Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

Шаг 2 Настройка комплекса инфраструктуры

James McIllece|Последнее обновление: 10.03.2017
|
1 Участник

Применимо к: Windows Server 2012 R2, Windows Server 2012

Для настройки комплекса развертывания, существует ряд действий, необходимых для изменения параметров инфраструктуры сети в том числе: Настройка дополнительных Active Directory сайты и контроллеров домена, Настройка дополнительной безопасности групп и настройки объектов групповой политики (GPO), если вы не используете автоматически настроить объекты групповой политики.

ЗадачиОписание
2.1. Настройка дополнительных узлам Active DirectoryНастройка дополнительных узлам Active Directory для развертывания.
2.2. Настройка дополнительных контроллеров доменаПри необходимости настройте дополнительные контроллеры домена Active Directory.
2.3. Настроить группы безопасностиНастройте группы безопасности для клиентских компьютеров любой Windows 7.
2.4. Настройка групповой политикиПри необходимости настройте дополнительные объекты групповой политики.
Примечание

В этом разделе приведены примеры командлетов Windows PowerShell, можно использовать для автоматизации некоторых описанных процедур. Дополнительные сведения см. в разделе с помощью командлетов.

2.1. Настройка дополнительных узлам Active Directory

Все точки входа может находиться в одном сайте Active Directory. Таким образом для реализации серверы удаленного доступа в конфигурации с несколькими узлами требуется по крайней мере один сайт Active Directory. Используйте эту процедуру, если необходимо создать первый сайт Active Directory или если вы желаете использовать другие сайты Active Directory для развертывания на нескольких сайтов. Используйте оснастку «Active Directory-сайты и службы» для создания новых узлов в сети организации.

Членство в Администраторы предприятия группы в лесу или Администраторы домена группы корневого домена леса, или аналогичной по крайней мере является обязательным для выполнения этой процедуры. Подробные сведения об использовании соответствующих учетных записей и членства в группе группы домена по умолчанию и локальной.

Дополнительные сведения см. в разделе Добавление сайта в лесу.

Чтобы настроить другие сайты Active Directory

  1. На основном контроллере домена, нажмите кнопку запустить, а затем нажмите кнопку Active Directory сайты и службы.

  2. Консоль Active Directory-сайты и службы, в дереве консоли щелкните правой кнопкой мыши сайты, а затем нажмите кнопку новый узел.

  3. На новый объект - сайт диалоговое окно, в имя введите имя для нового узла.

  4. В имя ссылки, щелкните объект связи сайтов и нажмите кнопку ОК дважды.

  5. В дереве консоли разверните сайты, щелкните правой кнопкой мыши подсетии нажмите кнопку подсети новые.

  6. На новый объект - подсети диалоговое окно, в разделе префикс, введите префикса подсети IPv4 или IPv6, выберите объект сайта для этого префикса выберите сайт для связи с этой подсети, а затем щелкните ОК.

  7. Повторите шаги 5 и 6, пока не будут созданы все подсети, необходимые для развертывания.

  8. Закройте сайты и службы Active Directory.

Windows PowerShellWindows PowerShell эквивалентные команды ***

Следующие командлета Windows PowerShell командлеты выполняют ту же функцию, что и описанная выше процедура. Введите каждый командлет на отдельной строке, даже если они могут отображаться переносом строк здесь из-за ограничений форматирования.

Чтобы установить компонент «Active Directory модуль Windows PowerShell для» Windows:

Install-WindowsFeature "Name RSAT-AD-PowerShell  

или добавьте «Active Directory PowerShell оснастки «через OptionalFeatures.

Если следующий командлет в ОС Windows Server 2008 R2 или Windows 7", необходимо импортировать модуль Active Directory PowerShell:

Import-Module ActiveDirectory  

Чтобы настроить сайт Active Directory с именем «Второй-сайт», с помощью встроенных DEFAULTIPSITELINK:

New-ADReplicationSite -Name "Second-Site"  
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @{Add="Second-Site"}  

Настройка IPv4 и IPv6-адресов подсети для секунду-веб-сайта:

New-ADReplicationSubnet -Name "10.2.0.0/24" -Site "Second-Site"  
New-ADReplicationSubnet -Name "2001:db8:2::/64" -Site "Second-Site"  

2.2. Настройка дополнительных контроллеров домена

Настройка комплекса развертывания в один домен, рекомендуется иметь по крайней мере один контроллер домена для записи для каждого узла в развертывании.

Чтобы выполнить эту процедуру, по крайней мере, должен быть членом группы «Администраторы домена» в домене, в котором установлен контроллер домена.

Дополнительные сведения см. в разделе установке дополнительного контроллера домена.

Настройка дополнительных контроллеров домена

  1. На сервере, который будет служить в качестве контроллера домена, в диспетчера серверана панели, нажмите кнопку добавления ролей и компонентов.

  2. Нажмите кнопку Далее три раза, чтобы перейти к экран выбора роли сервера

  3. На Выбор ролей сервера выберите доменных служб Active Directory. Нажмите кнопку добавить компоненты при появлении запроса и нажмите кнопку Далее три раза.

  4. На Подтверждение щелкните установки.

  5. По завершении установки нажмите кнопку продвижение этого сервера к контроллеру домена.

  6. В Active Directory домена мастер конфигурации службы на конфигурации развертывания щелкните добавить контроллер домена для существующего домена.

  7. В домена, введите имя домена; Например, corp.contoso.com.

  8. В разделе предоставить учетные данные для выполнения этой операции, нажмите кнопку изменить. На безопасности Windows диалогового окна поле, предоставить имя пользователя и пароль для учетной записи, можно установить дополнительный контроллер домена. Чтобы установить дополнительный контроллер домена, необходимо быть членом группы администраторов предприятия или группы «Администраторы домена». Закончив предоставление учетных данных, нажмите кнопку Далее.

  9. На параметры контроллера домена страницы, выполните следующие действия:

    1. Выберите следующее:

      • Сервер доменных имен (DNS)«этот вариант выбран по умолчанию, чтобы ваш контроллер домена может работать в качестве сервера доменных имен (DNS). Если вы не хотите контроллером домена, чтобы быть DNS-сервер, снимите этот параметр.

        Если роль DNS-сервера не будет установлена на эмулятора основного контроллера домена (PDC) в корневого домена леса, возможность установить DNS-сервер на дополнительный контроллер домена не доступен. В качестве обходного пути в этой ситуации роль DNS-сервера можно установить до или после установки AD DS.

        Примечание

        Если выбрать параметр, чтобы установить DNS-сервер, может появиться сообщение о том, что не удалось создать делегирование DNS для DNS-сервера и, необходимо вручную создать делегирование DNS на DNS-сервер, чтобы обеспечить надежное разрешение. При установке дополнительного контроллера домена в корневого домена леса или корневого домена дерева создания делегирования DNS не нужно. В этом случае щелкните Да и игнорировать это сообщение.

      • Глобальный каталог (сборки Мусора)«этот вариант выбран по умолчанию. Он добавляет глобального каталога разделов каталога только для чтения в контроллер домена с ее помощью функции поиска глобального каталога.

      • Только для чтения домена контроллер«этот параметр не выбран по умолчанию. Она обеспечивает дополнительный контроллер домена только для чтения; то есть делает контроллер домена RODC.

    2. В имя узла, выберите сайт из списка.

    3. В разделе ввода пароля режима восстановления служб каталогов (DSRM)в пароль и подтверждение паролядважды введите надежный пароль и нажмите кнопку Далее. Этот пароль должен использоваться для запуска в режиме DSRM AD DS для задачи, которые должны выполняться в автономном режиме.

  10. На параметры DNS выберите делегирования обновления DNS флажок, если вы хотите обновить делегирования DNS во время установки роли и нажмите кнопку Далее.

  11. На Дополнительные параметры страницы, введите или перейдите в расположение тома и папку для файла базы данных, файлы журнала службы каталогов и файлы системного тома (SYSVOL). Укажите требуемые параметры репликации и нажмите кнопку Далее.

  12. На просмотрите параметры просмотрите параметры установки и нажмите кнопку Далее.

  13. На Проверка обязательных компонентов страницы, после проверки компонентов щелкните установить.

  14. Дождитесь завершения работы мастера конфигурации и нажмите кнопку закрыть.

  15. Перезагрузите компьютер, если его не удалось перезапустить автоматически.

2.3. Настроить группы безопасности

Комплекса развертывание требует группу дополнительной безопасности для клиентских компьютеров Windows 7 для каждой точки входа в развертывания, который позволяет получить доступ к клиентским компьютерам Windows 7. Если имеется несколько доменов, содержащий Windows 7 клиентских компьютеров, рекомендуется создать группу безопасности в каждом домене одной точкой входа. Кроме того можно использовать один универсальной группой безопасности с клиентских компьютеров из обоих доменов. Например в среде с помощью двух доменов, если вы хотите разрешить доступ к Windows 7 клиентских компьютеров в точки входа 1 и 3, но не в запись 2 последовательно выберите создать два новых групп безопасности содержат клиентские компьютеры Windows 7 для каждой точки входа в доменах.

Чтобы настроить дополнительными группами безопасности

  1. На основном контроллере домена, нажмите кнопку запустить, а затем нажмите кнопку Active Directory — пользователи и компьютеры.

  2. В дереве консоли щелкните правой кнопкой мыши папку, в которой вы хотите добавить новую группу, например, corp.contoso.com/Users. Наведите курсор на пункт создать, а затем нажмите кнопку группы.

  3. На новый объект - группа диалоговое окно, в разделе имя группы, введите имя новой группы, например, Win7_Clients_Entrypoint1.

  4. В разделе группы области, нажмите кнопку универсальнойв разделе группу, тип, нажмите кнопку безопасностии нажмите кнопку ОК.

  5. Добавление компьютеров в новую группу безопасности, дважды щелкните группу безопасности и на < имя_группы > свойства диалоговое окно, щелкните элементы вкладку.

  6. На элементы щелкните добавить.

  7. Выберите компьютеры Windows 7, чтобы добавить в эту группу безопасности и нажмите кнопку ОК.

  8. Повторите эту процедуру, чтобы создать группу безопасности для каждой точки входа при необходимости.

Windows PowerShellWindows PowerShell эквивалентные команды ***

Следующие командлета Windows PowerShell командлеты выполняют ту же функцию, что и описанная выше процедура. Введите каждый командлет на отдельной строке, даже если они могут отображаться переносом строк здесь из-за ограничений форматирования.

Чтобы установить компонент «Active Directory модуль Windows PowerShell для» Windows:

Install-WindowsFeature "Name RSAT-AD-PowerShell  

или добавьте «Active Directory PowerShell оснастки «через OptionalFeatures.

Если следующий командлет в ОС Windows Server 2008 R2 или Windows 7", необходимо импортировать модуль Active Directory PowerShell:

Import-Module ActiveDirectory  

Чтобы настроить группу безопасности, с именем Win7_Clients_Entrypoint1 и добавить клиентский компьютер с именем КЛИЕНТ2:

New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1  
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$  

2.4. Настройка групповой политики

Комплекса развертывания удаленного доступа требуются следующие объекты групповой политики:

  • Объект групповой Политики для каждой точки входа для сервера удаленного доступа.

  • Объект групповой Политики для любого клиентского компьютера Windows 8 для каждого домена.

  • Объект групповой Политики в каждом домене, который содержит клиентские компьютеры Windows 7 для каждой точки входа настроен для поддержки Windows 7 клиентов.

    Примечание

    Если у вас все клиентские компьютеры Windows 7, вам не нужно для создания объектов групповой политики для Windows 7 для компьютеров.

При настройке удаленного доступа, мастер автоматически создает необходимые объекты групповой политики, если они еще не существует. Если у вас необходимые разрешения для создания объектов групповой политики, они должны создаваться до Настройка удаленного доступа. DirectAccess администратор должен иметь разрешения на объекты групповой политики (редактирование + изменение параметров безопасности + delete).

Важно

После создания объектов групповой политики для удаленного доступа вручную необходимо разрешить достаточно времени для Active Directory и репликации распределенной файловой системы на контроллере домена на сайте Active Directory, который связан с сервера удаленного доступа. Если удаленный доступ автоматически создается объекты групповой политики, не время ожидания не требуется.

Чтобы создать объекты групповой политики, в разделе создавать и редактировать объект групповой политики.

Обслуживание контроллера домена и продолжительности простоев

Когда на контроллере домена под управлением роль эмулятора основного контроллера домена или контроллеры домена управления объектами групповой политики сервера возникают простоя, не позволяет загружать и изменять параметры удаленного доступа. Это не влияет на подключение клиента Если доступны другие контроллеры домена.

Чтобы загрузить или изменять параметры удаленного доступа, передачи роль эмулятора основного контроллера домена другой контроллер домена для клиента или сервера приложений GPO; для сервера объектов групповой политики измените к контроллерам домена, управлять сервером объектов групповой политики.

Важно

Эта операция может выполняться только администратор домена. Влияние изменения основного контроллера домена не ограничен удаленного доступа; Поэтому необходимо соблюдайте осторожность при передаче роль эмулятора основного контроллера домена.

Примечание

Прежде чем изменить сопоставление контроллер домена, убедитесь, что все объекты групповой политики в развертывании удаленного доступа реплицированы на все контроллеры домена в домене. Если объект групповой Политики не синхронизированы, последние изменения конфигурации могут быть потеряны после изменения сопоставлений контроллер домена, что может привести к поврежденной конфигурации. Проверка синхронизации объекта групповой Политики, в разделе Проверка состояния инфраструктуры групповой политики.

Чтобы передать роль эмулятора основного контроллера домена

  1. На запустить введитеdsa.msc, а затем нажмите клавишу ВВОД.

  2. Щелкните правой кнопкой мыши в области слева на консоли Active Directory — пользователи и компьютеры Active Directory — пользователи и компьютеры, а затем нажмите кнопку Изменение контроллера домена. В диалоговом окне Смена каталог сервера щелкните этот контроллер домена или экземпляр AD LDS, в списке выберите контроллер домена, который будет передана роль и нажмите кнопку ОК.

    Примечание

    Необходимо выполнить этот шаг, если вы не на контроллере домена, к которому вы хотите передачи роли. Не выполняйте этот шаг, если вы уже подключены к контроллеру домена, к которому вы хотите передачи роли.

  3. В дереве консоли щелкните правой кнопкой мыши Active Directory — пользователи и компьютеры, наведите курсор на пункт все задачи, а затем нажмите кнопку хозяин.

  4. В диалоговом окне Хозяева операций щелкните PDC, а затем щелкните изменить.

  5. Нажмите кнопку Да для подтверждения передачи роли, а затем нажмите кнопку закрыть.

Чтобы изменить контроллер домена, который управляет сервер объектов групповой политики

  • Запустите командлет Windows PowerShell HYPERLINK "http://technet.microsoft.com/en-us/library/hh918412.aspx" Set-DAEntryPointDCна сервере удаленного доступа и укажите имя контроллер домена недоступен для ExistingDC параметра. Эта команда изменяет связь контроллера домена объектов групповой политики на сервере точек входа, которые в настоящее время управляются этот контроллер домена.

    • Заменить контроллер домена недоступен «dc1.corp.contoso.com» на контроллере домена «dc2.corp.contoso.com», выполните следующие действия.

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "NewDC 'dc2.corp.contoso.com' "ErrorAction Inquire  
      
    • Чтобы заменить контроллер домена недоступен «dc1.corp.contoso.com» на контроллере домена в ближайшем сайте Active Directory на сервер удаленного доступа «DA1.corp.contoso.com», сделайте следующее:

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire  
      

Изменение две или несколько контроллеров домена, управлять объектами групповой политики сервера

Минимальное количество случаев две или несколько контроллеров домена, управлять объектами групповой политики сервера недоступны. В этом случае для изменения объектов групповой политики на сервере связь контроллера домена требуются дополнительные действия.

Сведения о сопоставлении контроллер домена, хранятся в реестре серверы удаленного доступа и все объекты групповой политики сервера. В следующем примере, существует две точки входа с помощью двух серверы удаленного доступа, «DA1» в «1» и «DA2» точка входа в «Точка входа 2». Сервер объекта групповой Политики «Точки входа 1» осуществляется в контроллере домена «DC1», пока сервер групповой Политики из» точка входа 2" осуществляется в контроллер домена «DC2». «DC1» и «DC2» недоступны. Третий контроллер домена по-прежнему доступен в домене, «DC3» и «DC3» уже был реплицироваться данные от «DC1» и «DC2».

Настройка комплекса инфраструктуры

Чтобы изменить две или несколько контроллеров домена, управлять объектами групповой политики сервера
  1. Чтобы заменить контроллер домена недоступен «DC2» контроллер домена «DC3», запустите следующую команду:

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue  
    

    Эта команда обновляет домена контроллер связь «Точка входа 2» на сервере групповой Политики в реестре DA2 и на сервере «Точка входа 2» групповой Политики. Однако сервера «Точка входа 1» групповой Политики не обновляет недоступности контроллера домена, который управляет его.

    Совет

    Эта команда используется значение продолжить для ErrorAction параметр, который обновляет сервер «Точка входа 2» групповой Политики, несмотря на невозможность обновления сервера «Точка входа 1» групповой Политики.

    Итоговый конфигурация показана на схеме ниже.

    Windows PowerShell

  2. Чтобы заменить контроллер домена недоступен «DC1» контроллер домена «DC3», запустите следующую команду:

    Set-DAEntryPointDC "ExistingDC 'DC1' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue  
    

    Эта команда обновляет связь контроллер домена для «Точка входа 1» групповой Политики в реестре DA1 и «Точка входа 1» и «Точка входа 2» сервера объектов групповой политики. Итоговый конфигурация показана на схеме ниже.

    Windows PowerShell

  3. Для синхронизации связь контроллер домена для сервера «Точка входа 2» групповой Политики на сервере «Точка входа 1» групповой Политики, чтобы заменить «DC2 «с «DC3» и укажите сервер которого групповой Политики не синхронизирована, в этом случае сервер удаленного доступа, выполните команду «DA1» для имя_компьютера параметра.

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA1' "ErrorAction Continue  
    

    Окончательный конфигурация показана на схеме ниже.

    Windows PowerShell

Оптимизация распространения конфигурации

При внесении изменений в конфигурацию, изменения применяются только в том случае, если сервер объектов групповой политики распространяются на серверы удаленного доступа. Чтобы сократить время распространения настройки, удаленный доступ автоматически выбирает записи контроллеру домена это ГИПЕРССЫЛКИ «http://technet.microsoft.com/en-us/library/cc978016.aspx» наиболее близким к серверу удаленного доступа, при создании его сервера объект групповой Политики.

В некоторых случаях он может потребоваться вручную изменить контроллер домена, который управляет сервер групповой Политики для оптимизировать время распространения конфигурации:

  • Во время его добавления в качестве точки входа не были ни одного контроллера домена для записи на сайт Active Directory, сервера удаленного доступа. Контроллер домена с возможностью записи сейчас, добавляемого на сайт Active Directory, сервера удаленного доступа.

  • Изменение адреса IP или изменении Active Directory-сайты и подсети был перемещен сервера удаленного доступа на сайт Active Directory.

  • Связь контроллер домена для точки входа вручную изменен из-за работ на контроллере домена, и теперь контроллер домена не доступен.

В этих сценариях запустите командлет PowerShell Set-DAEntryPointDCна сервере удаленного доступа и укажите имя точки входа, вы хотите оптимизировать с помощью параметра EntryPointName. Это следует делать только после GPO данных на контроллере домена, в настоящее время хранения сервера групповой Политики была уже полностью репликации нужный новый контроллер домена.

Примечание

Прежде чем изменить сопоставление контроллер домена, убедитесь, что все объекты групповой политики в развертывании удаленного доступа реплицированы на все контроллеры домена в домене. Если объект групповой Политики не синхронизированы, последние изменения конфигурации могут быть потеряны после изменения сопоставлений контроллер домена, что может привести к поврежденной конфигурации. Проверка синхронизации объекта групповой Политики, в разделе Проверка состояния инфраструктуры групповой политики.

Для оптимизации распределения время настройки, выполните одно из следующих действий:

  • Для управления сервером GPO записи, выберите пункт «Точка входа 1» на контроллере домена в ближайшем сайте Active Directory на сервер удаленного доступа «DA1.corp.contoso.com», выполните следующую команду:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire  
    
  • Для управления сервером GPO записи, выберите пункт «Точка входа 1» на контроллере домена «dc2.corp.contoso.com», выполните следующую команду:

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "NewDC 'dc2.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire  
    
    Примечание

    При изменении контроллер домена, связанных с конкретной записи точкой, необходимо указать сервер удаленного доступа, который является членом этой точки входа для имя_компьютера параметра.

См. также:

© 2017 Microsoft