Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Systemy Windows Server 2016 i Windows Server 2012 łączą funkcję DirectAccess i VPN usługi zdalnego dostępu (RAS) w jedną rolę dostępu zdalnego. Dostęp zdalny można wdrożyć w wielu scenariuszach przedsiębiorstwa. To omówienie zawiera wprowadzenie do scenariusza przedsiębiorstwa na potrzeby wdrażania wielu serwerów dostępu zdalnego w klastrze z równoważeniem obciążenia sieciowego (NLB) systemu Windows lub z zewnętrznym modułem równoważenia obciążenia (ELB), takim jak F5 Big-IP.
Opis scenariusza
Wdrożenie klastra zbiera wiele serwerów dostępu zdalnego w jedną jednostkę, która następnie działa jako pojedynczy punkt kontaktu dla zdalnych komputerów klienckich łączących się za pośrednictwem funkcji DirectAccess lub sieci VPN z wewnętrzną siecią firmową przy użyciu zewnętrznego wirtualnego adresu IP (VIP) klastra dostępu zdalnego. Ruch w klastrze jest rozkładany za pomocą Windows NLB lub zewnętrznego równoważenia obciążenia (takiego jak F5 Big-IP).
Prerequisites
Przed rozpoczęciem wdrażania tego scenariusza zapoznaj się z tą listą pod kątem ważnych wymagań:
Domyślne równoważenie obciążenia za pomocą Windows NLB.
Obsługiwane są zewnętrzne moduły równoważenia obciążenia.
Tryb unicast jest domyślnym i zalecanym trybem w Network Load Balancing (NLB).
Zmiana zasad poza konsolą zarządzania funkcji DirectAccess lub poleceniami cmdlet programu PowerShell nie jest obsługiwana.
W przypadku użycia równoważnika obciążenia sieciowego lub zewnętrznego równoważnika obciążenia prefiks IPHTTPS nie może zostać zmieniony na inny niż /59.
Węzły o zrównoważonym obciążeniu muszą znajdować się w tej samej podsieci IPv4.
Przy wdrożeniach ELB, jeśli wymagane jest zarządzanie zdalne, klienci DirectAccess nie mogą używać Teredo. Na potrzeby kompleksowej komunikacji można używać tylko protokołu IPHTTPS.
Upewnij się, że zainstalowano wszystkie znane poprawki dla równoważenia obciążenia sieciowego (NLB/ELB).
Funkcja ISATAP w sieci firmowej nie jest obsługiwana. Jeśli używasz protokołu ISATAP, usuń go i użyj natywnego protokołu IPv6.
W tym scenariuszu
Scenariusz wdrażania klastra obejmuje szereg kroków:
Wdrażanie zawsze włączonego serwera sieci VPN z opcjami zaawansowanymi. Przed skonfigurowaniem wdrożenia klastra należy wdrożyć pojedynczy serwer dostępu zdalnego z ustawieniami zaawansowanymi.
Zaplanowanie wdrożenia klastra dostępu zdalnego. Aby utworzyć klaster z wdrożenia pojedynczego serwera, wymagane jest wykonanie wielu dodatkowych kroków, w tym przygotowanie certyfikatów do wdrożenia klastra.
Skonfiguruj klaster dostępu zdalnego. Obejmuje to szereg kroków konfiguracji, w tym przygotowanie pojedynczego serwera do równoważenia obciążenia sieciowego systemu Windows lub zewnętrznego modułu równoważenia obciążenia, przygotowanie dodatkowych serwerów do przyłączenia do klastra i włączenie równoważenia obciążenia.
Zastosowania praktyczne
Zebranie wielu serwerów w klastrze serwerów zapewnia następujące elementy:
Scalability. Pojedynczy serwer dostępu zdalnego zapewnia ograniczony poziom niezawodności serwera i skalowalną wydajność. Grupując zasoby dwóch lub większej liczby serwerów w jeden klaster, zwiększasz pojemność dla liczby użytkowników i przepływności.
Wysoka dostępność. Klaster zapewnia wysoką dostępność dla nieprzerwanego dostępu. Jeśli jeden serwer w klastrze ulegnie awarii, użytkownicy zdalni będą mogli nadal uzyskiwać dostęp do sieci firmowej za pośrednictwem innego serwera w klastrze. Wszystkie serwery w klastrze mają ten sam zestaw wirtualnych adresów IP klastra (VIP), zachowując jednocześnie unikatowe, dedykowane adresy IP dla każdego serwera.
Ease-of-management. Klaster umożliwia zarządzanie wieloma serwerami jako pojedynczą jednostką. Ustawienia udostępnione można łatwo ustawić na serwerze klastra. Ustawienia dostępu zdalnego można zarządzać z dowolnego serwera w klastrze lub zdalnie przy użyciu narzędzi administracji zdalnej serwera (RSAT). Ponadto cały klaster można monitorować za pomocą jednej konsoli zarządzania dostępem zdalnym.
Role i funkcje uwzględnione w tym scenariuszu
W poniższej tabeli wymieniono role i funkcje wymagane w scenariuszu:
| Role/feature | Jak to wspiera ten scenariusz |
|---|---|
| Rola dostępu zdalnego | Rola jest instalowana i odinstalowana przy użyciu konsoli Menedżera serwera. Obejmuje zarówno funkcję DirectAccess, która była wcześniej dostępna w systemie Windows Server 2008 R2, jak i usługi routingu i zdalnego dostępu (RRAS), które były wcześniej częścią roli serwera Zasady sieciowe i dostęp (NPAS). Rola Dostępu zdalnego składa się z dwóch składników: — Funkcja Always On VPN i usługi routingu oraz zdalnego dostępu (RRAS) VPN-DirectAccess oraz sieci VPN są zarządzane razem w konsoli zarządzania dostępem zdalnym. Zależności są następujące: — Serwer sieci Web Internet Information Services (IIS) — ta funkcja jest wymagana do skonfigurowania serwera lokalizacji sieciowej i domyślnej sondy internetowej. |
| Funkcja narzędzi do zarządzania dostępem zdalnym | Ta funkcja jest zainstalowana w następujący sposób: — Jest on instalowany domyślnie na serwerze dostępu zdalnego po zainstalowaniu roli dostępu zdalnego i obsługuje interfejs użytkownika konsoli zarządzania zdalnego. Funkcja Narzędzia do zarządzania dostępem zdalnym składa się z następujących elementów: - Interfejs GUI dostępu zdalnego i narzędzia wiersza polecenia Zależności obejmują: — Konsola zarządzania zasadami grupy |
| Równoważenie obciążenia sieciowego | Ta funkcja zapewnia równoważenie obciążenia w klastrze przy użyciu Windows NLB. |
Wymagania sprzętowe
Wymagania sprzętowe dla tego scenariusza obejmują następujące elementy:
Co najmniej dwa komputery spełniające wymagania sprzętowe systemu Windows Server 2012.
W przypadku scenariusza zewnętrznego modułu równoważenia obciążenia wymagany jest dedykowany sprzęt (tj. F5 BigIP).
Aby przetestować scenariusz, musisz mieć co najmniej jeden komputer z systemem Windows 10 skonfigurowany jako zawsze włączony klient sieci VPN.
Wymagania dotyczące oprogramowania
W tym scenariuszu istnieje wiele wymagań:
Wymagania programowe dotyczące wdrożenia pojedynczego serwera. Aby uzyskać więcej informacji, zobacz Deploy a Single DirectAccess Server with Advanced Settings (Wdrażanie pojedynczego serwera funkcji DirectAccess przy użyciu ustawień zaawansowanych). Pojedynczy dostęp zdalny).
Oprócz wymagań dotyczących oprogramowania dla pojedynczego serwera istnieje wiele wymagań specyficznych dla klastra:
Na każdym serwerze klastra nazwa podmiotu certyfikatu IP-HTTPS musi być zgodna z adresem ConnectTo. Wdrożenie klastra obsługuje kombinację certyfikatów wieloznacznych i innych niż wieloznaczne na serwerach klastra.
Jeśli serwer lokalizacji sieciowej jest zainstalowany na serwerze dostępu zdalnego, na każdym serwerze klastra certyfikat serwera lokalizacji sieciowej musi mieć taką samą nazwę podmiotu. Ponadto nazwa certyfikatu serwera lokalizacji sieciowej nie może mieć takiej samej nazwy jak żaden serwer we wdrożeniu funkcji DirectAccess.
IP-HTTPS i certyfikaty serwera lokalizacji sieciowej muszą być wystawiane przy użyciu tej samej metody, z którą wystawiono certyfikat dla pojedynczego serwera. Jeśli na przykład pojedynczy serwer używa publicznego urzędu certyfikacji, wszystkie serwery w klastrze muszą mieć certyfikat wystawiony przez publiczny urząd certyfikacji. Lub jeśli jeden serwer używa certyfikatu z podpisem własnym dla IP-HTTPS wszystkie serwery w klastrze muszą zrobić podobnie.
Prefiks IPv6 przypisany do komputerów klienckich funkcji DirectAccess w klastrach serwerów musi mieć wartość 59 bitów. Jeśli sieć VPN jest włączona, prefiks sieci VPN musi również mieć wartość 59 bitów.
Znane problemy
Poniżej przedstawiono znane problemy podczas konfigurowania scenariusza klastra:
Po skonfigurowaniu DirectAccess we wdrożeniu tylko dla protokołu IPv4 za pomocą jednej karty sieciowej, a po automatycznym skonfigurowaniu domyślnego adresu DNS64 (adresu IPv6 zawierającego ":3333::") na karcie sieciowej, próba włączenia równoważenia obciążenia za pomocą konsoli zarządzania dostępem zdalnym powoduje monit, aby użytkownik podał adres DIP protokołu IPv6. Jeśli podano adres DIP protokołu IPv6, konfiguracja zakończy się niepowodzeniem po kliknięciu pozycji Zatwierdź z błędem: Parametr jest niepoprawny.
Aby rozwiązać ten problem:
Pobierz skrypty tworzenia kopii zapasowej i przywracania z Tworzenie kopii zapasowej i przywracanie konfiguracji dostępu zdalnego.
Utwórz kopię zapasową obiektów zasad grupy dostępu zdalnego przy użyciu pobranego skryptu Backup-RemoteAccess.ps1
Spróbuj włączyć równoważenie obciążenia do momentu, w którym zakończy się niepowodzeniem. W oknie dialogowym Włączanie równoważenia obciążenia rozwiń obszar szczegółów, kliknij prawym przyciskiem myszy obszar szczegółów, a następnie kliknij polecenie Kopiuj skrypt.
Otwórz Notatnik i wklej zawartość schowka. Przykład:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -VerboseZamknij wszystkie otwarte okna dialogowe Dostęp zdalny i zamknij konsolę Zarządzania dostępem zdalnym.
Edytuj wklejony tekst i usuń adresy IPv6. Przykład:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -VerboseW oknie programu PowerShell z podwyższonym poziomem uprawnień uruchom polecenie z poprzedniego kroku.
Jeśli polecenie cmdlet zakończy się niepowodzeniem podczas jego działania (nie z powodu nieprawidłowych wartości wejściowych), uruchom polecenie Restore-RemoteAccess.ps1 i postępuj zgodnie z instrukcjami, aby upewnić się, że integralność oryginalnej konfiguracji jest zachowana.
Teraz możesz ponownie otworzyć konsolę zarządzania dostępem zdalnym.