步骤 3. 配置多站点部署

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

配置多站点基础架构后,请按照以下步骤设置远程访问多站点部署。

任务 说明
3.1. 配置远程访问服务器 配置其他远程访问服务器,方法是设置 IP 地址,将其加入域,并安装远程访问角色。
3.2. 授予管理员访问权限 将其他远程访问服务器上的权限授予 DirectAccess 管理员。
3.3. 为多站点部署配置 IP-HTTPS 配置多站点部署中使用的 IP-HTTPS 证书。
3.4. 为多站点部署配置网络位置服务器 配置多站点部署中使用的网络位置服务器证书。
3.5. 为多站点部署配置 DirectAccess 客户端 从 Windows 8 安全组中删除 Windows 7 客户端计算机。
3.6. 启用多站点部署 在第一个远程访问服务器上启用多站点部署。
3.7. 向多站点部署添加入口点 向多站点部署添加其他入口点。

注意

此主题将介绍一些 Windows PowerShell cmdlet 示例,你可以使用它们来自动执行所述的一些步骤。 有关详细信息,请参阅 使用 cmdlet

3.1. 配置远程访问服务器

安装远程访问角色

  1. 确保每个远程访问服务器都配置了正确的部署拓扑(边缘、NAT 之后、单个网络接口)和相应的路由。

  2. 根据站点拓扑和组织的 IP 寻址方案,在每个远程访问服务器上配置 IP 地址。

  3. 将每个远程访问服务器加入 Active Directory 域。

  4. 在服务器管理器控制台的仪表板中,单击“添加角色和功能”。

  5. 单击“下一步”三次以打开服务器角色选择屏幕。

  6. 在“选择服务器角色”对话框中选择“远程访问”,然后单击“下一步”。

  7. 单击“下一步”三次。

  8. 在“选择角色服务”对话框中,选择“DirectAccess 和 VPN (RAS)”然后单击“添加功能”。

  9. 选择“路由”,选择“Web 应用程序代理”,单击“添加功能”,然后单击“下一步”。

  10. 单击“下一步”,然后单击“安装”

  11. 在“安装进度”对话框中,验证安装是否成功,然后单击“关闭”

Windows PowerShellWindows PowerShell 等效命令

步骤 1-3 必须手动执行,并且不能使用此 Windows PowerShell cmdlet 完成。

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

Install-WindowsFeature RemoteAccess -IncludeManagementTools

3.2. 授予管理员访问权限

授予管理员权限

  1. 在远程访问服务器上的其他入口点:在“开始”屏幕上,键入“计算机管理”,然后按 Enter 键。

  2. 在左窗格中,单击“本地用户和组”。

  3. 双击“组”,然后双击“管理员”。

  4. 在“管理员属性”对话框中,单击“添加”,然后在“选择用户、计算机、服务帐户或组”对话框中,单击“位置”。

  5. 在“位置”对话框的“位置”树中,单击包含 DirectAccess 管理员用户帐户的位置,然后单击“确定”。

  6. 在“输入要选择的对象名称”中,输入 DirectAccess 管理员的用户名,然后单击“确定”两次。

  7. 在“管理员属性”对话框中,单击“确定”。

  8. 关闭“计算机管理”窗口。

  9. 在将成为多站点部署一部分的所有远程访问服务器上重复此过程。

3.3. 为多站点部署配置 IP-HTTPS

在将添加到多站点部署的每个远程访问服务器上,需要 SSL 证书来验证与 IP-HTTPS Web 服务器的 HTTPS 连接。 必须至少具有本地 Administrators 组中的成员身份或同等身份才能完成此过程。

获取 IP-HTTPS 证书

  1. 在每台远程访问服务器上:在“开始”屏幕上,键入“mmc”,然后按 Enter 键。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 单击“文件”,然后单击“添加/删除管理单元”。

  3. 依次单击“证书”、“添加”、“计算机帐户”、“下一步”,选择“本地计算机”,单击“完成”,然后单击“确定”。

  4. 在证书管理单元的控制台树中,依次打开“证书(本地计算机)\个人\证书”。

  5. 右键单击“证书”,指向“所有任务”,然后单击“申请新证书”。

  6. 单击“下一步”两次。

  7. 在“请求证书”页上,单击 Web 服务器证书模板,然后单击“注册此证书需要更多信息”。

    如果未显示 Web 服务器证书模板,请确保远程访问服务器计算机帐户具有 Web 服务器证书模板的注册权限。 有关详细信息,请参阅在 Web 服务器证书模板上配置权限

  8. 在“证书属性”对话框的“使用者”选项卡上,在“使用者名称”中,为“类型”选择“公用名”。

  9. 在“值”中,键入远程访问服务器的 Internet 名称的完全限定域名 (FQDN)(例如,Europe.contoso.com),然后单击“添加”。

  10. 依次单击“确定”、“注册”和“完成”。

  11. 在证书管理单元的详细信息窗格中,通过“服务器身份验证”的“预期目的”验证是否注册了具有 FQDN 的新证书。

  12. 右键单击证书,然后单击“属性”。

  13. 在“易记名称”中,键入“IP-HTTPS 证书”,然后单击“确定”。

    提示

    步骤 12 和 13 可选,但在配置远程访问时,这些步骤有助于更轻松地选择 IP-HTTPS 的证书。

  14. 在部署中的所有远程访问服务器上重复此过程。

3.4. 为多站点部署配置网络位置服务器

如果你在设置第一台服务器时选择了在远程访问服务器上设置网络位置服务器网站,则你添加的每个新远程访问服务器都需要配置一个 Web 服务器证书,该证书的使用者名称与为第一台服务器的网络位置服务器选择的使用者名称相同。 每个服务器都需要一个证书来验证与网络位置服务器的连接,并且位于内部网络中的客户端计算机必须能够在 DNS 中解析网站的名称。

安装网络位置证书

  1. 在远程访问服务器上:在“开始”屏幕上,键入“mmc”,然后按 Enter 键。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 单击“文件”,然后单击“添加/删除管理单元”。

  3. 依次单击“证书”、“添加”、“计算机帐户”、“下一步”,选择“本地计算机”,单击“完成”,然后单击“确定”。

  4. 在证书管理单元的控制台树中,依次打开“证书(本地计算机)\个人\证书”。

  5. 右键单击“证书”,指向“所有任务”,然后单击“申请新证书”。

    注意

    还可以为第一个远程访问服务器导入用于网络位置服务器的相同证书。

  6. 单击“下一步”两次。

  7. 在“请求证书”页上,单击 Web 服务器证书模板,然后单击“注册此证书需要更多信息”。

    如果未显示 Web 服务器证书模板,请确保远程访问服务器计算机帐户具有 Web 服务器证书模板的注册权限。 有关详细信息,请参阅在 Web 服务器证书模板上配置权限

  8. 在“证书属性”对话框的“使用者”选项卡上,在“使用者名称”中,为“类型”选择“公用名”。

  9. 在“值”中,键入为第一个远程访问服务器的网络位置服务器证书配置的完全限定域名 (FQDN)(例如,nls.corp.contoso.com),然后单击“添加”。

  10. 依次单击“确定”、“注册”和“完成”。

  11. 在证书管理单元的详细信息窗格中,通过“服务器身份验证”的“预期目的”验证是否注册了具有 FQDN 的新证书。

  12. 右键单击证书,然后单击“属性”。

  13. 在“易记名称”中,键入“网络位置证书”,然后单击“确定”。

    提示

    步骤 12 和 13 可选,但在配置远程访问时,这些步骤有助于更轻松地选择网络位置证书。

  14. 在部署中的所有远程访问服务器上重复此过程。

创建网络位置服务器 DNS 记录

  1. 在 DNS 服务器上:在“开始”屏幕上,键入 dnsmgmt.msc,然后按 Enter 键。

  2. 在“DNS 管理器”控制台的左窗格中,打开内部网络的正向查找区域。 右键单击该区域,然后单击“新建主机(A 或 AAAA)”。

  3. 在“新建主机”对话框的“名称(如果为空则使用父域名)”框中,输入第一个远程访问服务器的网络位置服务器所使用的名称。 在“IP 地址”框中,输入远程访问服务器的面向 Intranet 的 IPv4 地址,然后单击“添加主机”。 在“DNS”对话框中,单击“确定”

  4. 在“新建主机”对话框的“名称(如果为空则使用父域名)”框中,输入第一个远程访问服务器的网络位置服务器所使用的名称。 在“IP 地址”框中,输入远程访问服务器面向 Intranet 的 IPv6 地址,然后单击“添加主机”。 在“DNS”对话框中,单击“确定”

  5. 对部署中的每个远程访问服务器重复步骤 3 和 4。

  6. 单击“Done”(完成) 。

  7. 在将服务器添加为部署中的其他入口点之前,请重复此过程。

3.5. 为多站点部署配置 DirectAccess 客户端

DirectAccess Windows 客户端计算机必须是定义其 DirectAccess 关联的安全组的成员。 在启用多站点之前,这些安全组可以同时包含 Windows 8 客户端和 Windows 7 客户端(如果选择了相应的“下级”模式)。 启用多站点后,单服务器模式下的现有客户端安全组将转换为仅适用于 Windows 8 的安全组。 启用多站点后,DirectAccess Windows 7 客户端计算机必须移动到相应的专用 Windows 7 客户端安全组(与特定入口点关联),否则它们将无法通过 DirectAccess 进行连接。 必须首先从现有安全组(现在是 Windows 8 安全组)中删除 Windows 7 客户端。 警告:同时是 Windows 7 和 Windows 8 客户端安全组成员的 Windows 7 客户端计算机将失去远程连接,未安装 SP1 的 Windows 7 客户端也将失去企业连接。 因此,必须从 Windows 8 安全组中删除所有 Windows 7 客户端计算机。

从 Windows 8 安全组中删除 Windows 7 客户端

  1. 在主域控制器上,单击“开始”,然后单击“Active Directory 用户和计算机”。

  2. 要从安全组中删除计算机,请双击安全组,然后在“<Group_Name> 属性”对话框中单击“成员”选项卡。

  3. 选择 Windows 7 客户端计算机,然后单击“删除”。

  4. 重复此过程以从 Windows 8 安全组中删除 Windows 7 客户端计算机。

重要

启用远程访问多站点配置时,所有客户端计算机(Windows 7 和 Windows 8)将失去远程连接,直到它们能够直接连接到公司网络或通过 VPN 连接到公司网络以更新其组策略。 首次启用多站点功能时,以及禁用多站点功能时,都会出现这种情况。

3.6. 启用多站点部署

要配置多站点部署,请在现有远程访问服务器上启用多站点功能。 在部署中启用多站点之前,请确保具备以下信息:

  1. 全局负载平衡器设置和 IP 地址(如果要在部署中的所有入口点之间对 DirectAccess 客户端连接进行负载平衡)。

  2. 如果要为 Windows 7 客户端计算机启用远程访问,则将包含 Windows 7 客户端计算机的安全组作为部署中的第一个入口点。

  3. 组策略对象名称(如果需要使用非默认组策略对象),这些对象应用于 Windows 7 客户端计算机作为部署中的第一个入口点(如果需要支持 Windows 7 客户端计算机)。

启用多站点配置

  1. 在现有的远程访问服务器上:在“开始”屏幕上,键入 RAMgmtUI.exe,然后按 Enter 键。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 在远程访问管理控制台中,单击“配置”,然后在“任务”窗格中,单击“启用多站点”。

  3. 在“启用多站点部署”向导中的“开始之前”页面上,单击“下一步”。

  4. 在“部署名称”页面的“多站点部署名称”中,输入部署的名称。 在“第一个入口点名称”中,输入一个名称以标识作为当前远程访问服务器的第一个入口点,然后单击“下一步”。

  5. 在“入口点选择”页上,执行以下操作之一:

    • 单击“自动分配入口点并允许客户端手动选择”以自动将客户端计算机路由到最合适的入口点,同时还允许客户端计算机手动选择入口点。 手动入口点选择仅适用于 Windows 8 计算机。 单击“下一步”。

    • 单击“自动分配入口点”以自动将客户端计算机路由到最合适的入口点,然后单击“下一步”。

  6. 在“全局负载平衡”页上,执行以下操作之一:

    • 如果不想使用全局负载平衡,请单击“否,不使用全局负载平衡”,然后单击“下一步”。

      注意

      选择此选项时,客户端计算机将自动连接到最近的入口点。

    • 如果要在所有入口点之间对通信进行全局负载平衡,请单击“是,使用全局负载平衡”。 在“键入将由所有入口点使用的全局负载平衡 FQDN”中,输入全局负载平衡 FQDN,并在“键入包含第一个远程访问服务器的此入口点的全局负载平衡 IP 地址”中,输入此入口点的全球负载平衡 IP 地址,然后单击“下一步”。

  7. 在“客户端支持”页面上,执行以下操作之一:

    • 要限制对运行 Windows 8 或更高版本操作系统的客户端计算机的访问,请单击“限制对运行 Windows 8 或更高版本操作系统的客户端计算机的访问”,然后单击“下一步”。

    • 要允许运行 Windows 7 的客户端计算机访问此入口点,请单击“允许运行 Windows 7 的客户端计算机访问此入口点”,然后单击“添加”。 在“选择组”对话框中,选择包含 Windows 7 客户端计算机的安全组,单击“确定”,然后单击“下一步”。

  8. 在“客户端 GPO 设置”页上,接受此入口点的 Windows 7 客户端计算机的默认 GPO,键入要自动创建远程访问的 GPO 的名称,或者单击“浏览”找到 Windows 7 客户端计算机的 GPO,然后单击“下一步”。

    注意

    • 仅当你将入口点配置为允许 Windows 7 客户端计算机访问该入口点时,才会显示“客户端 GPO 设置”页面。
    • 你可以选择单击“验证 GPO”,以确保你对此入口点的选定 GPO 具有适当的权限。 如果 GPO 不存在并且将自动创建,则需要创建和链接权限。 在手动创建 GPO 的情况下,需要“编辑”、“修改安全性”和“删除”权限。

  9. 在“摘要”页中,单击“提交”。

  10. 在“启用多站点部署”对话框中,单击“关闭”,然后在“启用多站点部署”向导中,单击“关闭”。

Windows PowerShellWindows PowerShell 等效命令

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

在名为“Edge1-US”的第一个入口点上启用名为“Contoso”的多站点部署。 部署允许客户端手动选择入口点,并且不使用全局负载平衡器。

Enable-DAMultiSite -Name 'Contoso' -EntryPointName 'Edge1-US' -ManualEntryPointSelectionAllowed 'Enabled'

要允许 Windows 7 客户端计算机通过第一个入口点进行访问,请通过安全组 DA_Clients_US 并使用 GPO DA_W7_Clients_GPO_US。

Add-DAClient -EntrypointName 'Edge1-US' -DownlevelSecurityGroupNameList @('corp.contoso.com\DA_Clients_US') -DownlevelGpoName @('corp.contoso.com\DA_W7_Clients_GPO_US)

3.7. 向多站点部署添加入口点

在部署中启用多站点后,可以使用“添加入口点”向导添加其他入口点。 在添加入口点之前,请确保你拥有以下信息:

  • 每个新入口点的全局负载平衡器 IP 地址(如果使用全局负载平衡)。

  • 如果要为 Windows 7 客户端计算机启用远程访问,则将添加包含每个入口点的 Windows 7 客户端计算机的安全组。

  • 组策略对象名称(如果需要使用非默认组策略对象),这些对象应用于 Windows 7 客户端计算机上要添加的每个入口点(如果需要支持 Windows 7 客户端计算机)。

  • 如果在组织的网络中部署了 IPv6,则需要为新入口点准备 IP-HTTPS 前缀。

向多站点部署添加入口点

  1. 在现有的远程访问服务器上:在“开始”屏幕上,键入 RAMgmtUI.exe,然后按 Enter 键。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”

  2. 在远程访问管理控制台中,单击“配置”,然后在“任务”窗格中,单击“添加入口点”。

  3. 在“添加入口点向导”中,在“入口点详细信息”页上的“远程访问服务器”中,输入要添加的服务器的完全限定域名 (FQDN)。 在“入口点名称”中,输入入口点的名称,然后单击“下一步”。

  4. 在“全局负载平衡设置”页上,输入此入口点的全局负载平衡 IP 地址,然后单击“下一步”。

    注意

    仅当多站点配置使用全局负载平衡器时,才会显示“全局负载平衡设置”页面。

  5. 在“网络拓扑”页上,单击与你正在添加的远程访问服务器的网络拓扑相对应的拓扑,然后单击“下一步”。

  6. 在“网络名称或 IP 地址”页上的“键入客户端用来连接到远程访问服务器的公用名称或 IP 地址”中,输入客户端用来连接到远程访问服务器的公用名称。 公共名称与 IP-HTTPS 证书的主题名称相对应。 在实现了边缘网络拓扑的情况下,IP 地址是远程访问服务器的外部适配器的 IP 地址。 单击“下一步”。

  7. 在“网络适配器”页面上,执行以下操作之一:

    • 如果要部署具有双网络适配器的拓扑,请在“外部适配器”中选择连接到外部网络的适配器。 在“内部适配器”中,选择连接到内部网络的适配器。

    • 如果要部署具有一个网络适配器的拓扑,请在“网络适配器”中选择连接到内部网络的适配器。

  8. 在“网络适配器”页上的“选择用于验证 IP-HTTPS 连接的证书”中,单击“浏览”,找到并选择 IP-HTTPS 证书。 单击“下一步”。

  9. 如果在公司网络上配置了 IPv6,请在“前缀配置”页面上的“分配给客户端计算机的 IPv6 前缀”中,输入 IP-HTTPS 前缀以将 IPv6 地址分配给 DirectAccess 客户端计算机,然后单击“下一步”。

  10. 在“客户端支持”页面上,执行以下操作之一:

    • 要限制对运行 Windows 8 或更高版本操作系统的客户端计算机的访问,请单击“限制对运行 Windows 8 或更高版本操作系统的客户端计算机的访问”,然后单击“下一步”。

    • 要允许运行 Windows 7 的客户端计算机访问此入口点,请单击“允许运行 Windows 7 的客户端计算机访问此入口点”,然后单击“添加”。 在“选择组”对话框中,选择包含将连接到此入口点的 Windows 7 客户端计算机的安全组,单击“确定”,然后单击“下一步”。

  11. 在“客户端 GPO 设置”页上,接受此入口点的 Windows 7 客户端计算机的默认 GPO,键入希望“远程访问”自动创建的 GPO 的名称,或单击“浏览”找到 Windows 7 客户端计算机的 GPO,然后单击“下一步”。

    注意

    • 仅当你将入口点配置为允许 Windows 7 客户端计算机访问该入口点时,才会显示“客户端 GPO 设置”页面。
    • 你可以选择单击“验证 GPO”,以确保你对此入口点的选定 GPO 具有适当的权限。 如果 GPO 不存在并且将自动创建,则需要创建和链接权限。 在手动创建 GPO 的情况下,需要“编辑”、“修改安全性”和“删除”权限。

  12. 在“服务器 GPO 设置”页上,接受此远程访问服务器的默认 GPO,键入你希望远程访问自动创建的 GPO 的名称,或单击“浏览”找到此服务器的 GPO,然后单击“下一步”。

  13. 在“网络位置服务器”页上,单击“浏览”,为远程访问服务器上运行的网络位置服务器网站选择证书,然后单击“下一步”。

    注意

    仅当网络位置服务器网站在远程访问服务器上运行时,才会显示“网络位置服务器”页。

  14. 在“摘要”页上,查看入口点设置,然后单击“提交”。

  15. 在“添加入口点”对话框中,单击“关闭”,然后在添加入口点向导中,单击“关闭”。

    注意

    如果添加的入口点与现有入口点或客户端计算机位于不同的林中,则需要单击“任务”窗格中的“刷新管理服务器”,以在新林中查找域控制器和配置管理器。

  16. 对于要添加到多站点部署的每个入口点,从步骤 2 开始重复此过程。

Windows PowerShellWindows PowerShell 等效命令

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。

将 corp2 域中的计算机 edge2 添加为名为 Edge2-Europe 的第二个入口点。 入口点配置为:客户端 IPv6 前缀“2001:db8:2:2000::/64”、连接到地址(edge2 计算机上的 IP-HTTPS 证书)“edge2.contoso.com”、名为“DirectAccess 服务器设置 - Edge2-Europe”的服务器 GPO 以及分别名为 Internet 和 Corpnet2 的内部和外部接口:

Add-DAEntryPoint -RemoteAccessServer 'edge2.corp2.corp.contoso.com' -Name 'Edge2-Europe' -ClientIPv6Prefix '2001:db8:2:2000::/64' -ConnectToAddress 'Europe.contoso.com' -ServerGpoName 'corp2.corp.contoso.com\DirectAccess Server Settings - Edge2-Europe' -InternetInterface 'Internet' -InternalInterface 'Corpnet2'

要允许 Windows 7 客户端计算机通过第二个入口点进行访问,请通过安全组 DA_Clients_Europe 并使用 GPO DA_W7_Clients_GPO_Europe。

Add-DAClient -EntrypointName 'Edge2-Europe' -DownlevelGpoName @('corp.contoso.com\ DA_W7_Clients_GPO_Europe') -DownlevelSecurityGroupNameList @('corp.contoso.com\DA_Clients_Europe')