手順 2 は、マルチサイトのインフラストラクチャを構成します。

  • [アーティクル]

適用先: Windows Server 2022、Windows Server 2019、Windows Server 2012 R2、Windows Server 2012

マルチサイト展開を構成するのには、いくつかの手順を含むネットワーク インフラストラクチャの設定を変更する必要があります。 その他の Active Directory を構成するサイトとドメイン コント ローラーで、追加のセキュリティ グループを構成すると、自動的に使用しない場合は、グループ ポリシー オブジェクト (Gpo) を構成する構成 Gpo です。

タスク 説明
2.1. 追加の Active Directory サイトを構成する 展開用に追加の Active Directory サイトを構成します。
2.2. 追加のドメイン コントローラーを構成する 必要に応じて、追加の Active Directory ドメイン コントローラーを構成します。
2.3. セキュリティ グループを構成する Windows 7 クライアント コンピューターのセキュリティ グループを構成します。
2.4. GPO を構成する 必要に応じてその他のグループ ポリシー オブジェクトを構成します。

注意

このトピックでは、説明した手順の一部を自動化するのに使用できる Windows PowerShell コマンドレットのサンプルを示します。 詳細については、「コマンドレットの使用」を参照してください。

2.1. 追加の Active Directory サイトを構成する

すべてのエントリ ポイントは、単一の Active Directory サイトに配置できます。 したがって、マルチサイト構成でリモート アクセス サーバーを実装するには、少なくとも 1 つの Active Directory サイトが必要です。 最初の Active Directory サイトを作成する必要がある場合、またはマルチサイト展開用に追加の Active Directory サイトを使用する場合は、この手順を使用します。 Active Directory サイトを使用して、サービス スナップインを使用して、組織の"s network に新しいサイトの作成します。

メンバーシップ、 Enterprise Admins グループ、または Domain Admins 、フォレスト ルート ドメインには、少なくともそれと同等のグループがこの手順を実行するために必要なです。 適切なアカウントの使用方法の詳細を確認し、グループ メンバーシップ ローカルおよびドメインの既定のグループします。

詳細については、次を参照してください。 フォレストにサイトを追加するです。

追加の Active Directory サイトを構成するには

  1. プライマリ ドメイン コント ローラーで、次のようにクリックします。 開始, 、クリックして Active Directory サイトとサービスします。

  2. コンソール ツリーで、Active Directory サイトとサービス コンソールで、右クリック サイト, 、クリックして 新しいサイトします。

  3. 新しいオブジェクト - サイト ダイアログ ボックスで、 名前 ボックスで、新しいサイトの名前を入力します。

  4. リンク名, をサイト リンク オブジェクトをクリックして、クリックして OK 2 回クリックします。

  5. コンソール ツリーで [ サイト, を右クリックして サブネット, 、クリックして 新しいサブネットします。

  6. 新しいオブジェクト - サブネット ダイアログ ボックスで、 プレフィックス, 、IPv4 または IPv6 サブネットのプレフィックスを入力、 このプレフィックスのサイト オブジェクトを選択して ] をクリックして、このサブネットに関連付けるサイトをクリックして [ok]します。

  7. 展開に必要なすべてのサブネットを作成するまで、手順 5 と 6 を繰り返します。

  8. [Active Directory サイトとサービス] を閉じます。

Windows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

Windows の「Windows PowerShell 用 Active Directory モジュール」機能をインストールするには。

Install-WindowsFeature "Name RSAT-AD-PowerShell

または、「Active Directory PowerShell スナップイン」OptionalFeatures を使用して追加します。

Windows 7 または Windows Server 2008 R2 で次のコマンドレットを実行する場合、Active Directory PowerShell モジュールをインポートする必要があります。

Import-Module ActiveDirectory

Active Directory サイトを構成するには、"秒-"を使用してサイト組み込み DEFAULTIPSITELINK という名前。

New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @{Add="Second-Site"}

Second-Site 用に IPv4 と IPv6 のサブネットを構成するには、次のようにします。

New-ADReplicationSubnet -Name "10.2.0.0/24" -Site "Second-Site"
New-ADReplicationSubnet -Name "2001:db8:2::/64" -Site "Second-Site"

2.2. 追加のドメイン コントローラーを構成する

1 つのドメインでマルチサイト展開を構成する場合、展開のサイトごとに 1 つ以上の書き込み可能なドメイン コントローラーを使用することをお勧めします。

この手順を実行するには、少なくとも、ドメイン コントローラーをインストールする先のドメインのドメイン管理者グループのメンバーである必要があります。

詳細については、次を参照してください。 追加のドメイン コント ローラーをインストールするです。

追加のドメイン コントローラーを構成するには

  1. ドメイン コント ローラーとして機能するサーバーで サーバー マネージャー, の ダッシュ ボード, 、] をクリックして 役割と機能の追加します。

  2. クリックして サーバーの役割の選択画面に 3 回

  3. [サーバーの役割 ] ページで選択 Active Directory ドメイン サービスします。 クリックして 機能の追加 ] し、順にクリックして 3 回です。

  4. [確認] ページで [インストール] をクリックします。

  5. インストールが正常に完了すると、クリックして このサーバーをドメイン コント ローラーを昇格します。

  6. Active Directory ドメイン サービス構成ウィザード、[、 展開構成 ] ページで [ ドメイン コント ローラーを既存のドメインに追加します。

  7. ドメイン, 、ドメインを入力する名前。 たとえば、corp.contoso.com です。

  8. この操作を実行する資格情報を提供, をクリックして 変更します。 Windows セキュリティ ] ダイアログ ボックスで、追加のドメイン コント ローラーをインストールできるアカウントのユーザー名とパスワードを入力します。 追加のドメイン コントローラーをインストールするには、Enterprise Admins グループまたは Domain Admins グループのメンバーである必要があります。 資格情報を入力し終わったら、[次へ] をクリックします。

  9. ドメイン コント ローラー オプション ] ページで、次の操作します。

    1. 次の選択を行います。

      • ドメイン ネーム システム (DNS) サーバー"は、このオプションは、ドメイン コント ローラーがドメイン ネーム システム (DNS) サーバーとして機能できるようにに既定で選択されます。 ドメイン コントローラーを DNS サーバーとして使用しない場合はオフにします。

        フォレスト ルート ドメインのプライマリ ドメイン コントローラー (PDC) エミュレーターに、DNS サーバーの役割がインストールされていない場合、追加のドメイン コントローラーに DNS サーバーをインストールするオプションは利用できません。 この状況では、回避策としては、AD DS のインストールの前後に DNS サーバーの役割をインストールできます。

        注意

        DNS サーバーをインストールするオプションを選択すると、DNS サーバーへの DNS 委任を作成できなかったこと、および信頼できる名前解決のために、DNS サーバーへの DNS 委任を手動で作成する必要があることを示すメッセージを受け取る場合があります。 フォレスト ルート ドメインまたはツリー ルート ドメインに追加のドメイン コントローラーをインストールする場合、DNS 委任を作成する必要はありません。 この場合は、クリックして はい と、メッセージは無視します。

      • グローバル カタログ (GC)"既定ではこのオプションを選択します。 これにより、グローバル カタログ、読み取り専用ディレクトリ パーティションがドメイン コントローラーに追加され、グローバル カタログ検索機能が有効になります。

      • 読み取り専用ドメイン コント ローラー (RODC)"既定では、このオプションが選択されていません。 これにより、追加のドメイン コントローラーは読み取り専用になります。つまり、ドメイン コントローラーは RODC になります。

    2. サイト名, 、一覧からサイトを選択します。

    3. ディレクトリ サービス復元モード (DSRM) パスワードを入力して, で、 パスワードパスワードの確認入力, 2 回、強力なパスワードを入力し、[クリックして します。 このパスワードは、AD DS を DSRM でオフライン実行しなければならないタスクの開始に使用する必要があります。

  10. DNS オプション ] ページで、[、 DNS 委任 チェック ボックスをクリックして、役割のインストール中に DNS 委任を更新する場合 します。

  11. 追加のオプション ページで入力するか、データベース ファイル、ディレクトリ サービスのログ ファイルとシステム ボリューム (SYSVOL) ファイルのボリュームとフォルダーの場所に移動します。 必要に応じて、レプリケーションのオプションを指定し、クリックして します。

  12. オプションの確認] ページで、インストール オプションを確認し、をクリックして します。

  13. 前提条件の確認 ページで、前提条件が検証されたら、をクリックして インストールします。

  14. クリックして、ウィザードには、構成が完了するまで待機 閉じるします。

  15. コンピューターが自動的に再起動しなかった場合は、再起動します。

2.3. セキュリティ グループを構成する

マルチサイト展開では、Windows 7 クライアント コンピューターへのアクセスを許可する展開のすべてのエントリ ポイントの Windows 7 クライアント コンピューター用に追加のセキュリティ グループが必要です。 Windows 7 クライアント コンピューターを含むドメインが複数ある場合、各ドメインで同じエントリ ポイントのセキュリティ グループを作成することをお勧めします。 また、両方のドメインのクライアント コンピューターを含む 1 つのユニバーサル セキュリティ グループも使用できます。 たとえば、2 つのドメインがある環境で、エントリ ポイント 1 と 3 で Windows 7 クライアント コンピューターへのアクセスを許可し、エントリ ポイント 2 では許可しない場合、2 つの新しいセキュリティ グループを作成し、各ドメインのエントリ ポイントごとに Windows 7 クライアント コンピューターを含めます。

追加のセキュリティ グループを構成するには

  1. プライマリ ドメイン コント ローラーで、次のようにクリックします。 開始, 、クリックして Active Directory ユーザーとコンピューターします。

  2. コンソール ツリーで、新しいグループを追加する先のフォルダー (たとえば、corp.contoso.com/Users) を右クリックします。 [新規作成] をポイントし、[グループ] をクリックします。

  3. 新しいオブジェクト - グループ ダイアログ ボックスで、 グループ名, 、Win7_Clients_Entrypoint1 など、新しいグループの名前を入力します。

  4. [ グループのスコープ, 、] をクリックして ユニバーサル, [ グループの種類, 、] をクリックして セキュリティ, 、順にクリック OKします。

  5. 新しいセキュリティ グループにコンピューターを追加するには、[<Group_Name> のプロパティ] ダイアログ ボックスで、[メンバー] タブをクリックします。

  6. [メンバー] タブで [追加] をクリックします。

  7. このセキュリティ グループに追加する Windows 7 コンピューターを選択し、[OK] をクリックします。

  8. 必要に応じてこの手順を繰り返して、すべてのエントリ ポイント用のセキュリティ グループを作成します。

Windows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

Windows の「Windows PowerShell 用 Active Directory モジュール」機能をインストールするには。

Install-WindowsFeature "Name RSAT-AD-PowerShell

または、「Active Directory PowerShell スナップイン」OptionalFeatures を使用して追加します。

Windows 7 または Windows Server 2008 R2 で次のコマンドレットを実行する場合、Active Directory PowerShell モジュールをインポートする必要があります。

Import-Module ActiveDirectory

Win7_Clients_Entrypoint1 という名前のセキュリティ グループを構成し、CLIENT2 という名前のクライアント コンピューターを追加するには、次のようにします。

New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2$

2.4. GPO を構成する

リモート アクセスのマルチサイト展開では、次のグループ ポリシー オブジェクトが必要です。

  • リモート アクセス サーバーのすべてのエントリ ポイントの GPO。

  • ドメインごとに、Windows 8 クライアント コンピューター用の GPO です。

  • エントリ ポイントごとの Windows 7 クライアント コンピューターを含む各ドメインで GPO サポート Windows 7 に、クライアントが構成されています。

    注意

    Windows 7 クライアント コンピューターがない場合、Windows 7 コンピューター用の GPO を作成する必要はありません。

リモート アクセスを構成するときに自動的に作成、必要なグループ ポリシー オブジェクト"t が存在ない場合します。 グループ ポリシー オブジェクトの作成に必要なアクセス許可がない場合、は、リモート アクセスを構成する前に作成する必要があります。 DirectAccess 管理者には、GPO のすべてのアクセス許可 (編集 + セキュリティの変更 + 削除) が必要です。

重要

リモート アクセス用の GPO を手動で作成した後、リモート アクセス サーバーに関連付けられている Active Directory サイト内のドメイン コントローラーへの Active Directory と DFS のレプリケーションのために、十分な時間を確保する必要があります。 リモート アクセスが自動的にグループ ポリシー オブジェクトを作成する場合は、待機時間もする必要はありません。

グループ ポリシー オブジェクトを作成するを参照してください。 を作成し、グループ ポリシー オブジェクトを編集します。

ドメイン コントローラーのメンテナンスとダウンタイム

PDC エミュレーターとして実行されているドメイン コントローラー、またはサーバー GPO を管理するドメイン コントローラーでダウンタイムが発生した場合、リモート アクセス構成を読み込むこと、または変更することができなくなります。 他のドメイン コントローラーが使用可能な場合、これはクライアント接続には影響しません。

リモート アクセス構成を読み込むため、または変更するために、PDC エミュレーターの役割を、クライアントまたはアプリケーション サーバー GPO 用の別のドメイン コントローラーに転送できます。サーバー GPO の場合、サーバー GPO を管理するドメイン コントローラーを変更します。

重要

この操作は、ドメイン管理者だけが実行できます。 プライマリ ドメイン コントローラーを変更した場合、その影響はリモート アクセス以外にも及びます。そのため、PDC エミュレーターの役割を転送する場合は注意が必要です。

注意

ドメイン コントローラーの関連付けを変更する前に、リモート アクセス展開のすべての GPO がドメイン内のすべてのドメイン コントローラーにレプリケートされていることを確認してください。 GPO が同期されていない場合、ドメイン コントローラーの関連付けを変更した後に、最新の構成の変更が失われる可能性があります。その結果、構成が破損する可能性があります。 GPO の同期を確認するを参照してください。 グループ ポリシー インフラストラクチャの状態を確認します。

PDC エミュレーターの役割を転送するには

  1. 開始 画面で「dsa.msc, 、ENTER キーを押します。

  2. Active Directory ユーザーとコンピューター コンソールの左側のウィンドウで右クリック Active Directory ユーザーとコンピューター, 、クリックして ドメイン コント ローラーの変更します。 ディレクトリ サーバーの変更] ダイアログ ボックスで、をクリックして このドメイン コント ローラーまたは AD LDS インスタンス, で、一覧には、新しい役割の所有者とする] をクリックし、ドメイン コント ローラーが] をクリックして OKします。

    注意

    ロールを転送する先のドメイン コントローラーに接続していない場合、この手順を実行する必要があります。 ロールを転送する先のドメイン コントローラーに既に接続している場合、この手順は実行しないでください。

  3. コンソール ツリーで、右クリック Active Directory ユーザーとコンピューター, 、] をポイント すべてのタスク, 、クリックして 操作マスターします。

  4. [操作マスター] ダイアログ ボックスをクリックして、 PDC タブをクリックし、をクリックし、 変更します。

  5. をクリックして はい クリックして、役割を転送することを確認する 閉じるします。

サーバー GPO を管理するドメイン コントローラーを変更するには

  • リモート アクセス サーバーで Windows PowerShell コマンドレット Set-DAEntryPointDC を実行し、ExistingDC パラメーターに、到達できないドメイン コントローラーの名前を指定します。 このコマンドにより、ドメイン コントローラーが現在管理しているエントリ ポイントのサーバー GPO のそのドメイン コントローラーの関連付けが変更されます。

    • "Dc1.corp.contoso.com"到達できないドメイン コント ローラーをドメイン コント ローラー"dc2.corp.contoso.com"で置き換えるには、次の操作を行います。

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "NewDC 'dc2.corp.contoso.com' "ErrorAction Inquire

    • 到達できないドメイン コント ローラー"dc1.corp.contoso.com"を"DA1.corp.contoso.com"のリモート アクセス サーバーに最も近い Active Directory サイト内のドメイン コント ローラーで置き換えるには、次の操作を行います。

      Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

サーバー GPO を管理する 2 つ以上のドメイン コントローラーを変更する

最小限の数の場合、サーバー GPO を管理する 2 つ以上のドメイン コントローラーは使用できません。 この場合、サーバー GPO のドメイン コントローラーの関連付けを変更するには、追加の手順が必要です。

ドメイン コントローラーの関連付け情報は、リモート アクセス サーバーのレジストリとすべてのサーバー GPO の両方に保存されます。 次の例では、リモート アクセス サーバーを 2 つ、"DA1"の 2 つのエントリ ポイントにある"内のエントリ ポイント 1" と"DA2"「エントリ ポイントの 2」です。 サーバーの GPO の中にドメイン コント ローラー"DC1"で「エントリ ポイント 1」のサーバーの GPO を管理する"エントリ ポイント 2"、"DC2"ドメイン コント ローラーで管理します。 "DC1"と"DC2"の両方は使用できません。 3 番目のドメイン コント ローラーは、まだ使用できるがドメインに"DC3"と"DC1"と"DC2"からのデータが既にレプリケートされている"DC3"にします。

Configure Multisite Infrastructure

サーバー GPO を管理する 2 つ以上のドメイン コントローラーを変更するには

  1. "DC2"使用不能なドメイン コント ローラーをドメイン コント ローラー"DC3"で置き換えるには、次のコマンドを実行します。

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    このコマンドは、「エントリ ポイント 2」サーバーのレジストリに GPO のドメイン コント ローラー アソシエーション DA2 のおよび「エントリ ポイント 2 の」サーバー自体の GPO を更新します。ただしは更新されません「エントリ ポイント 1 の」サーバーの GPO によって管理されるドメイン コント ローラーが使用できないためです。

    ヒント

    このコマンドの続行値を使用して、 ErrorAction パラメーターで、「エントリ ポイント 1 の」サーバー GPO の更新の失敗に関係なく、「エントリ ポイント 2」サーバーの GPO を更新します。

    次の図は、結果の構成を示しています。

    Diagram showing the resulting configuration.

  2. "DC1"使用不能なドメイン コント ローラーをドメイン コント ローラー"DC3"で置き換えるには、次のコマンドを実行します。

    Set-DAEntryPointDC "ExistingDC 'DC1' "NewDC 'DC3' "ComputerName 'DA2' "ErrorAction Continue

    このコマンドは、「エントリ ポイント 1」のサーバー GPO や、「エントリ ポイント 1」、「エントリ ポイント 2 の」DA1 のレジストリでサーバーの Gpo のドメイン コント ローラーの関連付けを更新します。 次の図は、結果の構成を示しています。

    Diagram showing the update to th domain controller association.

  3. 「エントリ ポイント 1 の」サーバー"DC3"と"DC2"を置換し、サーバーが GPO は同期されていません。 ここでは、リモート アクセス サーバーを指定するコマンドを実行している GPO 内の"エントリ ポイント 2"サーバー GPO のドメイン コント ローラーの関連付けを同期する"DA1"用、 ComputerName パラメーター。

    Set-DAEntryPointDC "ExistingDC 'DC2' "NewDC 'DC3' "ComputerName 'DA1' "ErrorAction Continue

    次の図は、最終的な構成を示しています。

    Diagram showing the final configuration.

構成配布の最適化

構成を変更すると、その変更は、サーバー GPO がリモート アクセス サーバーに伝達された後でのみ適用されます。 構成の配布時間を短縮するために、リモート アクセスでは、サーバー GPO の作成時に、リモート アクセス サーバーに最も近い、書き込み可能なドメイン コントローラーが自動的に選択されます。

一部のシナリオでは、構成の配布時間を最適化するために、サーバー GPO を管理するドメイン コントローラーを手動で変更する必要があります。

  • エントリ ポイントとしてドメイン コントローラーを追加した時点では、リモート アクセス サーバーの Active Directory サイト内に書き込み可能なドメイン コントローラーは存在していなかった。 これから書き込み可能なドメイン コントローラーを、リモート アクセス サーバーの Active Directory サイトに追加する。

  • IP アドレスの変更、または Active Directory サイトおよびサブネットの変更によって、リモート アクセス サーバーが別の Active Directory サイトに移動された可能性がある。

  • ドメイン コントローラーのメンテナンス作業により、エントリ ポイントのドメイン コントローラーの関連付けが手動で変更された。これからドメイン コントローラーをオンラインに戻す。

これらのシナリオでは、PowerShell コマンドレットを実行 Set-DAEntryPointDC リモート アクセス サーバーで、パラメーターを使用して最適化するために必要なエントリ ポイントの名前を指定して EntryPointNameします。 これは、サーバー GPO を現在保存しているドメイン コントローラーから目的の新しいドメイン コントローラーに GPO データが完全にレプリケートされた後でのみ行う必要があります。

注意

ドメイン コントローラーの関連付けを変更する前に、リモート アクセス展開のすべての GPO がドメイン内のすべてのドメイン コントローラーにレプリケートされていることを確認してください。 GPO が同期されていない場合、ドメイン コントローラーの関連付けを変更した後に、最新の構成の変更が失われる可能性があります。その結果、構成が破損する可能性があります。 GPO の同期を確認するを参照してください。 グループ ポリシー インフラストラクチャの状態を確認します。

構成の配布時間を最適化するには、次のいずれかの操作を行います。

  • サーバーを管理するには、エントリの GPO ポイント「エントリ ポイント 1 の」最も近い Active Directory サイト内のドメイン コント ローラーを次のコマンドを実行するリモート アクセス サーバー"DA1.corp.contoso.com"。

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

  • サーバーを管理するには、エントリの GPO ポイント「エントリ ポイント 1」、ドメイン コント ローラー"dc2.corp.contoso.com"、次のコマンドを実行します。

    Set-DAEntryPointDC "EntryPointName 'Entry point 1' "NewDC 'dc2.corp.contoso.com' "ComputerName 'DA1.corp.contoso.com' "ErrorAction Inquire

    注意

    特定のエントリ ポイントに関連付けられているドメイン コント ローラーを変更する際の場合は、そのエントリ ポイントのメンバーであるリモート アクセス サーバーを指定する必要があります、 ComputerName パラメーター。