步驟 2 規劃多站台基礎結構

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

在多站台拓撲中部署遠端存取的下一個步驟是完成多站台基礎結構規劃,包括 Active Directory、安全性群組和群組原則物件。

2.1 規劃 Active Directory

您可以在數個拓撲中設定遠端存取多站台部署:

  • 單一 Active Directory 站台,多個進入點:在此拓撲中,您的整個組織有單一的 Active Directory 站台,整個站台內有快速的內部網路連結,但您在整個組織中部署了多個遠端存取伺服器,每個伺服器都會作為進入點。 此拓撲的地理範例是美國有單一 Active Directory 站台,其進入點位於東海岸和西海岸。

    Multisite Infrastructure

  • 多個 Active Directory 站台、多個進入點:在此拓撲中,您有兩個以上的 Active Directory 站台,其中有一部遠端存取伺服器部署為每個站台的進入點。 每個遠端存取伺服器都會與站台的 Active Directory 網域控制站相關聯。 此拓撲的地理範例是美國有一個 Active Directory 站台,以及歐洲有一個 Active Directory 站台,且每個站台都有單一進入點。 請注意,如果您有多個 Active Directory 站台,則不需要有與每個站台相關聯的進入點。 此外,某些 Active Directory 站台可以有多個與其相關聯的進入點。

    Multisite Topology

在多站台進入點中,您可以設定單一遠端存取伺服器、多個遠端存取伺服器或遠端存取伺服器叢集。

Active Directory 最佳做法和建議

請注意多站台案例中 Active Directory 部署的下列建議和條件約束:

  1. 每個 Active Directory 站台都可以包含一或多部遠端存取伺服器,或伺服器叢集,作為用戶端電腦的多站台進入點。 不過,一個 Active Directory 站台不一定需要有進入點。

  2. 多站台進入點只能與單一 Active Directory 站台相關聯。 當執行 Windows 8 的用戶端電腦連線到特定進入點時,會將這些電腦視為屬於與該進入點相關聯的 Active Directory 站台。

  3. 建議每個 Active Directory 站台都有網域控制站。 網域控制站可為唯讀狀態。

  4. 如果每個 Active Directory 站台都包含網域控制站,則進入點中伺服器的 GPO 是由與端點相關聯之 Active Directory 站台中的其中一個網域控制站所管理。 如果該站台中沒有啟用寫入的網域控制站,則伺服器的 GPO 會在最接近進入點所設定之第一部遠端存取伺服器的啟用寫入網域控制站上管理。 最接近是透過連結成本計算所決定。 請注意,在此案例中,進行組態變更之後,管理 GPO 的網域控制站與伺服器 Active Directory 站台中唯讀網域控制站之間的複寫可能會有延遲。

  5. 用戶端 GPO 和選擇性應用程式伺服器 GPO 會在以主要網域控制站 (PDC) 模擬器身分執行的網域控制站上管理。 這表示用戶端 GPO 不一定會在 Active Directory 站台中管理,該站台包含用戶端連線的進入點。

  6. 如果無法連線到 Active Directory 站台的網域控制站,遠端存取伺服器將會連線到站台中的替代網域控制站 (如果有的話)。 如果沒有,它會連線至網域控制站,讓另一個站台擷取更新的 GPO 並驗證用戶端。 在這兩種情況下,遠端存取管理主控台和 PowerShell Cmdlet 都無法用來擷取或修改組態設定,直到網域控制站可用為止。 請注意以下要點:

    1. 如果以 PDC 模擬器身分執行的伺服器無法使用,則必須指定一個已更新 GPO 的可用網域控制站作為 PDC 模擬器。

    2. 如果管理伺服器 GPO 的網域控制站無法使用,請使用 Set-DAEntryPointDC PowerShell Cmdlet 將新的網域控制站與進入點產生關聯。 執行 Cmdlet 之前,新的網域控制站應該有最新的 GPO。

2.2 規劃安全性群組

在部署具有進階設定的單一伺服器期間,所有透過 DirectAccess 存取內部網路的用戶端電腦都會收集到安全性群組內。 在多站台部署中,此安全性群組僅適用於 Windows 8 用戶端電腦。 針對多站台部署,Windows 7 用戶端電腦將會針對多站台部署中的每個進入點收集到個別的安全性群組。 例如,如果您先前將所有用戶端電腦分組到群組 DA_Clients 中,則現在必須從該群組中刪除所有 Windows 7 電腦並將它們放入不同的安全性群組中。 例如,在多個 Active Directory 站台、多個進入點拓撲中,您會為美國進入點 (DA_Clients_US) 建立一個安全性群組,並為歐洲進入點建立一個安全性群組 (DA_Clients_Europe)。 將位於美國的任何 Windows 7 用戶端電腦放在 DA_Clients_US 群組中,並將任何位於歐洲的任何 Windows 7 用戶端電腦放在 DA_Clients_Europe 群組中。 如果您沒有任何 Windows 7 用戶端電腦,就不需要規劃 Windows 7 電腦的安全性群組。

必要的安全性群組如下所示:

  • 適用於所有 Windows 8 用戶端電腦的一個安全性群組。 建議為每個網域的這些用戶端建立唯一的安全性群組。

  • 包含每個進入點之 Windows 7 用戶端電腦的唯一安全性群組。 建議為每個網域建立唯一的群組。 例如:Domain1\DA_Clients_Europe;Domain2\DA_Clients_Europe;Domain1\DA_Clients_US;Domain2\DA_Clients_US。

2.3 規劃群組原則物件

在遠端存取部署期間設定的 DirectAccess 設定會收集到 GPO 中。 您的單一伺服器部署已針對 DirectAccess 用戶端、遠端存取伺服器,以及選擇性地針對應用程式伺服器使用 GPO。 多站台部署需要下列 GPO:

  • 每個進入點的伺服器 GPO。

  • 每個包含執行 Windows 8 的用戶端電腦的網域的 GPO。

  • 每個進入點和每個包含 Windows 7 用戶端電腦的網域的 GPO。

GPO 可以設定如下:

  • 自動:您可以指定 GPO 是由遠端存取自動建立。 每個 GPO 都會指定預設名稱,而且可以修改。

  • 手動:您可以使用由 Active Directory 系統管理員手動建立的 GPO。

注意

一旦設定 DirectAccess 使用特定的 GPO,就無法再設定其使用不同的 GPO。

2.3.1 自動建立的 GPO

使用自動建立的 GPO 時,請注意下列事項:

  • 自動建立的 GPO 會根據位置和連結目標參數進行套用,如下所示:

    • 如果是伺服器 GPO,位置與連結參數兩者都會指向包含遠端存取伺服器的網域。

    • 如果是用戶端 GPO,連結目標會設定為在其中建立 GPO 的網域根目錄。 系統會為每個包含用戶端電腦的網域建立 GPO,而該 GPO 會連結到每個網域的根目錄。 .

  • 針對自動建立的 GPO,若要套用 DirectAccess 設定,遠端存取伺服器系統管理員需要下列權限:

    • 必要網域的 GPO 建立權限。

    • 所有選取之用戶端網域根目錄的連結權限。

    • 如果 DirectAccess 設定為只能在攜帶型電腦上運作,則需要建立 GPO 的 WMI 篩選器權限。

    • 與進入點 (伺服器 GPO 網域) 相關聯的網域根目錄連結權限

    • 建議遠端存取系統管理員具有每個所需網域的 GPO 讀取權限。 在為多站台部署建立 GPO 時,這使「遠端存取」能夠驗證名稱重複的 GPO 並不存在。

    • 與進入點相關聯之網域的 Active Directory 複寫權限。 這是因為一開始新增進入點時,會在最接近該進入點的網域控制站上建立進入點的伺服器 GPO。 不過,由於 PDC 模擬器僅支援建立連結,因此 GPO 必須從建立 GPO 的網域控制站複寫到執行作為 PDC 模擬器的網域控制站,再建立連結。

請注意,如果沒有正確的權限來複寫和連結 GPO,系統會發出警告。 「遠端存取」操作將會繼續,但是不會進行複寫和連結。 如果發出連結警告,即使在權限到位之後,也不會自動建立連結。 系統管理員將必須改為手動建立連結。

2.3.2 手動建立的 GPO

使用手動建立的 GPO 時,請注意下列事項:

  • 應該針對多站台部署手動建立下列 GPO:

    • Server GPO:每個進入點的伺服器 GPO (位於進入點所在的網域中)。 此 GPO 將會套用於進入點中的每個遠端存取伺服器。

    • 用戶端 GPO (Windows 7):每個進入點和包含 Windows 7 用戶端電腦的每個網域的 GPO,這些用戶端電腦將會連線到多站台部署中的進入點。 例如:Domain1\DA_W7_Clients_GPO_Europe;Domain2\DA_W7_Clients_GPO_Europe;Domain1\DA_W7_Clients_GPO_US;Domain2\DA_W7_Clients_GPO_US。 如果沒有 Windows 7 用戶端電腦會連線到進入點,則不需要 GPO。

  • 不需要為 Windows 8 用戶端電腦建立其他 GPO。 部署單一遠端存取伺服器時,已建立包含用戶端電腦之每個網域的 GPO。 在多站台部署中,這些用戶端 GPO 會作為 Windows 8 用戶端的 GPO。

  • 按一下多站台部署精靈中的 [認可] 按鈕之前,GPO 應該存在。

  • 使用手動建立的 GPO 時,系統會搜尋整個網域來尋找 GPO 連結。 如果網域中未連結 GPO,則會在網域根目錄中自動建立連結。 如果沒有可建立連結的必要權限,系統就會發出警告。

  • 使用手動建立的 GPO 時,若要套用 DirectAccess 設定,遠端存取伺服器系統管理員對手動建立的 GPO 必須具有完整的 GPO 權限 (編輯、刪除、修改安全性)。

請注意,如果沒有正確的權限來複寫和連結 GPO,系統會發出警告。 「遠端存取」操作將會繼續,但是不會進行複寫和連結。 如果發出連結警告,即使在權限到位之後,也不會自動建立連結。 系統管理員將必須改為手動建立連結。

2.3.3 在多網域控制站環境中管理 GPO

每個 GPO 都是由特定的網域控制站管理,如下所示:

  • 伺服器 GPO 是由與伺服器相關聯之 Active Directory 站台中的其中一個網域控制站所管理,如果該站台中的網域控制站是唯讀的,則由最接近進入點中第一部伺服器的寫入啟用網域控制站管理。

  • 用戶端 GPO 將由執行作為 PDC 模擬器的網域控制站管理。

如果您想要手動修改 GPO 設定,請注意下列各項:

  • 針對伺服器 GPO,若要識別哪個網域控制站與特定進入點相關聯,請執行 PowerShell Cmdlet Get-DAEntryPointDC -EntryPointName <name of entry point>

  • 根據預設,當您使用網路 PowerShell Cmdlet 或群組原則管理主控台進行變更時,會使用作為 PDC 模擬器的網域控制站。

  • 如果您修改網域控制站上的設定,該網域控制站不是與進入點 (適用於伺服器 GPO) 或 PDC 模擬器 (適用於用戶端 GPO) 相關聯的網域控制站,請注意下列事項:

    1. 修改設定之前,請先確定網域控制站會使用最新的 GPO 複寫,並在進行變更之前備份 GPO 設定。 如果沒有更新 GPO,複寫時可能會發生合併衝突,導致遠端存取組態損毀。

    2. 修改設定之後,您必須等候系統將變更複寫到與 GPO 關聯的網域控制站。 在複寫完成之前,請勿使用遠端存取管理主控台或遠端存取 PowerShell Cmdlet 來進行其他變更。 如果在複寫完成之前,在兩個不同的網域控制站上編輯 GPO,可能會發生合併衝突,導致組態損毀

  • 或者,您可以使用群組原則管理主控台中的 [變更網域控制站] 對話方塊,或使用 Open-NetGPO PowerShell Cmdlet 來變更預設設定,讓使用主控台或網路 Cmdlet 所做的變更使用您指定的網域控制站。

    1. 若要在群組原則管理主控台中這麼做,請在網域或站台容器上按一下滑鼠右鍵,然後按一下 [變更網域控制站]。

    2. 若要在 PowerShell 中這麼做,請為 Open-NetGPO Cmdlet 指定 DomainController 參數。 例如,若要使用名為 europe-dc.corp.contoso.com 的網域控制站,在名為 domain1\DA_Server_GPO_Europe 的 GPO 上啟用 Windows 防火牆中的私人和公用設定檔,請執行下列動作:

      $gpoSession = Open-NetGPO -PolicyStore "domain1\DA_Server_GPO _Europe" -DomainController "europe-dc.corp.contoso.com"
Set-NetFirewallProfile -GpoSession $gpoSession -Name @("Private","Public") -Enabled True
Save-NetGPO -GpoSession $gpoSession

修改網域控制站關聯

為了保持多站台部署中的設定一致,確認每一個 GPO 都是由單一網域控制站所管理非常重要。 在某些情況下,可能需要為 GPO 指派不同的網域控制站:

  • 網域控制站維護和停機:當管理 GPO 的網域控制站無法使用時,可能需要在不同的網域控制站上管理 GPO。

  • 最佳化組態發佈:網路基礎結構變更之後,可能需要在與進入點相同的 Active Directory 站台中的網域控制站上管理進入點的伺服器 GPO。

2.4 規劃 DNS

規劃多站台部署的 DNS 時,請注意下列事項:

  1. 用戶端電腦使用 ConnectTo 位址連線到遠端存取伺服器。 部署中的每個進入點都需要不同的 ConnectTo 位址。 每個進入點 ConnectTo 位址必須在公用 DNS 中可用,且您選擇的位址必須與您為 IP-HTTPS 連線部署的 IP-HTTPS 憑證的主體名稱相符。

  2. 此外,遠端存取會強制執行對稱路由;因此,只有 Teredo 和 IP-HTTPS 用戶端可以在啟用多站台部署時連線。 若要允許原生 IPv6 用戶端連線,ConnectTo 位址 (IP-HTTPS URL) 必須解析為遠端存取伺服器上的外部 (網際網路面向) IPv6 和 IPv4 位址。

  3. 「遠端存取」會建立一個預設 Web 探查,供 DirectAccess 用戶端電腦用來確認對內部網路的連線能力。 在設定單一伺服器期間,應該已在 DNS 中註冊下列名稱:

    1. directaccess-WebProbeHost 應該解析為遠端存取伺服器的內部 IPv4 位址,或解析為僅限 IPv6 環境中的 IPv6 位址。

    2. directaccess-CorpConnectivityHost 應該解析為 localhost (loopback) 位址 (::1 或 127.0.0.1,視 IPv6 是否部署在公司網路中而定)。

    在多站台部署中,必須為每個進入點建立 directaccess-WebProbeHost 的額外 DNS 項目。 新增進入點時,遠端存取會嘗試自動建立這個額外的 directaccess-WebProbeHost 項目。 不過,如果失敗,將會顯示警告,而且您必須手動建立這個項目。

    注意

    當您的 DNS 基礎結構中啟用 DNS 清除時,建議您停用遠端存取自動建立的 DNS 項目清除功能。