通过

步骤 2:配置多站点基础结构

若要配置多站点部署,需要执行多个步骤来修改网络基础结构设置,包括:配置其他 Active Directory 站点和域控制器、配置其他安全组,以及配置组策略对象 (GPO)(如果未使用自动配置的 GPO)。

任务 说明
2.1. 配置其他 Active Directory 站点 为部署配置其他 Active Directory 站点。
2.2. 配置其他域控制器 根据需要配置其他 Active Directory 域控制器。
2.3. 配置安全组 为任何 Windows 7 客户端计算机配置安全组。
2.4。 配置 GPO 根据需要配置其他组策略对象。

注意

此主题将介绍一些 Windows PowerShell cmdlet 示例,你可以使用它们来自动执行所述的一些步骤。 有关详细信息,请参阅 使用 Cmdlet

2.1. 配置其他 Active Directory 站点

所有入口点都可以驻留在单个 Active Directory 站点中。 因此,在多站点配置中实现远程访问服务器至少需要一个 Active Directory 站点。 如果你需要创建第一个 Active Directory 站点,或者希望使用其他 Active Directory 站点进行多站点部署,请使用此过程。 使用“Active Directory 站点和服务”管理单元在组织的网络中创建新站点。

林中的“企业管理员”组或林根域中的“域管理员”组的成员身份或同等身份是完成此过程的最低要求。 查看有关在本地 和域默认组中使用相应帐户和组成员身份的详细信息。

有关详细信息,请参阅将站点添加到林

配置其他 Active Directory 站点

  1. 在主域控制器上单击“开始”,然后单击“Active Directory 站点和服务”

  2. 在“Active Directory 站点和服务”控制台的控制台树中,右键单击“站点”,然后单击“新建站点”

  3. 在“新建对象 - 站点”对话框的“名称”框中,输入新站点的名称

  4. 在“链接名称”中单击某个站点链接对象,然后单击“确定”两次

  5. 在控制台树中展开“站点”,右键单击“子网”,然后单击“新建子网”

  6. 在“新建对象 - 子网”对话框中的“前缀”下,键入 IPv4 或 IPv6 子网前缀,在“为此前缀选择一个站点对象”列表中,单击要与此子网关联的站点,然后单击“确定”

  7. 重复步骤 5 和 6,直到创建了部署中所需的所有子网。

  8. 关闭“Active Directory 站点和服务”。

Windows PowerShell 等效命令

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

若要安装 Windows 功能“适用于 Windows PowerShell 的 Active Directory 模块”,请运行:

Install-WindowsFeature "Name RSAT-AD-PowerShell

或通过 OptionalFeatures 添加“Active Directory PowerShell 管理单元”。

如果在 Windows 7 或 Windows Server 2008 R2 上运行以下 cmdlet,则必须导入 Active Directory PowerShell 模块:

Import-Module ActiveDirectory

若要使用内置的 DEFAULTIPSITELINK 配置名为“Second-Site”的 Active Directory 站点,请运行:

New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @{Add="Second-Site"}

若为 Second-Site 配置 IPv4 和 IPv6 子网,请运行:

New-ADReplicationSubnet -Name "10.2.0.0/24" -Site "Second-Site"
New-ADReplicationSubnet -Name "2001:db8:2::/64" -Site "Second-Site"

2.2. 配置其他域控制器

若要在单个域中配置多站点部署,建议为部署中的每个站点至少配置一个可写域控制器。

若要执行此过程,你至少必须是安装域控制器的域中的“域管理员”组的成员。

有关详细信息,请参阅 安装其他域控制器

配置其他域控制器

  1. 在充当域控制器的服务器上的“服务器管理器”中的“仪表板”上,单击“添加角色和功能”

  2. 单击“下一步”三次以打开服务器角色选择屏幕

  3. 在“选择服务器角色”页上,选择“Active Directory 域服务”。 出现提示时,单击“添加功能”,然后单击“下一步”三次

  4. 在“确认”页上,单击“安装”

  5. 安装成功完成后,单击“将此服务器提升为域控制器”

  6. 在 Active Directory 域服务配置向导中的“部署配置”页上,单击“将域控制器添加到现有域”

  7. 在“域”中输入域名,例如 corp.contoso.com

  8. 在“提供凭据以执行此操作”下,单击“更改”。 在“Windows 安全”对话框中,提供可用来安装其他域控制器帐户的用户名和密码。 若要安装其他域控制器,你必须是 Enterprise Admins 组或 Domain Admins 组的成员。 完成提供凭据后,单击“ 下一步”。

  9. 在“域控制器选项”页上执行以下操作

    1. 进行以下选择:

      • 域名系统(DNS)服务器:默认情况下,此选项处于选中状态,以便域控制器可以用作域名系统 (DNS) 服务器。 如果你不希望该域控制器成为 DNS 服务器,则清除该选项。

        如果 DNS 服务器角色未安装在林根域中的主域控制器 (PDC) 仿真器上,则用于在其他域控制器上安装 DNS 服务器的选项将不可用。 在这种情况下,一种解决方法是在安装 AD DS 之前或之后安装 DNS 服务器角色。

        注意

        如果你选择用于安装 DNS 服务器的选项,则可能会收到一条消息,指出无法为 DNS 服务器创建 DNS 委派,你应该手动为 DNS 服务器创建 DNS 委派以确保可靠的名称解析。 如果你在林根域或树根域中安装其他域控制器,则不必创建 DNS 委派。 在这种情况下,请单击“是”并忽略该消息

      • 全局目录(GC):默认已选择此选项。 它会将全局编录、只读目录分区添加到域控制器,并且将启用全局编录搜索功能。

      • 只读域控制器(RODC):默认未选择此选项。 它会将其他域控制器设为只读;也就是说,将域控制器设为 RODC。

    2. 在“站点名称”中,从列表中选择一个站点

    3. 在“键入目录服务还原模式(DSRM)密码”下的“密码”和“确认密码”中,键入强密码两次,然后单击“下一步”。 对于必须脱机执行的任务,必须使用此密码在 DSRM 中启动 AD DS。

  10. 在“DNS 选项”页上,如果你要在角色安装期间更新 DNS 委派,请选中“更新 DNS 委派”复选框,然后单击“下一步”

  11. 在“其他选项”页上,键入或浏览到数据库文件、目录服务日志文件和系统卷 (SYSVOL) 文件所在的卷和文件夹位置。 根据需要指定复制选项,然后单击“下一步”

  12. 在“查看选项”页上查看安装选项,然后单击“下一步”

  13. 在“先决条件检查”页上,在验证先决条件后单击“安装”

  14. 等待向导完成配置,然后单击“关闭”

  15. 如果计算机未自动重启,请将它重启。

2.3. 配置安全组

对于部署中允许访问 Windows 7 客户端计算机的每个入口点,多站点部署需要一个额外的 Windows 7 客户端计算机安全组。 如果有多个域包含 Windows 7 客户端计算机,则建议在每个域中为同一入口点创建一个安全组。 或者,可以使用一个通用安全组,其中包含这两个域中的客户端计算机。 例如,在包含两个域的环境中,如果你要允许访问入口点 1 和 3 中的 Windows 7 客户端计算机,但不允许访问入口点 2 中的计算机,请创建两个新的安全组,以在每个域中包含每个入口点的 Windows 7 客户端计算机。

配置其他安全组

  1. 在主域控制器上,单击“开始”,然后单击“Active Directory 用户和计算机”。

  2. 在控制台树中,右键单击要在其中添加新组的文件夹,例如 corp.contoso.com/Users。 指向“新建”,然后单击“组”。

  3. 在“新建对象 - 组”对话框中的“组名称”下,键入新组的名称,例如 Win7_Clients_Entrypoint1

  4. 在“组范围”下单击“通用”,在“组类型”下单击“安全”,然后单击“确定”

  5. 若要将计算机添加到新安全组,请双击该安全组,然后在“<Group_Name> 属性”对话框中单击“成员”选项卡

  6. 在“成员”选项卡上,单击“添加”

  7. 选择要添加到此安全组的 Windows 7 计算机,然后单击“确定”

  8. 根据需要重复此过程,以便为每个入口点创建安全组。

Windows PowerShell 等效命令

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

若要安装 Windows 功能“适用于 Windows PowerShell 的 Active Directory 模块”,请运行:

Install-WindowsFeature "Name RSAT-AD-PowerShell

或通过 OptionalFeatures 添加“Active Directory PowerShell 管理单元”。

如果在 Windows 7 或 Windows Server 2008 R2 上运行以下 cmdlet,则必须导入 Active Directory PowerShell 模块:

Import-Module ActiveDirectory

若要配置名为 Win7_Clients_Entrypoint1 的安全组,并添加名为 CLIENT2 的客户端计算机,请运行:

New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$

2.4。 配置 GPO

多站点远程访问部署需要以下组策略对象:

  • 远程访问服务器的每个入口点的 GPO。

  • 每个域的任何 Windows 8 客户端计算机的 GPO。

  • 包含用于每个入口点(配置为支持 Windows 7 客户端)的 Windows 7 客户端计算机的每个域中的 GPO。

    注意

    如果你没有任何 Windows 7 客户端计算机,则无需为 Windows 7 计算机创建 GPO。

配置远程访问时,向导将自动创建所需的组策略对象(如果尚不存在)。 如果你不拥有创建组策略对象所需的权限,则必须在配置远程访问之前创建这些对象。 DirectAccess 管理员必须对 GPO 拥有完全权限(编辑 + 修改安全性 + 删除)。

重要

为远程访问手动创建 GPO 后,必须留出足够的时间将 Active Directory 和 DFS 复制到 Active Directory 站点中与远程访问服务器关联的域控制器。 如果远程访问自动创建了组策略对象,则无需留出等待时间。

若要创建组策略对象,请参阅 “创建和编辑组策略对象”。

域控制器维护和停机

当作为 PDC 仿真器运行的域控制器或管理服务器 GPO 的域控制器遇到停机时,无法加载或修改远程访问配置。 如果其他域控制器可用,则这种情况不会影响客户端连接。

若要加载或修改远程访问配置,可以将 PDC 仿真器角色转移到客户端或应用程序服务器 GPO 的其他域控制器;对于服务器 GPO,请更改管理服务器 GPO 的域控制器。

重要

此操作只能由域管理员执行。 更改主域控制器所造成的影响不局限于远程访问;因此,在转移 PDC 仿真器角色时要小心。

注意

在修改域控制器关联之前,请确保已将远程访问部署中的所有 GPO 复制到域中的所有域控制器。 如果 GPO 未同步,则在修改域控制器关联后,最近的配置更改可能会丢失,从而导致配置损坏。 若要验证 GPO 同步,请参阅 “检查组策略基础结构状态”。

转移 PDC 仿真器角色

  1. 在“开始”屏幕上,键入 dsa.msc,然后按 Enter 键。

  2. 在“Active Directory 用户和计算机”控制台的左侧窗格中右键单击“Active Directory 用户和计算机”,然后单击“更改域控制器”。 在“更改目录服务器”对话框中单击“此域控制器或 AD LDS 实例”,在列表中单击将成为新角色持有者的域控制器,然后单击“确定”

    注意

    如果你尚未连接到要将角色转移到的域控制器,则必须执行此步骤。 如果你已连接到要将角色转移到的域控制器,请不要执行此步骤。

  3. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向“所有任务”,然后单击“操作主机”

  4. 在“操作主机”对话框中单击“PDC”选项卡,然后单击“更改”

  5. 单击“是”确认你要转移角色,然后单击“关闭”

更改管理服务器 GPO 的域控制器

  • 在远程访问服务器上运行 Windows PowerShell cmdlet Set-DAEntryPointDC ,并为 ExistingDC 参数指定无法访问的域控制器名称。 此命令修改当前由该域控制器管理的入口点的服务器 GPO 的域控制器关联。

    • 若要将无法访问的域控制器“dc1.corp.contoso.com”替换为域控制器“dc2.corp.contoso.com”,请执行以下命令:

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "NewDC 'dc2.corp.contoso.com' "ErrorAction Inquire

    • 若要将无法访问的域控制器“dc1.corp.contoso.com”替换为离远程访问服务器“DA1.corp.contoso.com”最近的 Active Directory 站点中的域控制器,请执行以下命令:

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

更改管理服务器 GPO 的两个或更多个域控制器

在极少数情况下,管理服务器 GPO 的两个或更多个域控制器不可用。 如果发生这种情况,需要执行其他步骤来更改服务器 GPO 的域控制器关联。

域控制器关联信息存储在远程访问服务器的注册表中和所有服务器 GPO 中。 在以下示例中,有两个入口点各包含一个远程访问服务器:“入口点 1”包含“DA1”,“入口点 2”包含“DA2”。 “入口点 1”的服务器 GPO 在域控制器“DC1”中管理,而“入口点 2”的服务器 GPO 在域控制器“DC2”中管理。 “DC1”和“DC2”都不可用。 第三个域控制器“DC3”仍在域中可用,“DC1”和“DC2”中的数据已复制到“DC3”。

配置多站点基础结构

更改管理服务器 GPO 的两个或更多个域控制器

  1. 若要将不可用的域控制器“DC2”替换为域控制器“DC3”,请运行以下命令:

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    此命令在 DA2 注册表和“入口点 2”服务器 GPO 本身中更新“入口点 2”服务器 GPO 的域控制器关联;但是,它不会更新“入口点 1”服务器 GPO,因为管理该 GPO 的域控制器不可用。

    提示

    此命令使用 ErrorAction 参数的 Continue 值,尽管无法更新“入口点 1”服务器 GPO,但它会更新“入口点 2”服务器 GPO

    最终配置如下图所示。

    示意图显示生成的配置。

  2. 若要将不可用的域控制器“DC1”替换为域控制器“DC3”,请运行以下命令:

    Set-DAEntryPointDC "ExistingDC 'DC1' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    此命令在 DA1 注册表以及“入口点 1”和“入口点 2”服务器 GPO 中更新“入口点 1”服务器 GPO 的域控制器关联。 最终配置如下图所示。

    显示对域控制器关联的更新的示意图。

  3. 若要在“入口点 1”服务器 GPO 中同步“入口点 2”服务器 GPO 的域控制器关联,请运行以下命令以将“DC2”替换为“DC3”,并为 ComputerName 参数指定其服务器 GPO 未同步的远程访问服务器(在本例中为“DA1”)

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA1' "ErrorAction Continue

    最终配置如下图所示。

    展示最终配置的图表。

配置分发的优化

进行配置更改时,只有在服务器 GPO 传播到远程访问服务器后才会应用更改。 为了减少配置分发时间,远程访问会自动选择一个可写域控制器,该域控制器在创建其服务器 GPO 时 最接近远程访问服务器

在某些情况下,可能需要手动修改管理服务器 GPO 的域控制器,以优化配置分发时间:

  • 在将远程访问服务器的 Active Directory 站点添加为入口点时,其中并没有可写域控制器。 现在正在将可写域控制器添加到远程访问服务器的 Active Directory 站点。

  • IP 地址更改或 Active Directory 站点和子网更改可能已将远程访问服务器移动到其他 Active Directory 站点。

  • 入口点的域控制器关联由于在域控制器上进行维护工作而被手动修改,而该域控制器现已恢复联机。

对于这种情况,请在远程访问服务器上运行 PowerShell cmdlet Set-DAEntryPointDC,并使用参数 EntryPointName 指定要优化的入口点的名称。 只有在当前存储服务器 GPO 的域控制器中的 GPO 数据已完全复制到所需的新域控制器之后,才应执行此操作。

注意

在修改域控制器关联之前,请确保已将远程访问部署中的所有 GPO 复制到域中的所有域控制器。 如果 GPO 未同步,则在修改域控制器关联后,最近的配置更改可能会丢失,从而导致配置损坏。 若要验证 GPO 同步,请参阅 “检查组策略基础结构状态”。

若要优化配置分发时间,请执行以下操作之一:

  • 若要在离远程访问服务器“DA1.corp.contoso.com”最近的 Active Directory 站点中的域控制器上管理入口点“入口点 1”的服务器 GPO,请运行以下命令:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

  • 若要在域控制器“dc2.corp.contoso.com”上管理“入口点 1”的服务器 GPO,请运行以下命令:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "NewDC 'dc2.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

    注意

    修改与特定入口点关联的域控制器时,必须为 ComputerName 参数指定作为该入口点的成员的远程访问服务器