Schritt 2: Konfigurieren der Infrastruktur für mehrere Standorte

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2012 R2, Windows Server 2012

Zum Konfigurieren einer Bereitstellung mit mehreren Standorten sind mehrere Schritte erforderlich, um die Netzwerkinfrastruktureinstellungen zu ändern, einschließlich: Konfigurieren zusätzlicher Active Directory-Standorte und Domänencontroller, Konfigurieren zusätzlicher Sicherheitsgruppen und Konfigurieren von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs), wenn Sie keine automatisch konfigurierten GPOs verwenden.

Aufgabe BESCHREIBUNG
2.1. Konfigurieren zusätzlicher Active Directory-Standorte Konfigurieren zusätzlicher Active Directory-Standorte für die Bereitstellung
2.2. Konfigurieren zusätzlicher Domänencontroller Konfigurieren zusätzlicher Active Directory-Domänencontroller nach Bedarf
2.3. Konfigurieren von Sicherheitsgruppen Konfigurieren von Sicherheitsgruppen für Windows 7-Clientcomputer
2.4. Konfigurieren der Gruppenrichtlinienobjekte Konfigurieren zusätzlicher GPOs nach Bedarf

Hinweis

Dieses Thema enthält Windows PowerShell-Beispiel-Cmdlets, mit denen Sie einige der beschriebenen Vorgehensweisen automatisieren können. Weitere Informationen finden Sie unter Verwenden von Cmdlets.

2.1. Konfigurieren zusätzlicher Active Directory-Standorte

Alle Einstiegspunkte können sich an einem einzigen Active Directory-Standort befinden. Daher ist mindestens ein Active Directory-Standort für die Implementierung von RAS-Servern in einer Konfiguration mit mehreren Standorten erforderlich. Verwenden Sie dieses Verfahren, wenn Sie den ersten Active Directory-Standort erstellen oder zusätzliche Active Directory-Standorte für die Bereitstellung mit mehreren Standorten verwenden möchten. Verwenden Sie das Snap-In „Active Directory-Standorte und -Dienste“, um in der Umgebung neue Standorte zu erstellen.

Sie müssen mindestens Mitglied der Gruppe Organisations-Admins in der Gesamtstruktur, der Gruppe Domänen-Admins in der Stammdomäne der Gesamtstruktur oder Mitglied einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Informationen zu den geeigneten Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen.

Weitere Informationen finden Sie unter Hinzufügen eines Standorts zur Gesamtstruktur.

Konfigurieren zusätzlicher Active Directory-Standorte

  1. Klicken Sie im primären Domänencontroller auf Start und dann auf Active Directory-Standorte und -Dienste.

  2. Klicken Sie in der Konsolenstruktur der Konsole „Active Directory-Standorte und -Dienste“ mit der rechten Maustaste auf Standorte, und klicken Sie dann auf Neuer Standort.

  3. Geben Sie im Dialogfeld Neues Objekt: Standort in das Feld Name einen Namen für den neuen Standort ein.

  4. Klicken Sie unter Linkname auf ein Standortverknüpfungsobjekt, und klicken Sie dann zweimal auf OK.

  5. Doppelklicken Sie in der Konsolenstruktur auf Standorte, klicken Sie mit der rechten Maustaste auf Subnetze, und klicken Sie dann auf Neues Subnetz.

  6. Geben Sie im Dialogfeld Neues Objekt: Subnetz unter Präfix das Präfix des IPv4- oder IPv6-Subnetzes ein, wählen Sie aus der Liste Standortobjekt für dieses Präfix auswählen den Standort aus, der diesem Subnetz zugeordnet werden soll, und klicken Sie dann auf OK.

  7. Wiederholen Sie die Schritte 5 und 6, bis Sie alle für Ihre Bereitstellung erforderlichen Subnetze erstellt haben.

  8. Schließen Sie Active Directory-Standorte und -Dienste.

Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

So installieren Sie das Windows-Feature „Active Directory-Modul für Windows PowerShell“:

Install-WindowsFeature "Name RSAT-AD-PowerShell

oder fügen das Snap-In „Active Directory PowerShell“ über OptionalFeatures hinzu.

Wenn Sie die folgenden Cmdlets unter Windows 7 oder Windows Server 2008 R2 ausführen, muss das Active Directory-PowerShell-Modul importiert werden:

Import-Module ActiveDirectory

So konfigurieren Sie einen Active Directory-Standort namens „Second-Site“ mithilfe von DEFAULTIPSITELINK (integriert):

New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @{Add="Second-Site"}

So konfigurieren Sie IPv4- und IPv6-Subnetze für den zweiten Standort (Second-Site):

New-ADReplicationSubnet -Name "10.2.0.0/24" -Site "Second-Site"
New-ADReplicationSubnet -Name "2001:db8:2::/64" -Site "Second-Site"

2.2. Konfigurieren zusätzlicher Domänencontroller

Zum Konfigurieren einer Bereitstellung mit mehreren Standorten in einer einzelnen Domäne wird empfohlen, mindestens einen schreibbaren Domänencontroller für jeden Standort in Ihrer Bereitstellung zu verwenden.

Zum Ausführen dieses Verfahrens müssen Sie mindestens Mitglied der Gruppe „Domänen-Admins“ in der Domäne sein, in der der Domänencontroller installiert wird.

Weitere Informationen finden Sie unter Installieren eines zusätzlichen Domänencontrollers.

Konfigurieren zusätzlicher Domänencontroller

  1. Klicken Sie auf dem Server, der als Domänencontroller fungiert, in Server-Manager auf dem Dashboard auf Rollen und Features hinzufügen.

  2. Klicken Sie dreimal auf Weiter, um zum Bildschirm für die Auswahl der Serverrolle zu gelangen.

  3. Wählen Sie auf der Seite Serverrollen auswählen die Option Active Directory Domain Services aus. Klicken Sie auf Features hinzufügen, wenn Sie dazu aufgefordert werden, und klicken Sie dann dreimal auf Weiter.

  4. Klicken Sie auf der Seite Bestätigung auf Installieren.

  5. Nachdem die Installation erfolgreich abgeschlossen wurde, klicken Sie auf Server auf einen Domänencontroller heraufstufen.

  6. Klicken Sie im Active Directory Domain Services-Konfigurations-Assistenten auf der Seite Bereitstellungskonfiguration auf Einer vorhandenen Domäne einen Domänencontroller hinzufügen.

  7. Geben Sie unter Domäne den Domänennamen ein, zum Beispiel corp.contoso.com.

  8. Klicken Sie unter Anmeldeinformationen für diesen Vorgang angeben auf Ändern. Geben Sie im Dialogfeld Windows-Sicherheit den Benutzernamen und das Kennwort des Kontos an, in dem der zusätzliche Domänencontroller installiert werden kann. Zum Installieren eines zusätzlichen Domänencontrollers müssen Sie ein Mitglied der Gruppe Organisations-Admins oder Domänen-Admins sein. Klicken Sie nach Eingabe der Anmeldeinformationen auf Weiter.

  9. Führen Sie auf der Seite Domänencontrolleroptionen die folgenden Schritte aus:

    1. Treffen Sie die folgende Auswahl:

      • DNS-Server (Domain Name System): Diese Option ist standardmäßig aktiviert, damit Ihr Domänencontroller als DNS-Server fungieren kann. Falls der Domänencontroller nicht als DNS-Server verwendet werden soll, können Sie diese Option deaktivieren.

        Wenn die DNS-Serverrolle nicht auf dem Emulator der primären Domänencontroller (Primary Domain Controller Emulator, PDC Emulator) in der Stammdomäne der Gesamtstruktur installiert ist, ist die Option zum Installieren des DNS-Servers auf einem zusätzlichen Domänencontroller nicht verfügbar. Als Problemumgehung können Sie in dieser Situation die DNS-Serverrolle vor oder nach der AD DS-Installation installieren.

        Hinweis

        Wenn Sie die Option zum Installieren des DNS-Servers auswählen, erhalten Sie möglicherweise die Meldung, dass eine DNS-Delegierung für den DNS-Server nicht erstellt werden konnte und dass Sie die DNS-Delegierung manuell auf dem DNS-Server erstellen sollten, um eine zuverlässige Namensauflösung sicherzustellen. Wenn Sie einen zusätzlichen Domänencontroller in der Stammdomäne der Gesamtstruktur oder in einer Strukturstammdomäne installieren, müssen Sie die DNS-Delegierung nicht erstellen. Klicken Sie in diesem Fall auf Ja, und ignorieren Sie die Nachricht.

      • Globaler Katalog: Diese Option ist standardmäßig aktiviert. Damit werden dem Domänencontroller die schreibgeschützten Verzeichnispartitionen des globalen Katalogs hinzugefügt. Außerdem wird die Suchfunktion für den globalen Katalog aktiviert.

      • Schreibgeschützter Domänencontroller: Diese Option ist standardmäßig nicht ausgewählt. Durch Auswahl dieser Option wird der zusätzliche Domänencontroller schreibgeschützt.

    2. Wählen Sie unter Standortname einen Standort aus der Liste aus.

    3. Geben Sie unter Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus (DSRM-Kennwort) eingeben unter Kennwort und Kennwort bestätigen ein sicheres Kennwort zweimal ein, und klicken Sie auf Weiter. Dieses Kennwort muss verwendet werden, um AD DS in DSRM für Tasks zu starten, die offline ausgeführt werden müssen.

  10. Aktivieren Sie auf der Seite DNS-Optionen das Kontrollkästchen DNS-Delegierung aktualisieren, wenn Sie die DNS-Delegierung während der Rolleninstallation aktualisieren möchten, und klicken Sie dann auf Weiter.

  11. Geben Sie auf der Seite Zusätzliche Optionen die Volume- und Ordnerspeicherorte der Datenbankdatei, der Verzeichnisdienstprotokolldateien und des Systemvolumedateien (SYSVOL) ein, oder navigieren Sie dorthin. Wählen Sie die Replikationsoptionen nach Bedarf aus, und klicken Sie auf Weiter.

  12. Überprüfen Sie auf der Seite Überprüfungsoptionen die Installationsoptionen, und klicken Sie auf Weiter.

  13. Klicken Sie auf der Seite Voraussetzungsprüfung auf Installieren, nachdem die Voraussetzungen überprüft wurden.

  14. Warten Sie, bis der Assistent die Konfiguration abgeschlossen hat, und klicken Sie auf Schließen.

  15. Starten Sie den Computer neu, wenn er nicht automatisch neu gestartet wird.

2.3. Konfigurieren von Sicherheitsgruppen

Eine Bereitstellung mit mehreren Standorten erfordert für jeden Einstiegspunkt in der Bereitstellung eine zusätzliche Sicherheitsgruppe für Windows 7-Clientcomputer, die den Zugriff auf Windows 7-Clientcomputer ermöglicht. Wenn mehrere Domänen Windows 7-Clientcomputer enthalten, wird empfohlen, in jeder Domäne eine Sicherheitsgruppe für denselben Einstiegspunkt zu erstellen. Alternativ kann eine universelle Sicherheitsgruppe verwendet werden, die die Clientcomputer aus beiden Domänen enthält. Wenn Sie beispielsweise in einer Umgebung mit zwei Domänen den Zugriff auf Windows 7-Clientcomputer in den Einstiegspunkten 1 und 3, aber nicht in Einstiegspunkt 2 zulassen möchten, erstellen Sie zwei neue Sicherheitsgruppen, die die Windows 7-Clientcomputer für jeden Einstiegspunkt in jeder Domäne enthalten.

Konfigurieren zusätzlicher Sicherheitsgruppen

  1. Klicken Sie im primären Domänencontroller auf Start und dann auf Active Directory-Benutzer und -Computer.

  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Ordner, in dem Sie eine neue Gruppe hinzufügen möchten, z. B. corp.contoso.com/Users. Zeigen Sie auf Neu, und klicken Sie dann auf Gruppe.

  3. Geben Sie im Dialogfeld Neues Objekt: Gruppe unter Gruppenname den Namen der neuen Gruppe ein, z. B. „Win7_Clients_Entrypoint1“.

  4. Klicken Sie unter Gruppenbereich auf Universell, unter Gruppentyp auf Sicherheit und anschließend auf OK.

  5. Doppelklicken Sie zum Hinzufügen von Computern zur neuen Sicherheitsgruppe auf die Sicherheitsgruppe, und klicken Sie im Dialogfeld Eigenschaften von <Gruppenname> auf die Registerkarte Mitglieder.

  6. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen.

  7. Wählen Sie die Windows 7-Computer aus, die dieser Sicherheitsgruppe hinzugefügt werden sollen, und klicken Sie auf OK.

  8. Wiederholen Sie diesen Vorgang, um nach Bedarf eine Sicherheitsgruppe für jeden Einstiegspunkt zu erstellen.

Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

So installieren Sie das Windows-Feature „Active Directory-Modul für Windows PowerShell“:

Install-WindowsFeature "Name RSAT-AD-PowerShell

oder fügen das Snap-In „Active Directory PowerShell“ über OptionalFeatures hinzu.

Wenn Sie die folgenden Cmdlets unter Windows 7 oder Windows Server 2008 R2 ausführen, muss das Active Directory-PowerShell-Modul importiert werden:

Import-Module ActiveDirectory

So konfigurieren Sie eine Sicherheitsgruppe namens „Win7_Clients_Entrypoint1“ und fügen einen Clientcomputer namens CLIENT2 hinzu:

New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$

2.4. Konfigurieren der Gruppenrichtlinienobjekte

Für eine Remotezugriffsbereitstellung mit mehreren Standorten sind die folgenden GPOs erforderlich:

  • Ein GPO für jeden Einstiegspunkt des RAS-Servers

  • Ein GPO für Windows 8 Clientcomputer für jede Domäne

  • Ein GPO in jeder Domäne, die Windows 7-Clientcomputer enthält, für jeden Einstiegspunkt, der für die Unterstützung von Windows 7-Clients konfiguriert ist

    Hinweis

    Wenn Sie nicht über Windows 7-Clientcomputer verfügen, müssen Sie keine GPOs für Windows 7-Computer erstellen.

Wenn Sie den Remotezugriff konfigurieren, erstellt der Assistent automatisch die erforderlichen GPOs, sofern diese noch nicht vorhanden sind. Wenn Sie nicht über die erforderlichen Berechtigungen zum Erstellen von GPOs verfügen, müssen diese vor der Konfiguration des Remotezugriffs erstellt werden. Der oder die DirectAccess-Administrator*in muss über vollständige Berechtigungen für die GPOs verfügen („Bearbeiten“, „Sicherheit ändern“ und „Löschen“).

Wichtig

Nach dem manuellen Erstellen der GPOs für den Remotezugriff müssen Sie warten, bis die Active Directory- und DFS-Replikation auf den Domänencontroller an dem Active Directory-Standort durchgeführt wurde, der dem RAS-Server zugeordnet ist. Wenn der Remotezugriff die GPOs automatisch erstellt hat, ist keine Wartezeit erforderlich.

Informationen zum Erstellen von GPOs finden Sie unter Erstellen und Bearbeiten eines Gruppenrichtlinienobjekts.

Wartung und Downtime von Domänencontrollern

Wenn bei einem Domänencontroller, der als PDC-Emulator ausgeführt wird, oder Domänencontrollern, die Server-GPOs verwalten, Downtime auftritt, ist es nicht möglich, die Remotezugriffskonfiguration zu laden oder zu ändern. Dies wirkt sich nicht auf die Clientkonnektivität aus, wenn andere Domänencontroller verfügbar sind.

Zum Laden oder Ändern der Remotezugriffskonfiguration können Sie die PDC-Emulatorrolle bei Client- oder Anwendungsserver-GPOs auf einen anderen Domänencontroller übertragen. Für Server-GPOs ändern Sie die Domänencontroller, die die Server-GPOs verwalten.

Wichtig

Dieser Vorgang kann nur von Domänenadministrator*innen ausgeführt werden. Die Auswirkungen der Änderung des primären Domänencontrollers sind nicht auf den Remotezugriff beschränkt. Gehen Sie daher beim Übertragen der PDC-Emulatorrolle vorsichtig vor.

Hinweis

Vergewissern Sie sich vor dem Ändern der Domänencontrollerzuordnung, dass alle GPOs in der Remotezugriffsbereitstellung auf allen Domänencontrollern der Domäne repliziert wurden. Wenn das GPO nicht synchronisiert ist, gehen die letzten Konfigurationsänderungen möglicherweise verloren, nachdem die Domänencontrollerzuordnung geändert wurde, was zu einer beschädigten Konfiguration führen kann. Informationen zum Überprüfen der GPO-Synchronisierung finden Sie unter Überprüfen des Status der Gruppenrichtlinieninfrastruktur.

Übertragen der PDC-Emulatorrolle

  1. Geben Sie auf dem Startbildschirm zuerst dsa.msc ein, und drücken Sie dann die EINGABETASTE.

  2. Klicken Sie links in der Konsole „Active Directory-Benutzer und -Computer“ mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, und klicken Sie dann auf Domänencontroller ändern. Klicken Sie im Dialogfeld „Verzeichnisserver ändern“ auf Dieser Domänencontroller oder AD LDS-Instanz, wählen Sie aus der Liste den Domänencontroller aus, der der neue Rolleninhaber sein soll, und klicken Sie auf OK.

    Hinweis

    Sie müssen diesen Schritt ausführen, wenn Sie sich nicht auf dem Domänencontroller befinden, auf den Sie die Rolle übertragen möchten. Führen Sie diesen Schritt nicht aus, wenn Sie bereits mit dem Domänencontroller verbunden sind, auf den Sie die Rolle übertragen möchten.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, zeigen Sie auf Alle Aufgaben, und klicken Sie auf Betriebsmaster.

  4. Klicken Sie im Dialogfeld „Betriebsmaster“ auf die Registerkarte PDC , und klicken Sie auf Ändern.

  5. Klicken Sie auf Ja, um zu bestätigen, dass Sie die Rolle übertragen möchten, und klicken Sie dann auf Schließen.

Ändern des Domänencontrollers, der Server-GPOs verwaltet

  • Führen Sie das Windows PowerShell Cmdlet Set-DAEntryPointDC auf dem RAS-Server aus, und geben Sie den Namen des nicht erreichbaren Domänencontrollers als ExistingDC-Parameter an. Mit diesem Befehl wird die Domänencontrollerzuordnung für die Server-GPOs der Einstiegspunkte geändert, die derzeit von diesem Domänencontroller verwaltet werden.

    • Gehen Sie wie folgt vor, um den nicht erreichbaren Domänencontroller „dc1.corp.contoso.com“ durch den Domänencontroller „dc2.corp.contoso.com“ zu ersetzen:

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "NewDC 'dc2.corp.contoso.com' "ErrorAction Inquire

    • Gehen Sie wie folgt vor, um den nicht erreichbaren Domänencontroller „dc1.corp.contoso.com“ durch einen Domänencontroller am nächstgelegenen Active Directory-Standort des RAS-Servers „DA1.corp.contoso.com“ zu ersetzen:

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

Ändern von mindestens zwei Domänencontrollern, die Server-GPOs verwalten

In sehr seltenen Fällen kann es vorkommen, dass zwei oder mehr Domänencontroller, die Server-GPOs verwalten, nicht verfügbar sind. In diesem Fall sind weitere Schritte erforderlich, um die Domänencontrollerzuordnung der Server-GPOs zu ändern.

Informationen zur Domänencontrollerzuordnung werden sowohl in der Registrierung der RAS-Server als auch in allen Server-GPOs gespeichert. Im folgenden Beispiel gibt es zwei Einstiegspunkte mit zwei RAS-Servern: „DA1“ in Einstiegspunkt 1 und „DA2“ in Einstiegspunkt 2. Das Server-GPO von Einstiegspunkt 1 wird im Domänencontroller „DC1“ verwaltet, während das Server-GPO von Einstiegspunkt 2 im Domänencontroller „DC2“ verwaltet wird. Sowohl DC1 als auch DC2 sind nicht verfügbar. Der dritte Domänencontroller DC3 ist in der Domäne verfügbar, und die Daten aus DC1 und DC2 wurden bereits in DC3 repliziert.

Configure Multisite Infrastructure

Ändern von mindestens zwei Domänencontrollern, die Server-GPOs verwalten

  1. Um den nicht verfügbaren Domänencontroller DC2 durch den Domänencontroller DC3 zu ersetzen, führen Sie den folgenden Befehl aus:

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    Mit diesem Befehl wird die Domänencontrollerzuordnung für das Server-GPO „Einstiegspunkt 2“ in der Registrierung von DA2 und im Server-GPO „Einstiegspunkt 2“ selbst aktualisiert. Das Server-GPO „Einstiegspunkt 1“ wird jedoch nicht aktualisiert, weil der Domänencontroller, der es verwaltet, nicht verfügbar ist.

    Tipp

    Dieser Befehl verwendet den Continue-Wert als ErrorAction-Parameter, der das Server-GPO „Einstiegspunkt 2“ aktualisiert, obwohl das Server-GPO „Einstiegspunkt 1“ nicht aktualisiert wurde.

    Die daraus resultierende Konfiguration ist in der folgenden Abbildung dargestellt.

    Diagram showing the resulting configuration.

  2. Führen Sie den folgenden Befehl aus, um den nicht verfügbaren Domänencontroller „DC1“ durch den Domänencontroller „DC3“ zu ersetzen:

    Set-DAEntryPointDC "ExistingDC 'DC1' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    Mit diesem Befehl wird die Domänencontrollerzuordnung des Server-GPO „Einstiegspunkt 1“ in der Registrierung von DA1 sowie in den Server-GPOs „Einstiegspunkt 1“ und „Einstiegspunkt 2“ aktualisiert. Die daraus resultierende Konfiguration ist in der folgenden Abbildung dargestellt.

    Diagram showing the update to th domain controller association.

  3. Um die Domänencontrollerzuordnung des Server-GPO „Einstiegspunkt 2“ im Server-GPO „Einstiegspunkt 1“ zu synchronisieren, führen Sie den Befehl zum Ersetzen von DC2 durch DC3 aus, und geben Sie als ComputerName-Parameter den RAS-Server an, dessen Server-GPO nicht synchronisiert ist. In diesem Fall handelt es sich dabei um DA1.

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA1' "ErrorAction Continue

    Die folgende Abbildung zeigt die endgültige Konfiguration.

    Diagram showing the final configuration.

Optimierung der Konfigurationsverteilung

Beim Vornehmen von Konfigurationsänderungen werden die Änderungen erst angewendet, nachdem die Server-GPOs an die RAS-Server weitergegeben wurden. Um die Konfigurationsverteilungsdauer zu verkürzen, wählt der Remotezugriff beim Erstellen des Server-GPO automatisch einen beschreibbaren Domänencontroller aus, der dem RAS-Server am nächsten ist.

In einigen Szenarios kann es erforderlich sein, den Domänencontroller, der ein Server-GPO verwaltet, manuell zu ändern, um die Konfigurationsverteilungsdauer zu optimieren:

  • Am Active Directory-Standort eines RAS-Servers waren keine beschreibbaren Domänencontroller vorhanden, als dieser als Einstiegspunkt hinzugefügt wurde. Nun wird dem Active Directory-Standort des RAS-Servers ein beschreibbarer Domänencontroller hinzugefügt.

  • Durch eine Änderung des Typs „IP-Adresse“ oder „Active Directory-Standorte und -Subnetze“ wurde der RAS-Server möglicherweise an einen anderen Active Directory-Standort verschoben.

  • Die Domänencontrollerzuordnung eines Einstiegspunkts wurde aufgrund der Wartung eines Domänencontrollers manuell geändert, und jetzt ist der Domänencontroller wieder online.

Führen Sie in diesen Szenarios das PowerShell-Cmdlet Set-DAEntryPointDC auf dem RAS-Server aus, und geben Sie den Namen des Einstiegspunkts an, den Sie mithilfe des EntryPointName-Parameters optimieren möchten. Sie sollten dies erst tun, nachdem die GPO-Daten des Domänencontrollers, auf dem das Server-GPO derzeit gespeichert wird, bereits vollständig auf den gewünschten neuen Domänencontroller repliziert wurden.

Hinweis

Vergewissern Sie sich vor dem Ändern der Domänencontrollerzuordnung, dass alle GPOs in der Remotezugriffsbereitstellung auf allen Domänencontrollern der Domäne repliziert wurden. Wenn das GPO nicht synchronisiert ist, gehen die letzten Konfigurationsänderungen möglicherweise verloren, nachdem die Domänencontrollerzuordnung geändert wurde, was zu einer beschädigten Konfiguration führen kann. Informationen zum Überprüfen der GPO-Synchronisierung finden Sie unter Überprüfen des Status der Gruppenrichtlinieninfrastruktur.

Führen Sie einen der folgenden Schritte aus, um die Konfigurationsverteilungsdauer zu optimieren:

  • Führen Sie den folgenden Befehl aus, um das Server-GPO des Einstiegspunkts „Einstiegspunkt 1“ auf einem Domänencontroller an dem Active Directory-Standort zu verwalten, der dem RAS-Servers „DA1.corp.contoso.com“ am nächsten ist:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

  • Führen Sie den folgenden Befehl aus, um das Server-GPO des Einstiegspunkts „Einstiegspunkt 1“ auf dem Domänencontroller „dc2.corp.contoso.com“ zu verwalten:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "NewDC 'dc2.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

    Hinweis

    Wenn Sie den Domänencontroller ändern, der einem bestimmten Einstiegspunkt zugeordnet ist, müssen Sie einen RAS-Server, der ein Mitglied dieses Einstiegspunkts ist, als ComputerName-Parameter angeben.