针对你同城新增分支办公室的AD域拓扑需求，结合现有100用户单域的现状，我给你一套兼顾管理效率和性能的落地方案——都是实际部署中验证过的思路，不用搞太复杂：

一、核心拓扑选型：单域多站点架构 #

因为是同城，网络延迟极低（一般专线延迟<10ms），完全没必要新建子域，单域多站点是最优选择，理由如下：

• 管理成本低：所有用户、设备、权限都在example.com域下，不用跨域折腾权限和复制
• 复制效率高：同城网络稳定，AD站点间复制几乎无延迟，数据一致性有保障
• 用户体验好：分支用户登录、访问域资源的速度和在总部几乎无差别

二、网络基础配置先搞定 #

1. 网段规划：给分支分配独立网段，比如192.168.2.0/24，绝对不能和总部的192.168.1.0/24冲突
2. 跨网连接：两地必须用专用链路（MPLS专线或者IPsec VPN），别用公网裸连——AD复制对网络稳定性和安全性要求高，公网容易丢包、延迟波动
3. DNS设置：分支必须部署本地DNS服务器（和DC合一就行），分支客户端首选DNS设为本地DC，备用设为总部DC，避免单点故障

三、AD站点与子网配置（总部操作） #

打开「AD站点和服务」控制台，按这几步来：

• 新建站点：命名为Branch-Office，选择默认的IP站点链接（因为是同城，不用改复制协议）
• 关联子网：把分支的192.168.2.0/24子网绑定到Branch-Office站点，这样AD会自动识别用户/设备所在位置
• 调整复制频率：默认站点间复制是180分钟，建议改成15分钟——同城网络扛得住，数据同步更及时

四、分支域控制器部署 #

1. 硬件要求：不用太高端，4核CPU、8G内存、500G SSD的普通服务器完全够50用户用
2. 部署步骤：
   • 先把服务器拿到总部，加入example.com域
   • 提升为额外域控制器（ADC）：Windows Server 2012及以上直接用「服务器管理器」的「添加角色和功能」向导，老版本用dcpromo.exe命令
   • 迁移站点：在「AD站点和服务」里把这台DC从默认的Default-First-Site-Name移到Branch-Office
   • 启用全局编录（GC）：在DC的属性里勾上「全局编录」——分支用户登录时不用跨站点查GC，速度快很多
   • 网络适配：把DC的默认网关改成分支的网关，DNS指向自身（确保本地解析优先）

五、用户与设备迁移 #

1. 用户迁移：
   • 手动改：在「AD用户和计算机」里找到要迁的50个用户，修改他们的「站点」属性为Branch-Office
   • 批量改：用PowerShell省时间，比如：

     Get-ADUser -Filter * -SearchBase "OU=Users,DC=example,DC=com" | Where-Object { $_.Name -match "迁移用户关键词" } | Set-ADUser -Replace @{msDS-SiteName="Branch-Office"}
     

   • 漫游配置文件：如果用户用了漫游配置，要么把文件服务器同步到分支，要么确保分支能访问总部的文件共享
2. 计算机迁移：
   • 把迁到分支的电脑加入域后，同样修改它们的站点属性为Branch-Office
   • 电脑的DNS设为分支DC，提升登录和组策略应用速度

六、组策略优化 #

• 给分支单独建GPO：比如Branch-Office-GPO，直接链接到Branch-Office站点
• 配置分支专属设置：比如本地打印机映射、分支文件服务器路径、代理设置等，避免和总部的GPO冲突

七、可用性与监控建议 #

• 冗余可选：如果分支不能断网，可以再部署一台备用DC，双DC互为冗余
• 复制检查：定期跑repadmin /showrepl命令，看看站点间复制有没有报错
• 性能监控：盯着DC的CPU、内存、磁盘使用率，SSD别满了就行

内容的提问来源于stack exchange，提问作者user205223