Bagikan melalui

Langkah 2 Mengonfigurasi Infrastruktur Multisitus

Untuk mengonfigurasi penyebaran multisitus, ada sejumlah langkah yang diperlukan untuk memodifikasi pengaturan infrastruktur jaringan termasuk: mengonfigurasi situs Direktori Aktif dan pengontrol domain tambahan, mengonfigurasi grup keamanan tambahan, dan mengonfigurasi Objek Kebijakan Grup (GPO) jika Anda tidak menggunakan GPO yang dikonfigurasi secara otomatis.

Tugas Deskripsi
2.1. Mengonfigurasi situs Direktori Aktif tambahan Konfigurasikan situs Direktori Aktif tambahan untuk penyebaran.
2.2. Mengonfigurasi pengontrol domain tambahan Konfigurasikan pengontrol domain Active Directory tambahan sesuai kebutuhan.
2.3. Mengonfigurasi kelompok keamanan Mengonfigurasi grup keamanan untuk komputer klien Windows 7 apa pun.
2.4. Mengonfigurasi GPO Konfigurasikan Objek Kebijakan Grup tambahan sesuai kebutuhan.

Catatan

Topik ini mencakup contoh cmdlet Windows PowerShell yang dapat Anda gunakan untuk mengotomatiskan beberapa prosedur yang dijelaskan. Untuk informasi selengkapnya, lihat Menggunakan Cmdlet.

2.1. Mengonfigurasi situs Direktori Aktif tambahan

Semua titik entri dapat berada di satu situs Direktori Aktif. Oleh karena itu, setidaknya satu situs Direktori Aktif diperlukan untuk implementasi server Akses Jarak Jauh dalam konfigurasi multisitus. Gunakan prosedur ini jika Anda perlu membuat situs Direktori Aktif pertama, atau jika Anda ingin menggunakan situs Direktori Aktif tambahan untuk penyebaran multisitus. Gunakan snap-in Situs dan Layanan Direktori Aktif untuk membuat situs baru di jaringan organisasi Anda.

Keanggotaan dalam grup Admin Perusahaan di forest atau grup Admin Domain di domain akar forest, atau setara, minimal diperlukan untuk menyelesaikan prosedur ini. Tinjau detail tentang menggunakan akun dan keanggotaan grup yang sesuai di Grup Default Lokal dan Domain.

Untuk informasi selengkapnya, lihat Menambahkan Situs ke Forest.

Untuk mengonfigurasi situs Direktori Aktif tambahan

  1. Pada pengendali domain utama, klik Mulai, lalu klik Situs dan Layanan Direktori Aktif.

  2. Di konsol Situs dan Layanan Direktori Aktif, di pohon konsol, klik kanan Situs, lalu klik Situs Baru.

  3. Pada kotak dialog Objek Baru - Situs , dalam kotak Nama , masukkan nama untuk situs baru.

  4. Di Nama Tautan, klik objek tautan situs, lalu klik OK dua kali.

  5. Di pohon konsol, perluas Situs, klik kanan Subnet, lalu klik Subnet Baru.

  6. Pada kotak dialog Objek Baru - Subnet , di bawah Awalan, ketik awalan subnet IPv4 atau IPv6, di daftar Pilih objek situs untuk awalan ini, klik situs untuk mengaitkan dengan subnet ini, lalu klik OK.

  7. Ulangi langkah 5 dan 6 hingga Anda membuat semua subnet yang diperlukan dalam penyebaran Anda.

  8. Tutup Situs dan Layanan Direktori Aktif.

Perintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

Untuk menginstal Fitur Windows "modul Direktori Aktif untuk Windows PowerShell":

Install-WindowsFeature "Name RSAT-AD-PowerShell

atau tambahkan "Active Directory PowerShell Snap-In" melalui OptionalFeatures.

Jika menjalankan cmdlet berikut pada Windows 7" atau Windows Server 2008 R2 , modul PowerShell Direktori Aktif harus diimpor:

Import-Module ActiveDirectory

Untuk mengonfigurasi situs Direktori Aktif bernama "Second-Site" menggunakan DEFAULTIPSITELINK bawaan:

New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @{Add="Second-Site"}

Untuk mengonfigurasi subnet IPv4 dan IPv6 untuk Situs Kedua:

New-ADReplicationSubnet -Name "10.2.0.0/24" -Site "Second-Site"
New-ADReplicationSubnet -Name "2001:db8:2::/64" -Site "Second-Site"

2.2. Mengonfigurasi pengontrol domain tambahan

Untuk mengonfigurasi penyebaran multisitus dalam satu domain, disarankan agar Anda memiliki setidaknya satu pengontrol domain yang dapat ditulis untuk setiap situs dalam penyebaran Anda.

Untuk melakukan prosedur ini, minimal Anda harus menjadi anggota grup Admin Domain di domain tempat pengontrol domain diinstal.

Untuk informasi selengkapnya, lihat Menginstal Pengendali Domain Tambahan.

Untuk mengonfigurasi pengontrol domain tambahan

  1. Pada server yang akan bertindak sebagai pengontrol domain, di Manajer Server, di Dasbor, klik tambahkan peran dan fitur.

  2. Klik Berikutnya tiga kali untuk masuk ke layar pemilihan peran server

  3. Pada halaman Pilih Peran Server, pilih Layanan Domain Direktori Aktif. Klik Tambahkan Fitur saat diminta, lalu klik Berikutnya tiga kali.

  4. Pada halaman Konfirmasi , klik Instal.

  5. Ketika penginstalan berhasil diselesaikan, klik Promosikan server ini ke pengendali domain.

  6. Di Wizard Konfigurasi Layanan Domain Direktori Aktif, pada halaman Konfigurasi Penyebaran, klik Tambahkan pengontrol domain ke domain yang sudah ada.

  7. Di Domain, masukkan nama domain; misalnya, corp.contoso.com.

  8. Di bawah Berikan kredensial untuk melakukan operasi ini, klik Ubah. Pada kotak dialog Keamanan Windows, berikan nama pengguna dan kata sandi untuk akun yang dapat menginstal pengontrol domain tambahan. Untuk menginstal pengontrol domain tambahan, Anda harus menjadi anggota grup Admin Perusahaan atau grup Admin Domain. Setelah selesai memberikan kredensial, klik Berikutnya.

  9. Pada halaman Opsi Pengendali Domain, lakukan hal berikut:

    1. Buat pilihan berikut:

      • Server Sistem Nama Domain (DNS) "Opsi ini dipilih secara default sehingga pengendali domain Anda dapat berfungsi sebagai server Sistem Nama Domain (DNS). Jika Anda tidak ingin pengendali domain menjadi server DNS, kosongkan opsi ini.

        Jika peran server DNS tidak diinstal pada emulator Pengendali Domain Utama (PDC) di domain akar forest, maka opsi untuk menginstal server DNS pada pengontrol domain tambahan tidak tersedia. Sebagai solusi dalam situasi ini, Anda dapat menginstal peran server DNS sebelum atau sesudah penginstalan AD DS.

        Catatan

        Jika Anda memilih opsi untuk menginstal server DNS, Anda mungkin menerima pesan yang menunjukkan bahwa delegasi DNS untuk server DNS tidak dapat dibuat dan Anda harus membuat delegasi DNS secara manual ke server DNS untuk memastikan resolusi nama yang andal. Jika Anda menginstal pengontrol domain tambahan di domain akar hutan atau domain akar pohon, Anda tidak perlu membuat delegasi DNS. Dalam hal ini, klik Ya dan autentikasi pesan.

      • Katalog Global (GC)"Opsi ini dipilih secara default. Ini menambahkan katalog global, partisi direktori baca-saja ke pengendali domain, dan memungkinkan fungsionalitas pencarian katalog global.

      • Pengontrol domain baca-saja (RODC)"Opsi ini tidak dipilih secara default. Ini membuat pengontrol domain tambahan baca saja; artinya, ini membuat pengendali domain menjadi RODC.

    2. Di Nama situs, pilih situs dari daftar.

    3. Di bawah Ketik kata sandi Mode Pemulihan Layanan Direktori (DSRM), di Kata Sandi dan Konfirmasi kata sandi, ketik kata sandi yang kuat dua kali, lalu klik Berikutnya. Kata sandi ini harus digunakan untuk memulai AD DS di DSRM untuk tugas yang harus dilakukan secara offline.

  10. Pada halaman Opsi DNS, pilih kotak centang Perbarui delegasi DNS jika Anda ingin memperbarui delegasi DNS selama penginstalan peran, lalu klik Berikutnya.

  11. Pada halaman Opsi Tambahan, ketik atau telusuri ke lokasi volume dan folder untuk file database, file log layanan direktori, dan file volume sistem (SYSVOL). Tentukan opsi replikasi sebagaimana diperlukan, lalu klik Berikutnya.

  12. Pada halaman Tinjau Opsi , tinjau opsi penginstalan, lalu klik Berikutnya.

  13. Pada halaman Pemeriksaan Prasyarat, setelah prasyarat divalidasi, klik Instal.

  14. Tunggu hingga wizard menyelesaikan konfigurasi, lalu klik Tutup.

  15. Mulai ulang komputer jika tidak dimulai ulang secara otomatis.

2.3. Mengonfigurasi kelompok keamanan

Penyebaran multisitus memerlukan grup keamanan tambahan untuk komputer klien Windows 7 untuk setiap titik masuk dalam penyebaran yang memungkinkan akses ke komputer klien Windows 7. Jika ada beberapa domain yang berisi komputer klien Windows 7, maka disarankan untuk membuat grup keamanan di setiap domain untuk titik masuk yang sama. Atau, satu kelompok keamanan universal yang berisi komputer klien dari kedua domain dapat digunakan. Misalnya, di lingkungan dengan dua domain, jika Anda ingin mengizinkan akses ke komputer klien Windows 7 di titik masuk 1 dan 3, tetapi tidak di titik masuk 2, maka buat dua kelompok keamanan baru untuk berisi komputer klien Windows 7 untuk setiap titik masuk di setiap domain.

Untuk mengonfigurasi grup keamanan tambahan

  1. Pada pengontrol domain utama, klik Mulai, lalu klik Pengguna Direktori Aktif dan Komputer.

  2. Di pohon konsol, klik kanan folder tempat Anda ingin menambahkan grup baru, misalnya, corp.contoso.com/Users. Arahkan ke Baru, lalu klik Grup.

  3. Pada kotak dialog Objek Baru - Grup , di bawah Nama grup, ketik nama grup baru, misalnya, Win7_Clients_Entrypoint1.

  4. Di bawah Cakupan grup, klik Universal, di bawah Jenis grup, klik Keamanan, lalu klik OK.

  5. Untuk menambahkan komputer ke grup keamanan baru, klik ganda grup keamanan, dan pada kotak < Group_Name>, klik tab Anggota.

  6. Pada tab Anggota , klik Tambahkan.

  7. Pilih komputer Windows 7 untuk ditambahkan ke grup keamanan ini, lalu klik OK.

  8. Ulangi prosedur ini untuk membuat grup keamanan untuk setiap titik masuk sesuai kebutuhan.

Perintah setara Windows PowerShell

Cmdlet atau cmdlet Windows PowerShell berikut melakukan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.

Untuk menginstal Fitur Windows "modul Direktori Aktif untuk Windows PowerShell":

Install-WindowsFeature "Name RSAT-AD-PowerShell

atau tambahkan "Active Directory PowerShell Snap-In" melalui OptionalFeatures.

Jika menjalankan cmdlet berikut pada Windows 7" atau Windows Server 2008 R2 , modul PowerShell Direktori Aktif harus diimpor:

Import-Module ActiveDirectory

Untuk mengonfigurasi grup keamanan bernama Win7_Clients_Entrypoint1 dan menambahkan komputer klien bernama CLIENT2:

New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$

2.4. Mengonfigurasi GPO

Penyebaran Akses Jarak Jauh multisitus memerlukan Objek Kebijakan Grup berikut:

  • GPO untuk setiap titik masuk untuk server Akses Jarak Jauh.

  • GPO untuk komputer klien Windows 8 apa pun untuk setiap domain.

  • GPO di setiap domain yang berisi komputer klien Windows 7 untuk setiap titik masuk yang dikonfigurasi untuk mendukung klien Windows 7.

    Catatan

    Jika Anda tidak memiliki komputer klien Windows 7, Anda tidak perlu membuat GPO untuk komputer Windows 7.

Saat Anda mengonfigurasi Akses Jarak Jauh, wizard secara otomatis membuat Objek Kebijakan Grup yang diperlukan jika belum ada. Jika Anda tidak memiliki izin yang diperlukan untuk membuat Objek Kebijakan Grup, mereka harus dibuat sebelum mengonfigurasi Akses Jarak Jauh. Administrator DirectAccess harus memiliki izin penuh pada GPO (Edit + ubah keamanan + hapus).

Penting

Setelah membuat GPO untuk Akses Jarak Jauh secara manual, Anda harus mengizinkan waktu yang memadai untuk Direktori Aktif dan replikasi DFS ke pengendali domain di situs Direktori Aktif yang terkait dengan server Akses Jarak Jauh. Jika Akses Jarak Jauh secara otomatis membuat Objek Kebijakan Grup, maka tidak diperlukan waktu tunggu.

Untuk membuat Objek Kebijakan Grup, lihat Membuat dan Mengedit Objek Kebijakan Grup.

Pemeliharaan dan waktu henti pengendali domain

Saat pengendali domain yang berjalan sebagai emulator PDC, atau pengendali domain yang mengelola waktu henti GPO server, tidak dimungkinkan untuk memuat atau memodifikasi konfigurasi Akses Jarak Jauh. Ini tidak memengaruhi konektivitas klien jika pengontrol domain lain tersedia.

Untuk memuat atau memodifikasi konfigurasi Akses Jarak Jauh, Anda dapat mentransfer peran emulator PDC ke pengontrol domain yang berbeda untuk GPO server klien atau aplikasi; untuk GPO server, ubah pengontrol domain yang mengelola GPO server.

Penting

Operasi ini hanya dapat dilakukan oleh administrator domain. Dampak mengubah pengendali domain utama tidak terbatas pada Akses Jarak Jauh; oleh karena itu, berhati-hatilah saat mentransfer peran emulator PDC.

Catatan

Sebelum memodifikasi asosiasi pengendali domain, pastikan bahwa semua GPO dalam penyebaran Akses Jarak Jauh telah direplikasi ke semua pengontrol domain di domain. Jika GPO tidak disinkronkan, perubahan konfigurasi terbaru mungkin hilang setelah memodifikasi asosiasi pengendali domain, yang dapat menyebabkan konfigurasi yang rusak. Untuk memverifikasi sinkronisasi GPO, lihat Memeriksa Status Infrastruktur Kebijakan Grup.

Untuk mentransfer peran emulator PDC

  1. Pada layar Mulai, ketikdsa.msc, lalu tekan ENTER.

  2. Di panel kiri konsol Pengguna dan Komputer Direktori Aktif, klik kanan Pengguna Direktori Aktif dan Komputer, lalu klik Ubah Pengendali Domain. Pada kotak dialog Ubah Server Direktori, klik Instans Pengendali Domain atau AD LDS ini, dalam daftar klik pengendali domain yang akan menjadi pemegang peran baru, lalu klik OK.

    Catatan

    Anda harus melakukan langkah ini jika Anda tidak berada di pengontrol domain tempat Anda ingin mentransfer peran. Jangan lakukan langkah ini jika Anda sudah tersambung ke pengendali domain tempat Anda ingin mentransfer peran.

  3. Di pohon konsol, klik kanan Pengguna Direktori Aktif dan Komputer, arahkan ke Semua Tugas, lalu klik Master Operasi.

  4. Pada kotak dialog Master Operasi, klik tab PDC , lalu klik Ubah.

  5. Klik Ya untuk mengonfirmasi bahwa Anda ingin mentransfer peran, lalu klik Tutup.

Untuk mengubah pengendali domain yang mengelola GPO server

  • Jalankan cmdlet Windows PowerShell Set-DAEntryPointDC di server Akses Jarak Jauh dan tentukan nama pengendali domain yang tidak dapat dijangkau untuk parameter ExistingDC . Perintah ini memodifikasi asosiasi pengendali domain untuk GPO server titik masuk yang saat ini dikelola oleh pengendali domain tersebut.

    • Untuk mengganti pengontrol domain yang tidak dapat dijangkau "dc1.corp.contoso.com" dengan pengendali domain "dc2.corp.contoso.com", lakukan hal berikut:

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "NewDC 'dc2.corp.contoso.com' "ErrorAction Inquire

    • Untuk mengganti pengontrol domain yang tidak dapat dijangkau "dc1.corp.contoso.com" dengan pengendali domain di situs Direktori Aktif terdekat dengan server Akses Jarak Jauh "DA1.corp.contoso.com", lakukan hal berikut:

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

Mengubah dua atau beberapa pengontrol domain yang mengelola GPO server

Dalam jumlah kasus minimal, dua atau beberapa pengontrol domain yang mengelola GPO server tidak tersedia. Jika ini terjadi, diperlukan lebih banyak langkah untuk mengubah asosiasi pengontrol domain untuk GPO server.

Informasi asosiasi pengendali domain disimpan baik di registri server Akses Jarak Jauh maupun di semua GPO server. Dalam contoh berikut, ada dua titik masuk dengan dua server Akses Jarak Jauh, "DA1" di "Titik masuk 1" dan "DA2" di "Titik masuk 2". GPO server "Titik masuk 1" dikelola di pengontrol domain "DC1", sementara GPO server "Titik masuk 2" dikelola di pengontrol domain "DC2". "DC1" dan "DC2" tidak tersedia. Pengendali domain ketiga masih tersedia di domain, "DC3", dan data dari "DC1" dan "DC2" sudah direplikasi ke "DC3".

Mengonfigurasi Infrastruktur Multisitus

Untuk mengubah dua atau beberapa pengendali domain yang mengelola GPO server

  1. Untuk mengganti pengendali domain "DC2" yang tidak tersedia dengan pengendali domain "DC3", jalankan perintah berikut:

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    Perintah ini memperbarui asosiasi pengendali domain untuk GPO server "Entry point 2" di registri DA2 dan di GPO server "Entry point 2" itu sendiri; namun, itu tidak memperbarui GPO server "Entry point 1" karena pengendali domain yang mengelolanya tidak tersedia.

    Petunjuk / Saran

    Perintah ini menggunakan nilai Lanjutkan untuk parameter ErrorAction , yang memperbarui GPO server "Entry point 2" meskipun kegagalan untuk memperbarui GPO server "Entry point 1".

    Konfigurasi yang dihasilkan diperlihatkan dalam diagram berikut.

    Diagram memperlihatkan konfigurasi yang dihasilkan.

  2. Untuk mengganti pengontrol domain "DC1" yang tidak tersedia dengan pengendali domain "DC3", jalankan perintah berikut:

    Set-DAEntryPointDC "ExistingDC 'DC1' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    Perintah ini memperbarui asosiasi pengendali domain untuk GPO server "Titik masuk 1" di registri DA1 dan di GPO server "Titik masuk 1" dan "Titik masuk 2". Konfigurasi yang dihasilkan diperlihatkan dalam diagram berikut.

    Diagram memperlihatkan asosiasi pengontrol domain pembaruan ke th.

  3. Untuk menyinkronkan asosiasi pengendali domain untuk GPO server "Titik masuk 2" di GPO server "Titik masuk 1", jalankan perintah untuk mengganti "DC2" dengan "DC3", dan tentukan server Akses Jarak Jauh yang GPO servernya tidak disinkronkan, dalam hal ini "DA1", untuk parameter ComputerName .

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA1' "ErrorAction Continue

    Konfigurasi akhir diperlihatkan dalam diagram berikut.

    Diagram memperlihatkan konfigurasi akhir.

Pengoptimalan distribusi konfigurasi

Saat membuat perubahan konfigurasi, perubahan diterapkan hanya setelah GPO server disebarluaskan ke server Akses Jarak Jauh. Untuk mengurangi waktu distribusi konfigurasi, Akses Jarak Jauh secara otomatis memilih pengontrol domain bisa-tulis yang paling dekat dengan server Akses Jarak Jauh saat membuat GPO servernya.

Dalam beberapa skenario, mungkin diperlukan untuk memodifikasi pengendali domain secara manual yang mengelola GPO server untuk mengoptimalkan waktu distribusi konfigurasi:

  • Tidak ada pengontrol domain bisa-tulis di situs Direktori Aktif server Akses Jarak Jauh pada saat menambahkannya sebagai titik masuk. Pengontrol domain bisa-tulis sekarang sedang ditambahkan ke situs Direktori Aktif server Akses Jarak Jauh.

  • Perubahan alamat IP, atau perubahan Situs direktori aktif dan Subnet mungkin telah memindahkan server Akses Jarak Jauh ke situs Direktori Aktif yang berbeda.

  • Asosiasi pengendali domain untuk titik masuk dimodifikasi secara manual karena pekerjaan pemeliharaan pada pengendali domain, dan sekarang pengendali domain kembali online.

Dalam skenario ini, jalankan cmdlet Set-DAEntryPointDC PowerShell di server Akses Jarak Jauh dan tentukan nama titik entri yang ingin Anda optimalkan menggunakan parameter EntryPointName. Anda harus melakukan ini hanya setelah data GPO dari pengendali domain yang saat ini menyimpan GPO server sudah sepenuhnya direplikasi ke pengendali domain baru yang diinginkan.

Catatan

Sebelum memodifikasi asosiasi pengendali domain, pastikan bahwa semua GPO dalam penyebaran Akses Jarak Jauh telah direplikasi ke semua pengontrol domain di domain. Jika GPO tidak disinkronkan, perubahan konfigurasi terbaru mungkin hilang setelah memodifikasi asosiasi pengendali domain, yang dapat menyebabkan konfigurasi yang rusak. Untuk memverifikasi sinkronisasi GPO, lihat Memeriksa Status Infrastruktur Kebijakan Grup.

Untuk mengoptimalkan waktu distribusi konfigurasi, lakukan salah satu hal berikut:

  • Untuk mengelola GPO server titik masuk "Titik masuk 1" pada pengendali domain di situs Direktori Aktif terdekat ke server Akses Jarak Jauh "DA1.corp.contoso.com", jalankan perintah berikut:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

  • Untuk mengelola GPO server titik masuk "Titik masuk 1" pada pengontrol domain "dc2.corp.contoso.com", jalankan perintah berikut:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "NewDC 'dc2.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

    Catatan

    Saat memodifikasi pengendali domain yang terkait dengan titik masuk tertentu, Anda harus menentukan server Akses Jarak Jauh yang merupakan anggota titik masuk tersebut untuk parameter ComputerName .