Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы настроить многосайтовое развертывание, необходимо выполнить ряд шагов, необходимых для изменения параметров сетевой инфраструктуры, включая настройку дополнительных сайтов Active Directory и контроллеров домена, настройку дополнительных групп безопасности и настройку объектов групповой политики (ГОП), если вы не используете автоматически настроенные объекты групповой политики.
| Задача | Описание |
|---|---|
| 2.1. Настройка дополнительных сайтов Active Directory | Настройте дополнительные сайты Active Directory для развертывания. |
| 2.2. Настройка дополнительных контроллеров домена | Настройте дополнительные контроллеры домена Active Directory по мере необходимости. |
| 2.3. Настройка групп безопасности | Настройте группы безопасности для всех клиентских компьютеров Windows 7. |
| 2.4. Настройка объектов групповой политики | Настройте дополнительные объекты групповой политики по мере необходимости. |
Примечание.
В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе Использование командлетов.
2.1. Настройка дополнительных сайтов Active Directory
Все точки входа могут находиться на одном сайте Active Directory. Поэтому для реализации серверов удаленного доступа в конфигурации с несколькими сайтами требуется по крайней мере один сайт Active Directory. Используйте эту процедуру, если необходимо создать первый сайт Active Directory или использовать дополнительные сайты Active Directory для развертывания с несколькими сайтами. Используйте оснастку "Сайты и службы Active Directory" для создания новых сайтов в сети организации.
Членство в группе "Администраторы предприятия" в лесу или группе "Администраторы домена" в корневом домене леса или эквивалентной группе, как минимум, требуется для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
Для получения дополнительной информации см. Добавление сайта в древо.
Настройка дополнительных сайтов Active Directory
На основном контроллере домена нажмите кнопку "Пуск", а затем щелкните "Сайты и службы Active Directory".
В консоли "Сайты и службы Active Directory" в дереве консоли щелкните правой кнопкой мыши сайты и нажмите кнопку " Создать сайт".
В диалоговом окне "Новый объект — сайт" в поле "Имя" введите имя нового сайта.
В разделе "Имя ссылки" щелкните объект ссылки сайта и дважды нажмите кнопку "ОК ".
В дереве консоли разверните Сайты, щелкните правой кнопкой мыши по Подсети и выберите Создать подсеть.
В диалоговом окне "Новый объект — подсеть" в разделе "Префикс" введите префикс подсети IPv4 или IPv6, в списке "Выбор объекта сайта" для этого списка префиксов щелкните сайт, чтобы связаться с этой подсетью, а затем нажмите кнопку "ОК".
Повторите шаги 5 и 6, пока не создайте все подсети, необходимые в развертывании.
Закройте сайты и службы Active Directory.
Эквивалентные команды Windows PowerShell
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Чтобы установить компонент Windows "Модуль Active Directory для Windows PowerShell":
Install-WindowsFeature "Name RSAT-AD-PowerShell
или добавьте оснастку Active Directory PowerShell через OptionalFeatures.
При выполнении следующих командлетов в Windows 7 или Windows Server 2008 R2 необходимо импортировать модуль PowerShell Active Directory:
Import-Module ActiveDirectory
Чтобы настроить сайт Active Directory с именем Second-Site, используя встроенный DEFAULTIPSITELINK:
New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @{Add="Second-Site"}
Чтобы настроить подсети IPv4 и IPv6 для второго сайта:
New-ADReplicationSubnet -Name "10.2.0.0/24" -Site "Second-Site"
New-ADReplicationSubnet -Name "2001:db8:2::/64" -Site "Second-Site"
2.2. Настройка дополнительных контроллеров домена
Чтобы настроить многосайтовое развертывание в одном домене, рекомендуется иметь по крайней мере один доступный для записи контроллер домена для каждого сайта в развертывании.
Чтобы выполнить эту процедуру, необходимо как минимум быть членом группы администраторов домена в домене, в котором установлен контроллер домена.
Дополнительные сведения см. в разделе "Установка дополнительного контроллера домена".
Настройка дополнительных контроллеров домена
На сервере, который будет выступать в качестве контроллера домена, в Диспетчере сервера на панели мониторинга щелкните добавить роли и функции.
Нажмите кнопку " Далее" три раза, чтобы перейти на экран выбора роли сервера
На странице "Выбор ролей сервера" выберите службы домен Active Directory. Нажмите кнопку "Добавить компоненты " при появлении запроса и нажмите кнопку "Далее " три раза.
На странице подтверждения нажмите кнопку Установить.
После успешной установки нажмите Повысить этот сервер до контроллера домена.
В мастере настройки служб домен Active Directory на странице "Конфигурация развертывания" щелкните "Добавить контроллер домена" в существующий домен.
В домене введите доменное имя, например corp.contoso.com.
В разделе " Укажите учетные данные для выполнения этой операции" нажмите кнопку "Изменить". В диалоговом окне Безопасность Windows укажите имя пользователя и пароль для учетной записи, которая может установить дополнительный контроллер домена. Чтобы установить дополнительный контроллер домена, необходимо быть членом группы "Администраторы предприятия" или "Администраторы домена". По завершении ввода учетных данных нажмите кнопку Далее.
На странице "Параметры контроллера домена" сделайте следующее:
Выберите указанные ниже параметры.
Сервер системы доменных имен (DNS)"Этот параметр выбран по умолчанию, чтобы контроллер домена может функционировать как dns-сервер. Если контроллер домена не должен работать в качестве DNS-сервера, снимите флажок.
Если роль DNS-сервера не установлена в эмуляторе основного контроллера домена (PDC) в корневом домене леса, параметр установки DNS-сервера на дополнительном контроллере домена недоступен. В качестве обходного решения в этой ситуации можно установить роль DNS-сервера до или после установки AD DS.
Примечание.
Если выбрать параметр установки DNS-сервера, может появиться сообщение, указывающее, что делегирование DNS для DNS-сервера не удалось создать, и необходимо вручную создать делегирование DNS на DNS-сервер, чтобы обеспечить надежное разрешение имен. Если вы устанавливаете дополнительный контроллер домена в корневом домене леса или корневом домене дерева, вам не нужно создавать делегирование DNS. В этом случае нажмите кнопку "Да " и игнорируйте сообщение.
Глобальный каталог (GC)"Этот параметр выбран по умолчанию. Он добавляет глобальный каталог (доступные только для чтения разделы) в контроллер домена и позволяет использовать поиск по глобальному каталогу.
Контроллер домена только для чтения (RODC)"Этот параметр не выбран по умолчанию. Это превращает дополнительный контроллер домена в контроллер только для чтения; то есть делает контроллер домена РОДК.
В имени сайта выберите сайт из списка.
В разделе "Введите пароль режима восстановления служб каталогов ( DSRM) в поле "Пароль" и "Подтверждение пароля", введите надежный пароль дважды и нажмите кнопку "Далее". Этот пароль должен использоваться для запуска AD DS в DSRM для задач, которые должны выполняться в автономном режиме.
На странице "Параметры DNS" выберите флажок "Обновить делегирование DNS", если вы хотите обновить делегирование DNS при установке роли, затем нажмите "Далее".
На странице "Дополнительные параметры" введите или перейдите к расположениям томов и папок для файла базы данных, файлов журнала службы каталогов и файлов системного тома (SYSVOL). Укажите параметры репликации по мере необходимости и нажмите кнопку "Далее".
На странице "Параметры проверки" просмотрите параметры установки и нажмите кнопку "Далее".
На странице проверки предварительных требований после проверки необходимых компонентов нажмите кнопку "Установить".
Подождите, пока мастер не завершит настройку, а затем нажмите кнопку "Закрыть".
Перезапустите компьютер, если он не перезагрузится автоматически.
2.3. Настройка групп безопасности
Для развертывания с несколькими сайтами требуется дополнительная группа безопасности для клиентских компьютеров Windows 7 для каждой точки входа в развертывании, которая позволяет получить доступ к клиентским компьютерам Windows 7. Если существует несколько доменов, содержащих клиентские компьютеры Windows 7, рекомендуется создать группу безопасности в каждом домене для одной точки входа. Кроме того, можно использовать одну универсальную группу безопасности, содержащую клиентские компьютеры из обоих доменов. Например, в среде с двумя доменами, если вы хотите разрешить доступ к клиентским компьютерам Windows 7 в точках входа 1 и 3, но не в точке входа 2, создайте две новые группы безопасности, чтобы содержать клиентские компьютеры Windows 7 для каждой точки входа в каждом из доменов.
Настройка дополнительных групп безопасности
На основном контроллере домена нажмите кнопку "Пуск" и щелкните Пользователи и компьютеры Active Directory.
В дереве консоли щелкните правой кнопкой мыши папку, в которой нужно добавить новую группу, например corp.contoso.com/Users. Наведите указатель мыши на "Создать" и нажмите кнопку "Группа".
В диалоговом окне "Новый объект — группа" в разделе "Имя группы" введите имя новой группы, например Win7_Clients_Entrypoint1.
В разделе "Область группы" нажмите кнопку "Универсальный", в разделе "Тип группы" нажмите кнопку "Безопасность" и нажмите кнопку "ОК".
Чтобы добавить компьютеры в новую группу безопасности, дважды щелкните группу безопасности и в < Group_Name>" щелкните вкладку "Члены".
На вкладке Члены группы щелкните Добавить.
Выберите компьютеры Windows 7, которые нужно добавить в эту группу безопасности, и нажмите кнопку "ОК".
Повторите эту процедуру, чтобы создать группу безопасности для каждой точки входа по мере необходимости.
Эквивалентные команды Windows PowerShell
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Чтобы установить компонент Windows "Модуль Active Directory для Windows PowerShell":
Install-WindowsFeature "Name RSAT-AD-PowerShell
или добавьте оснастку Active Directory PowerShell через OptionalFeatures.
При выполнении следующих командлетов в Windows 7 или Windows Server 2008 R2 необходимо импортировать модуль PowerShell Active Directory:
Import-Module ActiveDirectory
Чтобы настроить группу безопасности с именем Win7_Clients_Entrypoint1 и добавить клиентский компьютер с именем CLIENT2:
New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$
2.4. Настройка объектов групповой политики
Для развертывания многосайтового удаленного доступа требуются следующие объекты групповой политики:
GPO для каждой точки входа сервера удаленного доступа.
Объект групповой политики для любых клиентских компьютеров Windows 8 в каждом домене.
Объект групповой политики в каждом домене, содержащий клиентские компьютеры Windows 7 для каждой точки входа, настроенной для поддержки клиентов Windows 7.
Примечание.
Если у вас нет клиентских компьютеров с Windows 7, вам не нужно создавать объекты групповой политики для компьютеров с Windows 7.
При настройке удаленного доступа мастер автоматически создает необходимые объекты групповой политики, если они еще не существуют. Если у вас нет необходимых разрешений для создания объектов групповой политики, их необходимо создать перед настройкой удаленного доступа. Администратор DirectAccess должен иметь полные разрешения на GPO (редактирование, изменение безопасности, удаление).
Внимание
После создания объектов групповой политики для удаленного доступа необходимо предоставить достаточное время для завершения репликации Active Directory и DFS на контроллер домена в узле Active Directory, связанном с сервером удаленного доступа. Если удаленный доступ автоматически создал объекты групповой политики, время ожидания не требуется.
Сведения о создании объектов групповой политики см. в разделе "Создание и изменение объекта групповой политики".
Обслуживание контроллера домена и время простоя
Если контроллер домена, работающий в качестве эмулятора PDC, или контроллеры домена, управляющие групповыми политиками сервера, испытывают простои, невозможно загрузить или изменить конфигурацию удаленного доступа. Это не влияет на подключение клиента, если доступны другие контроллеры домена.
Чтобы загрузить или изменить конфигурацию удаленного доступа, можно передать роль эмулятора PDC другому контроллеру домена для клиентских объектов групповой политики или объектов групповой политики серверов приложений; для серверных объектов групповой политики измените контроллеры домена, управляющие этими объектами групповой политики.
Внимание
Эта операция может выполняться только администратором домена. Влияние изменения основного контроллера домена не ограничивается удаленным доступом; Поэтому при передаче роли эмулятора PDC используйте осторожность.
Примечание.
Перед изменением ассоциации контроллера домена убедитесь, что все объекты групповой политики в развертывании удаленного доступа были реплицированы всем доменным контроллерам в домене. Если объект групповой политики не синхронизирован, последние изменения конфигурации могут быть потеряны после изменения связи контроллера домена, что может привести к поврежденной конфигурации. Сведения о проверке синхронизации групповой политики см. в разделе "Проверка состояния инфраструктуры групповой политики".
Передача роли эмулятора PDC
На начальном экране введите dsa.msc и нажмите клавишу ВВОД.
В левой области консоли Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory и выберите пункт "Изменить контроллер домена". В диалоговом окне "Изменить сервер каталогов" выберите этот контроллер домена или экземпляр AD LDS, в списке щелкните контроллер домена, который станет новым владельцем роли, а затем нажмите ОК.
Примечание.
Этот шаг необходимо выполнить, если вы находитесь не на том контроллере домена, которому хотите передать роль. Не выполняйте этот шаг, если вы уже подключены к контроллеру домена, которому требуется передать роль.
В дереве консоли щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory, наведите указатель на Все задачи, а затем щелкните Мастеры операций.
В диалоговом окне "Мастеры операций" щелкните вкладку PDC и нажмите кнопку "Изменить".
Нажмите кнопку "Да" , чтобы подтвердить передачу роли, а затем нажмите кнопку "Закрыть".
Для изменения контроллера домена, который управляет объектами групповой политики на сервере
Запустите командлет Windows PowerShell Set-DAEntryPointDC на сервере удаленного доступа и укажите имя недоступного контроллера домена для параметра ExistingDC. Эта команда изменяет связь между контроллером домена и серверными объектами групповой политики для точек входа, которые в настоящее время управляются этим контроллером домена.
Чтобы заменить неустранимый контроллер домена "dc1.corp.contoso.com" на контроллер домена "dc2.corp.contoso.com", сделайте следующее:
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "NewDC 'dc2.corp.contoso.com' "ErrorAction InquireЧтобы заменить недоступный контроллер домена "dc1.corp.contoso.com" контроллером домена в ближайшем сайте Active Directory к серверу удаленного доступа "DA1.corp.contoso.com", выполните следующие действия:
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire
Измените два или более контроллера домена, управляющих групповыми политиками сервера
В минимальном количестве случаев два или более контроллеров домена, которые управляют групповыми политиками сервера, недоступны. Если это происходит, для изменения ассоциации контроллера домена с серверными объектами групповой политики необходимо выполнить дополнительные действия.
Информация о привязке контроллера домена хранится как в реестре серверов удаленного доступа, так и во всех объектах групповой политики сервера. В следующем примере есть две точки входа с двумя серверами удаленного доступа, DA1 в "Точка входа 1" и "DA2" в "Точка входа 2". Объект групповой политики сервера "Точка входа 1" управляется в контроллере домена DC1, а объект групповой политики сервера "Точка входа 2" управляется в контроллере домена DC2. Как DC1, так и DC2 недоступны. Третий контроллер домена по-прежнему доступен в домене DC3, а данные из DC1 и DC2 уже реплицированы в DC3.
Изменение двух или нескольких контроллеров домена, управляющих контроллерами групповой политики сервера
Чтобы заменить недоступный контроллер домена DC2 контроллером домена DC3, выполните следующую команду:
Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction ContinueЭта команда обновляет связь контроллера домена для групповой политики сервера "Точка входа 2" в реестре DA2 и в самом объекте групповой политики сервера "Точка входа 2". Однако он не обновляет объект групповой политики сервера "Точка входа 1", так как контроллер домена, который управляет им, недоступен.
Совет
Эта команда использует значение "Продолжить" для параметра ErrorAction , которое обновляет объект групповой политики сервера "Точка входа 2", несмотря на сбой обновления объекта групповой политики сервера "Точка входа 1".
Результирующая конфигурация показана на следующей схеме.
Чтобы заменить недоступный контроллер домена DC1 контроллером домена DC3, выполните следующую команду:
Set-DAEntryPointDC "ExistingDC 'DC1' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction ContinueЭта команда обновляет связь контроллера домена для групповой политики сервера "Точка входа 1" в реестре DA1, а также в групповых политиках серверов "Точка входа 1" и "Точка входа 2". Результирующая конфигурация показана на следующей схеме.
Чтобы синхронизировать связь контроллера домена с GPO сервера "Точка входа 2" в объекте групповой политики сервера "Точка входа 1", выполните команду, чтобы заменить DC2 на DC3, и укажите сервер удаленного доступа, объект групповой политики сервера которого не синхронизирован в данном случае "DA1" для параметра ComputerName .
Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA1' "ErrorAction ContinueОкончательная конфигурация показана на следующей схеме.
Оптимизация распределения конфигурации
При внесении изменений конфигурации изменения применяются только после распространения объектов групповой политики сервера на серверы удаленного доступа. Чтобы сократить время распространения конфигурации, удаленный доступ автоматически выбирает контроллер домена, который ближе всего к серверу удаленного доступа при создании групповой политики сервера.
В некоторых сценариях может потребоваться вручную изменить контроллер домена, который управляет групповыми политиками сервера, чтобы оптимизировать время конфигурационного распространения.
На сайте Active Directory сервера удаленного доступа не было записываемых контроллеров домена во время добавления его в качестве точки входа. Теперь контроллер домена, доступный для записи, добавляется на сайт Active Directory сервера удаленного доступа.
Изменение IP-адреса или изменения сайтов и подсетей Active Directory, возможно, переместили сервер удаленного доступа на другой сайт Active Directory.
Связь контроллера домена для точки входа была изменена вручную в связи с работами на контроллере домена, а теперь контроллер домена снова в сети.
В этих сценариях запустите командлет Set-DAEntryPointDC PowerShell на сервере удаленного доступа и укажите имя точки входа, которую требуется оптимизировать с помощью параметра EntryPointName. Это необходимо сделать только после того, как данные групповой политики из контроллера домена, который на данный момент хранит объект групповой политики сервера, уже полностью реплицировались на нужный новый контроллер домена.
Примечание.
Перед изменением ассоциации контроллера домена убедитесь, что все объекты групповой политики в развертывании удаленного доступа были реплицированы всем доменным контроллерам в домене. Если объект групповой политики не синхронизирован, последние изменения конфигурации могут быть потеряны после изменения связи контроллера домена, что может привести к поврежденной конфигурации. Сведения о проверке синхронизации групповой политики см. в разделе "Проверка состояния инфраструктуры групповой политики".
Чтобы оптимизировать время распространения конфигурации, выполните одно из следующих действий.
Чтобы управлять GPO сервера для точки входа "Точка входа 1" на контроллере домена, расположенном на ближайшем сайте Active Directory к серверу удаленного доступа "DA1.corp.contoso.com", выполните следующую команду:
Set-DAEntryPointDC "EntryPointName 'Entry point 1' "ComputerName 'DA1.corp.contoso.com' "ErrorAction InquireЧтобы управлять серверной GPO точки входа "Точка входа 1" на контроллере домена "dc2.corp.contoso.com", используйте следующую команду:
Set-DAEntryPointDC "EntryPointName 'Entry point 1' "NewDC 'dc2.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction InquireПримечание.
При изменении контроллера домена, связанного с определенной точкой входа, необходимо указать сервер удаленного доступа, который является членом этой точки входа для параметра ComputerName .