Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als u een implementatie met meerdere locaties wilt configureren, zijn er een aantal stappen vereist voor het wijzigen van instellingen voor de netwerkinfrastructuur, waaronder het configureren van extra Active Directory-sites en domeincontrollers, het configureren van extra beveiligingsgroepen en het configureren van groepsbeleidsobjecten (GPO's) als u niet automatisch geconfigureerde GPO's gebruikt.
| Opdracht | Beschrijving |
|---|---|
| 2.1. Aanvullende Active Directory-sites configureren | Configureer extra Active Directory-sites voor de implementatie. |
| 2.2. Aanvullende domeincontrollers configureren | Configureer indien nodig extra Active Directory-domeincontrollers. |
| 2.3. Beveiliginggroepen configureren | Beveiligingsgroepen configureren voor windows 7-clientcomputers. |
| 2.4. GPO's configureren | Configureer indien nodig aanvullende groepsbeleidsobjecten. |
Opmerking
Dit onderwerp bevat voorbeelden van Windows PowerShell-cmdlets die u kunt gebruiken om een aantal van de beschreven procedures te automatiseren. Voor meer informatie, zie Cmdlets gebruiken.
2.1. Aanvullende Active Directory-sites configureren
Alle toegangspunten kunnen zich op één Active Directory-site bevinden. Daarom is ten minste één Active Directory-site vereist voor de implementatie van RAS-servers in een configuratie met meerdere locaties. Gebruik deze procedure als u de eerste Active Directory-site moet maken of als u aanvullende Active Directory-sites wilt gebruiken voor de implementatie van meerdere locaties. Gebruik de module Active Directory-sites en -services om nieuwe sites in het netwerk van uw organisatie te maken.
Lidmaatschap van de groep Ondernemingsadministrators in het forest of de groep Domeinadministrators in het foresthoofddomein, of gelijkwaardig, is minimaal vereist om deze procedure te voltooien. Bekijk details over het gebruik van de juiste accounts en groepslidmaatschappen op Lokale en Domeinstandaardgroepen.
Zie voor meer informatie Een site toevoegen aan de forest.
Aanvullende Active Directory-sites configureren
Klik op de primaire domeincontroller op Start en klik vervolgens op Active Directory-sites en -services.
Klik in de Console Active Directory-sites en -services in de consolestructuur met de rechtermuisknop op Sites en klik vervolgens op Nieuwe site.
Voer in het dialoogvenster Nieuw object - Site in het vak Naam een naam in voor de nieuwe site.
Klik in Koppelingsnaam op een sitekoppelingsobject en klik tweemaal op OK .
Vouw sites in de consolestructuur uit, klik met de rechtermuisknop op Subnetten en klik vervolgens op Nieuw subnet.
Typ in het dialoogvenster Nieuw object - Subnet onder Voorvoegsel het voorvoegsel van het IPv4- of IPv6-subnet, klik in de lijst Een siteobject voor deze voorvoegsel selecteren op de site die u aan dit subnet wilt koppelen en klik vervolgens op OK.
Herhaal stap 5 en 6 totdat u alle subnetten hebt gemaakt die vereist zijn in uw implementatie.
Sluit Active Directory-sites en -services.
Gelijkwaardige Windows PowerShell-opdrachten
De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.
De Windows-functie Active Directory-module voor Windows PowerShell installeren:
Install-WindowsFeature "Name RSAT-AD-PowerShell
of voeg de "Active Directory PowerShell Snap-In" toe via OptionalFeatures.
Als u de volgende cmdlets uitvoert op Windows 7 of Windows Server 2008 R2, moet de Active Directory PowerShell-module worden geïmporteerd:
Import-Module ActiveDirectory
Een Active Directory-site met de naam Second-Site configureren met behulp van de ingebouwde DEFAULTIPSITELINK:
New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @{Add="Second-Site"}
IPv4- en IPv6-subnetten configureren voor de tweede site:
New-ADReplicationSubnet -Name "10.2.0.0/24" -Site "Second-Site"
New-ADReplicationSubnet -Name "2001:db8:2::/64" -Site "Second-Site"
2.2. Aanvullende domeincontrollers configureren
Als u een implementatie met meerdere locaties in één domein wilt configureren, is het raadzaam dat u ten minste één beschrijfbare domeincontroller voor elke site in uw implementatie hebt.
Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domeinadministrators in het domein waarin de domeincontroller wordt geïnstalleerd.
Zie Een extra domeincontroller installeren voor meer informatie.
Aanvullende domeincontrollers configureren
Klik op de server die fungeert als een domeincontroller in Serverbeheer op het dashboard op Functies en onderdelen toevoegen.
Klik drie keer op Volgende om naar het scherm voor de selectie van de serverfunctie te gaan
Op de pagina Serverrollen selecteren, selecteer Active Directory Domain Services. Klik op Functies toevoegen wanneer u hierom wordt gevraagd en klik vervolgens drie keer op Volgende .
Klik op de bevestigingspagina op Installeren.
Wanneer de installatie is voltooid, klikt u op Deze server promoveren naar een domeincontroller.
Klik in de wizard Active Directory Domain Services-configuratie op de pagina Implementatieconfiguratie op Een domeincontroller toevoegen aan een bestaand domein.
Voer in Domein de domeinnaam in; bijvoorbeeld corp.contoso.com.
Klik onder Geef de referenties op om deze bewerking uit te voeren op Wijzigen. Geef in het dialoogvenster Windows-beveiliging de gebruikersnaam en het wachtwoord op voor een account waarmee de extra domeincontroller kan worden geïnstalleerd. Als u een extra domeincontroller wilt installeren, moet u lid zijn van de groep Ondernemingsadministrators of de groep Domeinadministrators. Wanneer u klaar bent met het opgeven van referenties, klikt u op Volgende.
Ga als volgt te werk op de pagina Opties voor domeincontroller :
Maak de volgende keuzes:
Dns-server (Domain Name System): deze optie is standaard geselecteerd, zodat uw domeincontroller kan functioneren als een DNS-server (Domain Name System). Als u niet wilt dat de domeincontroller een DNS-server is, schakelt u deze optie uit.
Als de DNS-serverfunctie niet is geïnstalleerd op de primaire domeincontrolleremulator (PDC) in het hoofddomein van het forest, is de optie voor het installeren van de DNS-server op een extra domeincontroller niet beschikbaar. Als tijdelijke oplossing in deze situatie kunt u de DNS-serverfunctie vóór of na de INSTALLATIE van AD DS installeren.
Opmerking
Als u de optie voor het installeren van de DNS-server selecteert, ontvangt u mogelijk een bericht dat aangeeft dat een DNS-delegering voor de DNS-server niet kan worden gemaakt en dat u handmatig een DNS-overdracht naar de DNS-server moet maken om een betrouwbare naamomzetting te garanderen. Als u een extra domeincontroller installeert in het foresthoofddomein of een structuurhoofddomein, hoeft u de DNS-delegatie niet te maken. Klik in dit geval op Ja en negeer het bericht.
Globale catalogus (GC)"Deze optie is standaard geselecteerd. Hiermee worden de globale catalogus en alleen-lezen mappartities toegevoegd aan de domeincontroller en wordt de zoekfunctionaliteit voor de globale catalogus ingeschakeld.
Alleen-lezen domeincontroller (RODC)"Deze optie is niet standaard ingeschakeld. Het maakt de extra domeincontroller alleen-lezen; dat wil zeggen, het maakt de domeincontroller een RODC.
Selecteer een site in de sitenaam in de lijst.
Typ het Directory Services Restore Mode (DSRM)-wachtwoord, typ een sterk wachtwoord tweemaal in bij wachtwoord en wachtwoord bevestigen en klik vervolgens op Volgende. Dit wachtwoord moet worden gebruikt om AD DS in DSRM te starten voor taken die offline moeten worden uitgevoerd.
Schakel op de pagina DNS-opties het selectievakje DNS-delegatie bijwerken in als u DNS-delegatie wilt bijwerken tijdens de installatie van de rol en klik vervolgens op Volgende.
Typ of blader op de pagina Aanvullende opties naar de volume- en maplocaties voor het databasebestand, de logboekbestanden van de directoryservice en de SYSVOL-bestanden (system volume). Geef indien nodig replicatieopties op en klik vervolgens op Volgende.
Op de pagina Controleeropties controleer je de installatieopties en klik vervolgens op Volgende.
Klik op de pagina Controle van vereisten , nadat de vereisten zijn gevalideerd, op Installeren.
Wacht totdat de wizard de configuratie heeft voltooid en klik vervolgens op Sluiten.
Start de computer opnieuw op als deze niet automatisch opnieuw is opgestart.
2.3. Beveiliginggroepen configureren
Voor een implementatie met meerdere locaties is een extra beveiligingsgroep vereist voor Windows 7-clientcomputers voor elk toegangspunt in de implementatie die toegang biedt tot Windows 7-clientcomputers. Als er meerdere domeinen zijn die Windows 7-clientcomputers bevatten, is het raadzaam om een beveiligingsgroep te maken in elk domein voor hetzelfde toegangspunt. U kunt ook één universele beveiligingsgroep met de clientcomputers uit beide domeinen gebruiken. Als u bijvoorbeeld in een omgeving met twee domeinen toegang wilt verlenen tot Windows 7-clientcomputers in toegangspunten 1 en 3, maar niet in toegangspunt 2, maakt u twee nieuwe beveiligingsgroepen die de Windows 7-clientcomputers voor elk toegangspunt in elk van de domeinen bevatten.
Aanvullende beveiligingsgroepen configureren
Klik op de primaire domeincontroller op Start en klik vervolgens op Active Directory: gebruikers en computers.
Klik in de consolestructuur met de rechtermuisknop op de map waarin u een nieuwe groep wilt toevoegen, bijvoorbeeld corp.contoso.com/Users. Wijs Nieuw aan en klik op Groep.
Typ in het dialoogvenster Nieuw object - Groep onder Groepsnaam de naam van de nieuwe groep, bijvoorbeeld Win7_Clients_Entrypoint1.
Klik onder Groepsbereik op Universeel, klik onder Groepstype op Beveiliging en klik vervolgens op OK.
Als u computers wilt toevoegen aan de nieuwe beveiligingsgroep, dubbelklikt u op de beveiligingsgroep en klikt u in het <dialoogvenster Group_Name> Eigenschappen op het tabblad Leden .
Klik op het tabblad Leden op Toevoegen.
Selecteer de Windows 7-computers die u aan deze beveiligingsgroep wilt toevoegen en klik vervolgens op OK.
Herhaal deze procedure om een beveiligingsgroep te maken voor elk toegangspunt, indien nodig.
Gelijkwaardige Windows PowerShell-opdrachten
De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.
De Windows-functie Active Directory-module voor Windows PowerShell installeren:
Install-WindowsFeature "Name RSAT-AD-PowerShell
of voeg de "Active Directory PowerShell Snap-In" toe via Optionele Functies.
Als u de volgende cmdlets uitvoert op Windows 7 of Windows Server 2008 R2, moet de Active Directory PowerShell-module worden geïmporteerd:
Import-Module ActiveDirectory
Een beveiligingsgroep met de naam Win7_Clients_Entrypoint1 configureren en een clientcomputer met de naam CLIENT2 toevoegen:
New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$
2.4. GPO's configureren
Voor een implementatie van externe toegang voor meerdere locaties zijn de volgende groepsbeleidsobjecten vereist:
Een Group Policy Object voor elk toegangspunt voor de Remote Access-server.
Een groepsbeleidsobject voor alle Windows 8-clientcomputers voor elk domein.
Een groepsbeleidsobject in elk domein dat Windows 7-clients bevat, voor elk toegangspunt dat is geconfigureerd ter ondersteuning van deze clients.
Opmerking
Als u geen Windows 7-clientcomputers hebt, hoeft u geen GPO's te maken voor Windows 7-computers.
Wanneer u Externe toegang configureert, maakt de wizard automatisch de vereiste groepsbeleidsobjecten als deze nog niet bestaan. Als u niet over de vereiste machtigingen beschikt om groepsbeleidsobjecten te maken, moeten ze worden gemaakt voordat u externe toegang configureert. De DirectAccess-beheerder moet volledige machtigingen hebben voor de groepsbeleidsobjecten (bewerken + beveiliging wijzigen + verwijderen).
Belangrijk
Nadat u handmatig de groepsbeleidsobjecten voor Remote Access hebt gemaakt, moet u voldoende tijd toestaan voor Active Directory- en DFS-replicatie naar de domeincontroller op de Active Directory-site die is gekoppeld aan de Remote Access-server. Als externe toegang automatisch de groepsbeleidsobjecten heeft gemaakt, is er geen wachttijd vereist.
Zie Een groepsbeleidsobject maken en bewerkenals u groepsbeleidsobjecten wilt maken.
Onderhoud van domeincontrollers en downtime
Wanneer een domeincontroller die wordt uitgevoerd als de PDC-emulator of domeincontrollers die server-GPO's beheren, uitvaltijd ondervindt, is het niet mogelijk om de RAS-configuratie te laden of te wijzigen. Dit heeft geen invloed op clientconnectiviteit als andere domeincontrollers beschikbaar zijn.
Als u de configuratie voor Externe Toegang wilt laden of wijzigen, kunt u de PDC-emulatorrol overdragen naar een andere domeincontroller voor de GPO's van de cliënt of toepassingsserver; voor server-GPO's wijzigt u de domeincontrollers die verantwoordelijk zijn voor het beheren van de server-GPO's.
Belangrijk
Deze bewerking kan alleen worden uitgevoerd door een domeinbeheerder. Het effect van het wijzigen van de primaire domeincontroller is niet beperkt tot externe toegang; Wees daarom voorzichtig bij het overdragen van de PDC-emulatorrol.
Opmerking
Voordat u de domeincontrollerkoppeling wijzigt, moet u ervoor zorgen dat alle groepsbeleidsobjecten in de RAS-implementatie zijn gerepliceerd naar alle domeincontrollers in het domein. Als het groepsbeleidsobject niet wordt gesynchroniseerd, gaan recente configuratiewijzigingen mogelijk verloren na het wijzigen van de domeincontrollerkoppeling, wat kan leiden tot een beschadigde configuratie. Zie De status van de groepsbeleidsinfrastructuur controleren om te verifiëren dat de synchronisatie van het groepsbeleidsobject correct is uitgevoerd.
De PDC-emulatorrol overdragen
Typ in het scherm Startdsa.mscen druk op Enter.
Klik in het linkerdeelvenster van de Console Active Directory: gebruikers en computers met de rechtermuisknop op Active Directory: gebruikers en computers en klik vervolgens op Domeincontroller wijzigen. Klik in het dialoogvenster Directoryserver wijzigen op Deze domeincontroller of AD LDS-instantie, klik in de lijst op de domeincontroller die de nieuwe rolhouder is en klik vervolgens op OK.
Opmerking
U moet deze stap uitvoeren als u zich niet op de domeincontroller bevindt waarnaar u de rol wilt overdragen. Voer deze stap niet uit als u al bent verbonden met de domeincontroller waarmee u de rol wilt overdragen.
Klik in de consolestructuur met de rechtermuisknop op Active Directory: gebruikers en computers, wijs Alle taken aan en klik vervolgens op Operations Masters.
Klik in het dialoogvenster Operations Masters op het tabblad PDC en klik vervolgens op Wijzigen.
Klik op Ja om te bevestigen dat u de rol wilt overdragen en klik vervolgens op Sluiten.
De domeincontroller wijzigen die server-GPO's beheert
Voer de Windows PowerShell-cmdlet Set-DAEntryPointDC uit op de RAS-server en geef de naam van de onbereikbare domeincontroller op voor de parameter ExistingDC . Met deze opdracht wijzigt u de domeincontrollerkoppeling voor de server-GPO's van de toegangspunten die momenteel worden beheerd door die domeincontroller.
Ga als volgt te werk om de onbereikbare domeincontroller 'dc1.corp.contoso.com' te vervangen door de domeincontroller 'dc2.corp.contoso.com':
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "NewDC 'dc2.corp.contoso.com' "ErrorAction InquireGa als volgt te werk om de onbereikbare domeincontroller 'dc1.corp.contoso.com' te vervangen door een domeincontroller op de dichtstbijzijnde Active Directory-site naar de RAS-server 'DA1.corp.contoso.com':
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire
Twee of meer domeincontrollers wijzigen die groepsbeleidsobjecten voor servers beheren
In een minimaal aantal gevallen zijn twee of meer domeincontrollers die server-GPO's beheren niet beschikbaar. Als dit gebeurt, zijn er meer stappen vereist om de domeincontrollerkoppeling voor de server-GPO's te wijzigen.
Verbindingsinformatie voor domeincontrollers wordt opgeslagen in het register van de Remote Access-servers en in alle server GPO's. In het volgende voorbeeld zijn er twee toegangspunten met twee RAS-servers, 'DA1' in 'Ingangspunt 1' en 'DA2' in 'Ingangspunt 2'. Het groepsbeleidsobject van de server van "Ingangspunt 1" wordt beheerd in de domeincontroller "DC1", terwijl het groepsbeleidsobject van de server van "Ingangspunt 2" wordt beheerd in de domeincontroller "DC2". Zowel DC1 als DC2 zijn niet beschikbaar. Er is nog steeds een derde domeincontroller beschikbaar in het domein DC3 en de gegevens van DC1 en DC2 zijn al gerepliceerd naar DC3.
Wijzigen van twee of meer domeincontrollers die de server-GPO's beheren
Als u de niet-beschikbare domeincontroller 'DC2' wilt vervangen door de domeincontroller 'DC3', voert u de volgende opdracht uit:
Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction ContinueMet deze opdracht wordt de domeincontrollerkoppeling bijgewerkt voor het groepsbeleidsobject voor de server ingangspunt 2 in het register van DA2 en in het groepsbeleidsobject van de server "Ingangspunt 2" zelf; Het groepsbeleidsobject voor de ingangspunt 1 wordt echter niet bijgewerkt omdat de domeincontroller die deze beheert, niet beschikbaar is.
Hint
Met deze opdracht wordt de waarde Doorgaan gebruikt voor de parameter ErrorAction , waarmee het groepsbeleidsobject 'Ingangspunt 2' van de server wordt bijgewerkt, ondanks het niet bijwerken van het groepsbeleidsobject 'Ingangspunt 1'.
De resulterende configuratie wordt weergegeven in het volgende diagram.
Als u de niet-beschikbare domeincontroller 'DC1' wilt vervangen door de domeincontroller 'DC3', voert u de volgende opdracht uit:
Set-DAEntryPointDC "ExistingDC 'DC1' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction ContinueMet deze opdracht wordt de koppeling met de domeincontroller bijgewerkt voor het server-GPO "Entry point 1" in het register van DA1 en in de server-GPO's "Entry point 1" en "Entry point 2". De resulterende configuratie wordt weergegeven in het volgende diagram.
Om de domeincontrollerkoppeling voor het "Invoerpunt 2" server GPO te synchroniseren in het "Invoerpunt 1" server GPO, voert u de opdracht uit om "DC2" te vervangen door "DC3" en geeft u de RAS-server op waarvan het server GPO niet is gesynchroniseerd, in dit geval "DA1", voor de parameter ComputerNaam.
Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA1' "ErrorAction ContinueDe uiteindelijke configuratie wordt weergegeven in het volgende diagram.
Optimalisatie van configuratiedistributie
Wanneer u configuratiewijzigingen aanbrengt, worden de wijzigingen pas toegepast nadat de groepsbeleidsobjecten van de server zijn doorgegeven aan de servers voor externe toegang. Om de configuratiedistributietijd te verkorten, selecteert Externe toegang automatisch een beschrijfbare domeincontroller die het dichtst bij de RAS-server ligt bij het aanmaken van het server-GPO.
In sommige scenario's kan het nodig zijn om de domeincontroller die een servergroepsbeleidsobject beheert handmatig te wijzigen om de distributietijd van de configuratie te optimaliseren:
Er waren geen beschrijfbare domeincontrollers op de Active Directory-site van een RAS-server op het moment dat deze als toegangspunt werd toegevoegd. Er wordt nu een beschrijfbare domeincontroller toegevoegd aan de Active Directory-site van de RAS-server.
Een WIJZIGING van het IP-adres of een wijziging van Active Directory-sites en subnetten heeft de RAS-server mogelijk verplaatst naar een andere Active Directory-site.
De domeincontrollerkoppeling voor een ingangspunt is handmatig gewijzigd vanwege onderhoudswerkzaamheden op een domeincontroller en nu is de domeincontroller weer online.
Voer in deze scenario's de PowerShell-cmdlet Set-DAEntryPointDC uit op de RAS-server en geef de naam op van het toegangspunt dat u wilt optimaliseren met behulp van de parameter EntryPointName. U moet dit alleen doen nadat de GPO-gegevens van de domeincontroller die momenteel het server-GPO opslaat, al volledig gerepliceerd zijn naar de gewenste nieuwe domeincontroller.
Opmerking
Voordat u de koppeling van de domeincontroller wijzigt, moet u ervoor zorgen dat alle groepsbeleidsobjecten in de implementatie van Externe Toegang naar alle domeincontrollers in het domein gerepliceerd zijn. Als het groepsbeleidsobject niet wordt gesynchroniseerd, gaan recente configuratiewijzigingen mogelijk verloren na het wijzigen van de domeincontrollerkoppeling, wat kan leiden tot een beschadigde configuratie. Zie De status van de groepsbeleidsinfrastructuur controleren om te controleren of de synchronisatie van groepsbeleidsobjecten correct verloopt.
Ga op een van de volgende manieren te werk om de distributietijd van de configuratie te optimaliseren:
Voer de volgende opdracht uit om het groepsbeleidsobject van het toegangspunt 'Ingangspunt 1' op een domeincontroller in de dichtstbijzijnde Active Directory-site bij de Remote Access-server 'DA1.corp.contoso.com' te beheren:
Set-DAEntryPointDC "EntryPointName 'Entry point 1' "ComputerName 'DA1.corp.contoso.com' "ErrorAction InquireVoer de volgende opdracht uit om het groepsbeleidsobject van het toegangspunt 'Ingangspunt 1' op de domeincontroller 'dc2.corp.contoso.com' te beheren:
Set-DAEntryPointDC "EntryPointName 'Entry point 1' "NewDC 'dc2.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction InquireOpmerking
Wanneer u de domeincontroller wijzigt die is gekoppeld aan een specifiek toegangspunt, moet u een RAS-server opgeven die lid is van dat toegangspunt voor de parameter ComputerName .