Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows Server 2016 en Windows Server 2012 combineren DirectAccess- en RAS-VPN (Remote Access Service) in één RAS-functie. U kunt Externe toegang implementeren in een aantal bedrijfsscenario's. Dit overzicht biedt een inleiding tot het bedrijfsscenario voor het implementeren van meerdere Remote Access-servers in een cluster met load balancing, met behulp van Windows Network Load Balancing (NLB) of met een externe load balancer (ELB), zoals F5 Big-IP.
Beschrijving van scenario
Een clusterimplementatie verzamelt meerdere RAS-servers in één eenheid, die vervolgens fungeert als één contactpunt voor externe clientcomputers die verbinding maken via DirectAccess of VPN met het interne bedrijfsnetwerk via het externe VIRTUELE IP-adres (VIP) van het RAS-cluster. Verkeer naar het cluster is taakverdeling met Windows NLB of met een externe load balancer (zoals F5 Big-IP).
Prerequisites
Bekijk deze lijst voor belangrijke vereisten voordat u begint met het implementeren van dit scenario:
Standaardtaakverdeling via Windows NLB.
Externe load balancers worden ondersteund.
Unicast-modus is de standaardmodus en aanbevolen modus voor NLB.
Het wijzigen van beleid buiten de DirectAccess-beheerconsole of PowerShell-cmdlets wordt niet ondersteund.
Wanneer NLB of een externe load balancer wordt gebruikt, kan het IPHTTPS-voorvoegsel niet worden gewijzigd in iets anders dan /59.
De knooppunten met gelijke taakverdeling moeten zich in hetzelfde IPv4-subnet bevinden.
In ELB-implementaties, als afstandsbeheer nodig is, kunnen DirectAccess-clients Teredo niet gebruiken. Alleen IPHTTPS kan worden gebruikt voor end-to-end communicatie.
Zorg ervoor dat alle bekende NLB/ELB-hotfixes zijn geïnstalleerd.
ISATAP in het bedrijfsnetwerk wordt niet ondersteund. Als u ISATAP gebruikt, moet u deze verwijderen en systeemeigen IPv6 gebruiken.
In dit scenario
Het clusterimplementatiescenario bevat een aantal stappen:
Implementeer een AlwaysOn VPN-server met geavanceerde opties. Eén RAS-server met geavanceerde instellingen moet worden geïmplementeerd voordat u een clusterimplementatie instelt.
Plan een Remote Access-clusterimplementatie. Voor het bouwen van een cluster vanaf één serverimplementatie zijn een aantal extra stappen vereist, waaronder het voorbereiden van certificaten voor de clusterimplementatie.
Configureer een cluster voor externe toegang. Dit bestaat uit een aantal configuratiestappen, waaronder het voorbereiden van de enkele server voor Windows NLB of de externe load balancer, het voorbereiden van extra servers om lid te worden van het cluster en het inschakelen van taakverdeling.
Praktische toepassingen
Het verzamelen van meerdere servers in een servercluster biedt het volgende:
Scalability. Eén RAS-server biedt een beperkt niveau van serverbetrouwbaarheid en schaalbare prestaties. Door de resources van twee of meer servers in één cluster te groeperen, verhoogt u de capaciteit voor het aantal gebruikers en de doorvoer.
Hoge beschikbaarheid. Een cluster biedt hoge beschikbaarheid voor always-on-toegang. Als één server in het cluster uitvalt, kunnen externe gebruikers toegang blijven krijgen tot het bedrijfsnetwerk via een andere server in het cluster. Alle servers in het cluster hebben dezelfde set cluster virtual IP (VIP)-adressen, terwijl er nog steeds een uniek, toegewezen IP-adres voor elke server wordt behouden.
Ease-of-management. Met een cluster kan meerdere servers als één entiteit worden beheerd. Gedeelde instellingen kunnen eenvoudig worden ingesteld op de clusterserver. Instellingen voor externe toegang kunnen worden beheerd vanaf een van de servers in het cluster of extern met behulp van Remote Server Administration Tools (RSAT). Daarnaast kan het hele cluster worden bewaakt vanuit één beheerconsole voor externe toegang.
Rollen en functies die zijn opgenomen in dit scenario
De volgende tabel bevat de rollen en functies die vereist zijn voor het scenario:
| Role/feature | Hoe dit scenario wordt ondersteund |
|---|---|
| Rol voor externe toegang | De rol wordt geïnstalleerd en verwijderd met behulp van de serverbeheerconsole. Het omvat zowel DirectAccess, die voorheen een functie was in Windows Server 2008 R2, als Routerings- en RAS-services (RRAS), die voorheen een functieservice was onder de serverfunctie Netwerkbeleid en toegangsservices (NPAS). De rol voor externe toegang bestaat uit twee onderdelen: - AlwaysOn VPN en Routing and Remote Access Services (RRAS) VPN-DirectAccess en VPN worden samen beheerd in de beheerconsole voor externe toegang. Afhankelijkheden zijn als volgt: - IIS-webserver (Internet Information Services): deze functie is vereist voor het configureren van de netwerklocatieserver en de standaardwebtest. |
| Functie voor managementhulpmiddelen voor externe toegang | Deze functie wordt als volgt geïnstalleerd: - Deze wordt standaard geïnstalleerd op een server voor Externe Toegang wanneer de rol voor Externe Toegang is geïnstalleerd en ondersteunt de gebruikersinterface van de console voor Externe Beheer. De functie Hulpprogramma's voor beheer van externe toegang bestaat uit het volgende: - EXTERNE toegang GUI en opdrachtregelprogramma's Afhankelijkheden zijn onder andere: - Console groepsbeleidsbeheer |
| Netwerktaakverdeling | Deze functie biedt taakverdeling in een cluster met Windows NLB. |
Hardwarevereisten
Hardwarevereisten voor dit scenario zijn onder andere:
Ten minste twee computers die voldoen aan de hardwarevereisten voor Windows Server 2012.
Voor het scenario externe load balancer is toegewezen hardware vereist (bijvoorbeeld F5 BigIP).
Als u het scenario wilt testen, moet u ten minste één computer met Windows 10 hebben geconfigureerd als een AlwaysOn VPN-client.
Softwarevereisten
Er zijn een aantal vereisten voor dit scenario:
Softwarevereisten voor implementatie van één server. Zie Een enkele DirectAccess-server implementeren met geavanceerde instellingen voor meer informatie. Eén externe toegang).
Naast softwarevereisten voor één server zijn er een aantal clusterspecifieke vereisten:
Op elke clusterserver moet de naam van het IP-HTTPS certificaatonderwerp overeenkomen met het ConnectTo-adres. Een clusterimplementatie ondersteunt een combinatie van wildcard- en niet-wildcardcertificaten op clusterservers.
Als de netwerklocatieserver is geïnstalleerd op de RAS-server, moet op elke clusterserver het certificaat van de netwerklocatieserver dezelfde onderwerpnaam hebben. Bovendien mag de naam van het certificaat van de netwerklocatieserver niet dezelfde naam hebben als een server in de DirectAccess-implementatie.
IP-HTTPS- en netwerklocatieservercertificaten moeten worden uitgegeven met dezelfde methode waarmee het certificaat aan de enkele server is uitgegeven. Als de enkele server bijvoorbeeld gebruikmaakt van een openbare certificeringsinstantie (CA), moeten alle servers in het cluster een certificaat hebben dat is uitgegeven door een openbare CA. Of als de enkele server gebruikmaakt van een zelfondertekend certificaat voor IP-HTTPS moeten alle servers in het cluster hetzelfde doen.
Het IPv6-voorvoegsel dat is toegewezen aan DirectAccess-clientcomputers op serverclusters, moet 59 bits zijn. Als VPN is ingeschakeld, moet het VPN-voorvoegsel ook 59 bits zijn.
Bekende problemen
Hier volgen bekende problemen bij het configureren van een clusterscenario:
Na het configureren van DirectAccess in een IPv4-only implementatie met één netwerkadapter en nadat het standaard-DNS64 (het IPv6-adres dat ':3333::' bevat) automatisch is geconfigureerd op de netwerkadapter, zorgt een poging om load balancing in te schakelen via de beheerstafel voor externe toegang ervoor dat er bij de gebruiker om een IPv6 DIP wordt gevraagd. Als er een IPv6 DIP wordt opgegeven, mislukt de configuratie nadat u op Doorvoeren met de fout hebt geklikt: de parameter is onjuist.
Ga als volgt te werk om dit probleem op te lossen:
Download de back-up- en herstelscripts van back-up en herstel van de configuratie voor externe toegang.
Maak een back-up van uw GPO's voor externe toegang met behulp van het gedownloade script Backup-RemoteAccess.ps1
Probeer load balancing in te schakelen totdat het mislukt bij een bepaalde stap. Vouw in het dialoogvenster Taakverdeling inschakelen het detailgebied uit, klik met de rechtermuisknop in het detailgebied en klik vervolgens op Script kopiëren.
Open Kladblok, en plak de inhoud van het klembord. Voorbeeld:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -VerboseSluit alle geopende dialoogvensters voor externe toegang en sluit de beheerconsole voor externe toegang.
Bewerk de geplakte tekst en verwijder de IPv6-adressen. Voorbeeld:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -VerboseVoer in een PowerShell-venster met verhoogde bevoegdheid de opdracht uit uit de vorige stap.
Als de cmdlet mislukt terwijl deze wordt uitgevoerd (niet vanwege onjuiste invoerwaarden), voert u de opdracht uit Restore-RemoteAccess.ps1 en volgt u de instructies om ervoor te zorgen dat de integriteit van de oorspronkelijke configuratie behouden blijft.
U kunt nu de beheerconsole voor externe toegang opnieuw openen.