Share via

步驟 2:設定多站台基礎結構

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2012 R2、Windows Server 2012

若要設定多站台部署,修改網路基礎結構設定需要一些步驟,包括:設定其他 Active Directory 站台和網域控制站、設定其他安全性群組,以及如果您未使用自動設定的 GPO,請設定群組原則物件 (GPO)。

Task 描述
2.1. 設定其他 Active Directory 站台 設定部署的其他 Active Directory 站台。
2.2. 設定其他網域控制站 視需要設定其他 Active Directory 網域控制站。
2.3. 設定安全性群組 設定任何 Windows 7 用戶端電腦的安全性群組。
2.4. 設定 GPO 視需要設定其他群組原則物件。

注意

本主題包含可讓您用來將部分所述的程序自動化的 Windows PowerShell Cmdlet 範例。 如需詳細資訊,請參閱使用 Cmdlet.

2.1. 設定其他 Active Directory 站台

所有進入點都可以位於單一 Active Directory 站台中。 因此,在多站台設定中實作遠端存取伺服器時,至少需要一個 Active Directory 站台。 如果您需要建立第一個 Active Directory 站台,或想要針對多站台部署使用其他 Active Directory 站台,請使用此程序。 使用 Active Directory 站台及服務嵌入式管理單元,在組織的網路中建立新的站台。

若要完成此程序,至少需要樹系中的 Enterprise Admins 群組成員資格或樹系根網域中的 Domain Admins 群組成員資格或同等權限。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。

如需詳細資訊,請參閱將站台新增至樹系

若要設定其他 Active Directory 站台

  1. 在主要網域控制站上,按一下 [啟動],然後按一下 [Active Directory 站台和服務]

  2. 在 [Active Directory 站台及服務] 主控台的主控台樹狀目錄中,於 [站台] 上按一下滑鼠右鍵,然後按一下 [新增站台]

  3. 在 [新增物件 - 站台] 對話方塊的 [名稱] 方塊中 ,輸入新站台的名稱。

  4. 在 [連結名稱] 中,按一下站台連結物件,然後按兩下 [確定]

  5. 在主控台樹狀目錄中,展開 [站台],於 [子網路] 上按一下滑鼠右鍵,然後按一下 [新增子網路]

  6. 在 [新增物件 - 子網路] 對話方塊的 [前置詞] 底下,輸入 IPv4 或 IPv6 子網路前置詞,在 [選取此前置詞的站台物件] 清單中,按一下要與此子網路建立關聯的站台,然後按一下 [確定]

  7. 重複步驟 5 和 6,直到您已建立部署所需的所有子網路為止。

  8. 關閉 [Active Directory 站台及服務]。

Windows PowerShell 同等的命令

下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。

若要安裝 Windows 功能「適用於 Windows PowerShell 的 Active Directory 模組」:

Install-WindowsFeature "Name RSAT-AD-PowerShell

或透過 OptionalFeatures 新增「Active Directory PowerShell 嵌入式管理單元」。

如果在 Windows 7 或 Windows Server 2008 R2 上執行下列 Cmdlet,則必須匯入 Active Directory PowerShell 模組:

Import-Module ActiveDirectory

若要使用內建 DEFAULTIPSITELINK 來設定名為 "Second-Site" 的 Active Directory 站台:

New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @{Add="Second-Site"}

若要為第二站台設定 IPv4 和 IPv6 子網路:

New-ADReplicationSubnet -Name "10.2.0.0/24" -Site "Second-Site"
New-ADReplicationSubnet -Name "2001:db8:2::/64" -Site "Second-Site"

2.2. 設定其他網域控制站

若要在單一網域中設定多站台部署,建議您針對部署中的每個站台至少有一個可寫入的網域控制站。

若要執行此程序,您至少必須是要安裝網域控制站之網域中的 Domain Admins 群組成員。

如需詳細資訊,請參閱安裝其他網域控制站

若要設定其他網域控制站

  1. 在將作為網域控制站的伺服器上,在 [伺服器管理員] 的 [儀表板] 上,按一下 [新增角色和功能]

  2. 按 [下一步] 三次,進入伺服器角色選擇畫面

  3. 在 [選取伺服器角色] 頁面上,選取 Active Directory Domain Services。 出現提示時,按一下 [新增功能],然後按 [下一步] 三次。

  4. 在 [確認] 頁面上,按一下 [安裝]

  5. 安裝成功完成時,按一下 [將此伺服器升級為網域控制站]

  6. 在 [Active Directory Domain Services 設定精靈] 的 [部署設定] 頁面上,按一下 [將網域控制站新增至現有網域]

  7. 在 [網域] 中,輸入網域名稱;例如,corp.contoso.com。

  8. 在 [提供認證來執行此作業] 底下,按一下 [變更]。 在 [Windows 安全性] 對話方塊中,提供可安裝其他網域控制站之帳戶的使用者名稱和密碼。 若要安裝其他網域控制站,您必須是 Enterprise Admins 群組或 Domain Admins 群組的成員。 完成提供認證之後,按 [下一步]

  9. 在 [網域控制站選項] 頁面上,執行下列動作:

    1. 選取下列項目:

      • 網域名稱系統 (DNS) 伺服器:預設會選取這個選項,這樣網域控制站即可當作網域名稱系統 (DNS) 伺服器。 如果您不要讓網域控制站當做 DNS 伺服器,請取消選取此選項。

        如果樹系根網域的網域主控站 (PDC) 模擬器上未安裝 DNS 伺服器角色,則無法使用在其他網域控制站上安裝 DNS 伺服器的選項。 在此情況下,您可以在 AD DS 安裝之前或之後安裝 DNS 伺服器角色,以作為因應措施。

        注意

        如果您選取安裝 DNS 伺服器的選項,您可能會收到訊息,指出無法建立 DNS 伺服器的 DNS 委派,而且您應該手動建立 DNS 伺服器的 DNS 委派,以確保可靠的名稱解析。 如果您要在樹系根網域或樹狀目錄網域中安裝其他的網域控制站,則不需要建立 DNS 委派。 在此情況下,按一下 [是] 並忽略訊息。

      • 通用類別目錄 (GC):預設會選取此選項。 它會新增通用類別目錄,唯讀目錄磁碟分割至網域控制站,並啟用通用類別目錄搜尋功能。

      • 唯讀網域控制站 (RODC):預設不會選取此選項。 它會讓其他網域控制站成為唯讀的;也就是說,它會讓網域控制站成為 RODC。

    2. 在 [站台名稱] 中,從清單中選取站台。

    3. 在 [輸入目錄服務還原模式 (DSRM) 密碼] 底下,於 [密碼] 和 [確認密碼] 中輸入強式密碼兩次,然後按 [下一步]。 針對必須離線執行的工作,必須使用這個密碼在 DSRM 中啟動 AD DS。

  10. 如果您想要在角色安裝期間更新 DNS 委派,請在 [DNS 選項] 頁面上選取 [更新 DNS 委派] 核取方塊,然後按 [下一步]

  11. 在 [其他選項] 頁面上,輸入或瀏覽至資料庫檔案的磁碟區和資料夾位置、目錄服務記錄檔,以及系統磁碟區 (SYSVOL) 檔案。 視需要指定複寫選項,然後按 [下一步]

  12. 在 [檢閱選項] 頁面上,檢閱安裝選項,然後按 [下一步]

  13. 在 [必要條件檢查] 頁面上,在驗證必要條件之後,按一下 [安裝]

  14. 等候精靈完成設定,然後按一下 [關閉]

  15. 如果電腦未自動重新,請重新啟動電腦。

2.3. 設定安全性群組

對於允許存取 Windows 7 用戶端電腦的部署中的每個進入點,多站台部署都需要 Windows 7 用戶端電腦的其他安全性群組。 如果有多個網域包含 Windows 7 用戶端電腦,建議在每個網域中為相同的進入點建立安全性群組。 或者,可以使用一個包含來自這兩個網域之用戶端電腦的通用安全性群組。 例如,在具有兩個網域的環境中,如果您想要允許存取進入點 1 和 3 中的 Windows 7 用戶端電腦,但不允許存取進入點 2 中的 Windows 7 用戶端電腦,那麼請建立兩個新的安全性群組,以包含每個網域中每個進入點的 Windows 7 用戶端電腦。

若要設定其他安全性群組

  1. 在主要網域控制站上,按一下 [啟動],然後按一下 [Active Directory 使用者和電腦]

  2. 在主控台樹狀目錄中,以滑鼠右鍵按一下您要在其中新增群組的資料夾,例如 corp.contoso.com/Users。 指向 [新增],然後按一下 [群組]

  3. 在 [新增物件 - 群組] 對話方塊的 [群組名稱] 底下,輸入新群組的名稱,例如Win7_Clients_Entrypoint1。

  4. 在 [群組範圍] 下方按一下 [通用],並在 [群組類型] 下方按一下 [安全性],然後按一下 [確定]

  5. 若要將電腦新增至新的安全性群組,請按兩下安全性群組,然後在 [Group_Name 屬性]<> 對話方塊中,按一下 [成員] 索引標籤。

  6. 在 [成員] 索引標籤上,按一下 [新增]

  7. 選取要新增至此安全性群組的 Windows 7 電腦,然後按一下 [確定]

  8. 重複此程序,視需要為每個進入點建立安全性群組。

Windows PowerShell 同等的命令

下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。

若要安裝 Windows 功能「適用於 Windows PowerShell 的 Active Directory 模組」:

Install-WindowsFeature "Name RSAT-AD-PowerShell

或透過 OptionalFeatures 新增「Active Directory PowerShell 嵌入式管理單元」。

如果在 Windows 7 或 Windows Server 2008 R2 上執行下列 Cmdlet,則必須匯入 Active Directory PowerShell 模組:

Import-Module ActiveDirectory

若要設定名為 Win7_Clients_Entrypoint1 的安全性群組,並新增名為 CLIENT2 的用戶端電腦:

New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$

2.4. 設定 GPO

多站台遠端存取部署需要下列群組原則物件:

  • 遠端存取伺服器每個進入點的 GPO。

  • 每個網域之任何 Windows 8 用戶端電腦的 GPO。

  • 每個網域中的 GPO,其中包含每個設定為支援 Windows 7 用戶端之進入點的 Windows 7 用戶端電腦。

    注意

    如果您沒有任何 Windows 7 用戶端電腦,就不需要為 Windows 7 電腦建立 GPO。

當您設定遠端存取時,精靈會自動建立必要的群組原則物件 (若尚未建立)。 如果您沒有可建立群組原則物件 (GPO) 的必要權限,則必須先建立這些權限,再設定「遠端存取」。 DirectAccess 系統管理員必須擁有 GPO 的完整權限 (編輯 + 修改安全性 + 刪除)。

重要

手動建立用於遠端存取的 GPO 後,必須留出足夠的時間將 Active Directory 和 DFS 複寫到與遠端存取伺服器關聯的 Active Directory 網站中的網域控制站。 如果遠端存取自動建立群組原則物件,則不需要等候時間。

若要建立群組原則物件,請參閱建立和編輯群組原則物件

網域控制站的維護和停機

當以 PDC 模擬器身分執行的網域控制站,或管理伺服器 GPO 的網域控制站發生停機時,無法載入或修改遠端存取設定。 如果有其他網域控制站可用,這不會影響用戶端連線能力。

若要載入或修改遠端存取設定,您可以將 PDC 模擬器角色傳輸到用戶端或應用程式伺服器 GPO 的不同網域控制站;若為伺服器 GPO,請變更管理伺服器 GPO 的網域控制站。

重要

此作業只能由網域系統管理員執行。 變更主要網域控制站的影響不限於遠端存取;因此,轉移 PDC 模擬器角色時,請小心。

注意

在修改網域控制站關聯之前,請確定遠端存取部署中的所有 GPO 都已複寫到網域中的所有網域控制站。 如果 GPO 未同步處理,修改網域控制站關聯之後,可能會遺失最近的組態變更,這可能會導致組態損毀。 若要確認 GPO 同步,請參閱檢查群組原則基礎結構狀態

若要轉移 PDC 模擬器角色

  1. 在 [開始] 畫面上,輸入 dsa.msc,然後按 ENTER。

  2. 在 Active Directory 使用者和電腦主控台的左窗格中,以滑鼠右鍵按一下 [Active Directory 使用者和電腦],然後按一下 [變更網域控制站]。 在 [變更目錄伺服器] 對話方塊中,按一下 [此網域控制站] 或 [AD LDS 執行個體],在清單中按一下將成為新角色持有者的網域控制站,然後按一下 [確定]

    注意

    如果您不在要轉移角色的網域控制站上,則必須執行此步驟。 如果您已經連線到要轉移角色的網域控制站,請勿執行此步驟。

  3. 在主控台樹狀目錄中,以滑鼠右鍵按一下 [Active Directory 使用者和電腦],指向 [所有工作],然後按一下 [操作主機]

  4. 在 [操作主機] 對話方塊中,按一下 [PDC] 索引標籤,然後按一下 [變更]

  5. 按一下 [是] 以確認您想要轉移角色,然後按一下 [關閉]

若要變更管理伺服器 GPO 的網域控制站

  • 在遠端存取伺服器上執行 Windows PowerShell Cmdlet Set-DAEntryPointDC,並為 ExistingDC 參數指定無法連線的網域控制站名稱。 此命令會修改目前由該網域控制站所管理之進入點之伺服器 GPO 的網域控制站關聯。

    • 若要將無法連線的網域控制站 "dc1.corp.contoso.com" 取代為網域控制站 "dc2.corp.contoso.com",請執行下列動作:

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "NewDC 'dc2.corp.contoso.com' "ErrorAction Inquire

    • 若要將無法連線的網域控制站 "dc1.corp.contoso.com" 取代為最接近遠端存取伺服器 "DA1.corp.contoso.com" 的 Active Directory 站台中的網域控制站,請執行下列動作:

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

變更管理伺服器 GPO 的兩個或多個網域控制站

在極少數情況下,有兩個或多個管理伺服器 GPO 的網域控制站無法使用。 如果發生這種情況,則需要執行更多步驟,才能變更伺服器 GPO 的網域控制站關聯。

網域控制站關聯資訊會同時儲存在遠端存取伺服器的登錄和所有伺服器 GPO 中。 在下列範例中,有兩個進入點具有兩個遠端存取伺服器:"Entry point 1" 中的 "DA1" 和 "Entry point 2" 中的 "DA2"。 "Entry point 1" 的伺服器 GPO 是在網域控制站 "DC1" 中管理,而 "Entry point 2" 的伺服器 GPO 則是在網域控制站 "DC2" 中管理。 "DC1" 和 "DC2" 都無法使用。 網域中仍然提供第三個網域控制站 "DC3",且來自 "DC1" 和 "DC2" 的資料已複寫到 "DC3"。

Configure Multisite Infrastructure

變更管理伺服器 GPO 的兩個或多個網域控制站

  1. 若要將無法使用的網域控制站 "DC2" 取代為網域控制站 "DC3",請執行下列命令:

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    此命令會更新 DA2 登錄中 "Entry point 2" 伺服器 GPO 的網域控制站關聯,以及 "Entry point 2" 伺服器 GPO 本身;不過,它不會更新 "Entry point 1" 伺服器 GPO,因為管理它的網域控制站無法使用。

    提示

    此命令使用 ErrorAction 參數的 Continue 值,即使無法更新 "Entry point 1" 伺服器 GPO,仍會更新 "Entry point 2" 伺服器 GPO。

    下圖顯示產生的組態。

    Diagram showing the resulting configuration.

  2. 若要將無法使用的網域控制站 "DC1" 取代為網域控制站 "DC3",請執行下列命令:

    Set-DAEntryPointDC "ExistingDC 'DC1' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    此命令會更新 DA1 登錄中 "Entry point 1" 伺服器 GPO 的網域控制站關聯,以及 "Entry point 1" 和 "Entry point 2" 伺服器 GPO。 下圖顯示產生的組態。

    Diagram showing the update to th domain controller association.

  3. 若要同步處理 "Entry point 1" 伺服器 GPO 中 "Entry point 2" 伺服器 GPO 的網域控制站關聯,請執行命令將 "DC2" 取代為 "DC3",並為 ComputerName 參數指定伺服器 GPO 未同步處理的遠端存取伺服器,在本例中為“DA1”。

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA1' "ErrorAction Continue

    下圖顯示最終組態。

    Diagram showing the final configuration.

最佳化組態發佈

進行組態變更時,只有在伺服器 GPO 傳播至遠端存取伺服器之後,才會套用變更。 為了減少組態發佈時間,遠端存取會在建立其伺服器 GPO 時,自動選取最接近遠端存取伺服器的可寫入網域控制站。

在某些情況下,可能需要手動修改管理伺服器 GPO 的網域控制站,才能最佳化組態發佈時間:

  • 在將它新增為進入點時,遠端存取伺服器的 Active Directory 站台中沒有可寫入的網域控制站。 可寫入的網域控制站現在已新增至遠端存取伺服器的 Active Directory 站台。

  • IP 位址變更,或 Active Directory 站台和子網路變更可能已將遠端存取伺服器移至不同的 Active Directory 站台。

  • 由於網域控制站上的維護工作,所以已手動修改進入點的網域控制站關聯,現在網域控制站已重新上線。

在這些案例中,請在遠端存取伺服器上執行 PowerShell Cmdlet Set-DAEntryPointDC ,並使用參數 EntryPointName指定您要最佳化之進入點的名稱。 只有在目前儲存伺服器 GPO 的網域控制站的 GPO 資料已完全複寫到所需的新網域控制站之後,才應該執行此動作。

注意

在修改網域控制站關聯之前,請確定遠端存取部署中的所有 GPO 都已複寫到網域中的所有網域控制站。 如果 GPO 未同步處理,修改網域控制站關聯之後,可能會遺失最近的組態變更,這可能會導致組態損毀。 若要確認 GPO 同步,請參閱檢查群組原則基礎結構狀態

若要最佳化組態發佈時間,請執行下列其中一項:

  • 若要管理距離遠端存取伺服器 "DA1.corp.contoso.com" 最近的 Active Directory 站台中的網域控制站上進入點 "Entry point 1" 的伺服器 GPO,請執行下列命令:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

  • 若要管理網域控制站 "dc2.corp.contoso.com" 上進入點 "Entry point 1" 的伺服器 GPO,請執行下列命令:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "NewDC 'dc2.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

    注意

    修改與特定進入點相關聯的網域控制站時,您必須為 ComputerName 參數指定屬於該進入點成員的遠端存取伺服器。