则你会因为误导性的错误而浪费时间。

将设备加入域

加入团队有两种常见方式：通过图形界面或使用命令行/PowerShell。 两种方法都达到相同的结果，因此请使用对您来说最舒适或最自动化的方法。

控制面板方法（图形界面）

此过程适用于 Windows 10 和 11，但外观上略有差异。 这个想法是进入系统属性并更改名称/组 从工作组移动到域。

打开“系统设置”，然后转到“关于”部分。从那里，打开“系统信息”或“高级系统设置”。

在系统属性中，单击更改以修改计算机名称和成员身份。

在成员区域中，选择域并输入域名（例如，somebooks.local 或您的域名）。

将请求具有将计算机加入域的权限的凭据。 输入域用户名和密码.

如果一切正确，将出现欢迎加入域的消息，并要求您重新启动。

重新启动以应用更改。 直到您重新启动，联合才会处于活动状态。.

关于 unsecapp.exe 的一切：它的用途以及如何判断它是否安全如果您已在域中预先创建了计算机帐户（例如，CUSTOMER-W10-01 或 CUSTOMER-W11-01），请确保 使用相同的球队名称 在加入之前在客户端中进行设置，以便与已经设置的帐户相匹配。

命令行方式

命令行和 PowerShell 允许您快速自动地将计算机加入域。 它是脚本或大规模部署的理想选择.

在 PowerShell 中 具有管理员权限，你可以运行：

add-computer -DomainName midominio.local -Credential MIDOMINIO\Administrador -Restart -Force

当您运行该命令时，将为具有权限的域用户打开一个凭据窗口（如果尚未打开）。 队伍将自动加入并重启 到最后。

如果您更喜欢 CMD，也可以使用命令行实用程序实现这一点。 哲学是一样的：指示域、凭据并操作后重新启动。

将分离的设备重新加入域

由于维护、新图像或问题，团队可能已被从域中移除。 在这些情况下，建议先控制退出，然后再加入。 重新建立信任关系和安全通道。

使用图形界面，转到系统属性，将成员资格更改为工作组（WORKGROUP），确认并重新启动。 然后重复该过程再次加入域。 然后重新启动。

如果你喜欢在 命令行，PowerShell 提供了舒适的流程：

# Desunir del dominio (solicitará credenciales de dominio con permiso para quitar el equipo)

Remove-Computer -UnjoinDomainCredential MIDOMINIO\Administrador -PassThru -Verbose -Force -Restart

# Tras reiniciar, volver a unir al dominio

Add-Computer -DomainName midominio.local -Credential MIDOMINIO\Administrador -Restart -Force

此过程清理 AD 和客户端上潜在的不一致的计算机帐户状态。 如有疑问，移除并重新连接通常是最快的解决方案。.

修复域信任关系

一个相对常见的错误是计算机和域控制器之间的安全通道中断。 典型症状是屏幕上出现以下消息:

The trust relationship between this workstation and the primary domain failed.

这通常发生在计算机帐户密码与域数据库不同步，或者 AD 中的计算机帐户已被删除或损坏时。 好消息是，无需重新安装即可修复。.

如果你有 本地管理员凭据 在受影响的计算机上，您可以从 PowerShell 恢复信任：

# Restablecer la contraseña de la cuenta de equipo/canal seguro contra un DC

Reset-ComputerMachinePassword -Server DC01 -Credential MIDOMINIO\Administrador

完成后，重新启动计算机。或者，如果需要，您可以使用与安全通道配合使用的命令行工具。 重要的是重新同步机器账户 与域控制器。

DXGI_ERROR_DEVICE_HUNG / 0x887A0005 和 0x887A0006：真正原因和实际有效的解决方案如果无法重置或重置失败，则应用上述策略： 脱离领域并重新统一 （通过 GUI 或 PowerShell）。在大多数情况下，这些路径之一可以恢复对您网站的信任。

登录域

加入后重新启动后，就需要使用域帐户进行身份验证了。 主屏幕通常显示最后一个本地用户，因此切换到域用户。

在 Windows 11 中，点击其他用户并输入 DOMAIN\user 或 user@domain.local 和您的密码。 您将在密码字段下方看到 NetBIOS 域提示。，确认会话将针对正确的域打开。

第一次需要更长的时间，因为它 创建用户配置文件 在团队中。 看到桌面准备消息是正常的 在第一次启动时。

如果您通过远程桌面 (RDP) 连接到新加入的服务器，请记住在您的凭据中包含域名，以便针对 AD 执行身份验证。 推荐格式：域\用户名.

加入后的检查和测试

最好进行一些检查以确保一切都完美无缺。 快速验证可以避免您以后的惊慌。.

系统属性：确认计算机被列为正确域的成员。

在域控制器上，打开 Active Directory 用户和计算机并验证 团队帐户出现在预期的 OU 中.

访问服务器共享：登录测试共享并创建 .txt 文件以验证权限和 SMB 连接。

策略：使用 gpupdate /force 强制更新并检查是否应用了域策略。

防火墙：在私人或域网络上，根据需要进行调整。 在公共网络上建议保持启用状态 为了安全。

如果您满足要求并遵循逻辑顺序，将计算机加入域应该不会是一件令人头疼的事情：明确定义的网络和 DNS、按名称测试连接、选择方法（GUI 或 PowerShell）并重新启动。 如果出了问题，修复信任或重新团结 它通常会在几分钟内恢复正常；后续检查将确保一切正常。

相关文章：在 Windows 中将计算机加入域的完整教程

艾萨克对字节世界和一般技术充满热情的作家。我喜欢通过写作分享我的知识，这就是我在这个博客中要做的，向您展示有关小工具、软件、硬件、技术趋势等的所有最有趣的事情。我的目标是帮助您以简单而有趣的方式畅游数字世界。