你现在要添加副域控，我会给你分步操作指南，重点保障主副域控时间同步、AD 复制正常，且完全兼容之前配置的 PDC 时间服务（MANUAL 模式）。
前提条件（必须先满足）
主域控（AD10）：
dcdiag /test:SystemLog 已通过（时间服务正常）；
能 ping 通副域控，网络互通（无防火墙拦截 AD 相关端口：53/UDP/TCP、88/UDP/TCP、389/UDP/TCP、445/TCP 等）；
DNS 服务正常（主域控需能解析副域控的主机名）。
副域控：
操作系统为 Windows Server 2016/2019/2022/2025（与主域控版本兼容）；
已配置静态 IP：x.x.x.x，子网掩码 / 网关正确；
DNS 首选地址指向主域控 IP（关键！避免 DNS 解析异常）；
已加入域（或全新安装时提升为域控）。
第一步：副域控前期配置（副域控 上操作）
以管理员身份打开 PowerShell，执行以下命令：
powershell

1. 配置静态 IP（示例，根据你的网段修改）

New-NetIPAddress -InterfaceAlias "以太网" -IPAddress 10.8.7.11 -PrefixLength 24 -DefaultGateway 10.8.7.1
Set-DnsClientServerAddress -InterfaceAlias "以太网" -ServerAddresses "主域控IP" # 替换为主域控的IP（如 10.8.7.10）

2. 验证与主域控的网络连通性

ping 主域控IP # 如 ping ip地址
Test-NetConnection 主域控IP -Port 389 # LDAP端口，需通

3. 安装 AD 域服务角色

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
第二步：提升为副域控（副域控上操作）
方式 1：图形化界面（新手推荐）
打开 服务器管理器 → 点击「添加角色和功能」→ 完成 AD 域服务安装后，点击「提升为域控制器」；
选择「将域控制器添加到现有域」→ 输入域名（如 xx.local）→ 输入域管理员账号密码；
勾选「DNS 服务器」「全局编录」（默认勾选即可）；
设置 Directory Services 还原模式（DSRM）密码（务必记住）；
确认配置无误后，点击「安装」，服务器会自动重启。
方式 2：PowerShell 命令（高效）
powershell

替换以下参数：

DomainName：你的域名称（如 xx.local）

SafeModeAdministratorPassword：DSRM 密码（复杂密码）

Credential：域管理员账号（如 xx\administrator）

# 1. 先获取域管理员凭据（执行后会弹出账号密码输入框）
$cred = Get-Credential  

# 2. 执行正确的域控安装命令（移除无效的 -GlobalCatalog 参数）
Install-ADDSDomainController `
    -DomainName "xx.local" `  # 替换为你的实际域名
    -Credential $cred `       # 域管理员凭据（如 DF\administrator）
    -SafeModeAdministratorPassword (ConvertTo-SecureString "你的DSRM密码" -AsPlainText -Force) `  # DSRM密码
    -InstallDNS:$true `       # 安装DNS服务器（副域控建议安装，实现DNS冗余）
    -Force:$true `            # 强制执行（跳过部分确认提示）
    -NoRebootOnCompletion:$false  # 安装完成后自动重启（可选，建议保留）

第三步：关键配置（保障主副域控时间同步）
副域控会自动以 NT5DS 模式同步主域控时间，无需手动配置，但需验证同步状态：

1. 副域控上验证时间同步
   powershell

   查看时间同步模式（必须为 NT5DS）

   w32tm /query /configuration | Select-String "Type"

查看同步源（必须为主域控 AD10 的主机名/IP）

w32tm /query /status | Select-String "Source"

强制同步一次（可选）

w32tm /resync /force
✅ 验证标准：
Type=NT5DS；
Source=主域控主机名（如 AD10.xx.local），而非外部 NTP 或本地时钟。

2. 主域控（AD10）上验证 AD 复制
   powershell

   检查主副域控复制状态

   repadmin /replsummary
   repadmin /showrepl # 查看复制链路，无错误

验证副域控已加入域

Get-ADDomainController -Filter * # 应显示 AD10 和 副域控 两台DC
第四步：后期验证与优化
验证 DNS 同步：
副域控的 DNS 管理器中，应能看到与主域控一致的域记录（如 _ldap._tcp.dc._msdcs.xx.local）。
验证 SystemLog 测试：
在副域控上执行 dcdiag /test:SystemLog，应无时间服务 / 复制错误。
防火墙放行（可选）：
若主副域控之间有防火墙，需放行 AD 复制端口：389、636、88、135、139、445、464、3268/3269。
关键注意事项
时间同步是核心：
副域控绝不能手动配置 MANUAL 模式 / 外部 NTP，必须保持 NT5DS 模式，否则会导致域内时间混乱。
AD 复制验证：
若 repadmin /replsummary 显示复制错误，优先检查：
主副域控网络互通；
主域控的 SYSVOL/Netlogon 共享正常；
防火墙未拦截 AD 相关端口。
DNS 必须安装：
副域控建议安装 DNS 服务器，实现 DNS 冗余，避免主域控 DNS 故障导致域内解析异常。
总结
副域控部署核心：静态 IP + DNS 指向主域控 + 提升为域控制器；
时间同步无需手动配置：副域控自动以 NT5DS 同步主域控（MANUAL 模式），完美兼容之前的配置；
验证重点：时间同步源为主域控、AD 复制无错误、SystemLog 测试通过。