Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Następnym krokiem jest zaplanowanie konfiguracji równoważenia obciążenia i wdrożenia klastra.
| Task | Description |
|---|---|
| 3.1 Planowanie równoważenia obciążenia | Zdecyduj, czy używać równoważenia obciążenia sieciowego systemu Windows (NLB), czy zewnętrznego modułu równoważenia obciążenia (ELB). |
| Plan IP-HTTPS | Jeśli certyfikat z podpisem własnym nie jest używany, serwer dostępu zdalnego wymaga certyfikatu SSL na każdym serwerze w klastrze, aby uwierzytelnić IP-HTTPS połączenia. |
| 3.3 Planowanie połączeń klienckich sieci VPN | Zwróć uwagę na wymagania dotyczące połączeń klienckich sieci VPN. |
| 3.4 Planowanie serwera lokalizacji sieciowej | Jeśli witryna internetowa serwera lokalizacji sieciowej jest hostowana na serwerze dostępu zdalnego, a certyfikat z podpisem własnym nie jest używany, upewnij się, że każdy serwer w klastrze ma certyfikat serwera w celu uwierzytelnienia połączenia z witryną internetową. |
3.1 Planowanie równoważenia obciążenia
Dostęp zdalny można wdrożyć na jednym serwerze lub w klastrze serwerów dostępu zdalnego. Ruch do klastra może być zrównoważony, aby zapewnić wysoką dostępność i skalowalność dla klientów DirectAccess. Dostępne są dwie opcje równoważenia obciążenia:
Windows NLB - Windows NLB to funkcja serwera systemu Windows. Aby go używać, nie wymagasz dodatkowego sprzętu, ponieważ wszystkie serwery w klastrze są odpowiedzialne za zarządzanie obciążeniem ruchem. Równoważenie obciążenia sieciowego (NLB) systemu Windows obsługuje maksymalnie osiem serwerów w klastrze zdalnego dostępu.
Zewnętrzny moduł równoważenia obciążenia wymaga użycia sprzętu zewnętrznego do zarządzania obciążeniem ruchu między serwerami klastra dostępu zdalnego. Ponadto użycie zewnętrznego modułu równoważenia obciążenia obsługuje maksymalnie 32 serwery dostępu zdalnego w klastrze. Niektóre kwestie, o których należy pamiętać podczas konfigurowania zewnętrznego równoważenia obciążenia, to:
Administrator musi upewnić się, że wirtualne adresy IP skonfigurowane za pomocą kreatora równoważenia obciążenia dostępu zdalnego są używane na zewnętrznych urządzeniach do równoważenia obciążenia (takich jak system F5 Big-Ip Local Traffic Manager). Po włączeniu zewnętrznego równoważenia obciążenia, adresy IP na interfejsach zewnętrznych i wewnętrznych zostaną promowane do wirtualnych adresów IP i muszą być skonfigurowane na modułach równoważenia obciążenia. Dzieje się tak, aby administrator nie musiał zmieniać wpisu DNS dla publicznej nazwy wdrożenia klastra. Ponadto punkty końcowe tunelu IPsec pochodzą z adresów IP serwera. Jeśli administrator udostępnia oddzielne wirtualne adresy IP, klient nie będzie mógł nawiązać połączenia z serwerem. Zobacz przykład konfigurowania funkcji DirectAccess z zewnętrznym równoważeniem obciążenia w przykładzie konfiguracji zewnętrznego modułu równoważenia obciążenia w wersji 3.1.1.
Wiele zewnętrznych urządzeń do równoważenia obciążenia (w tym F5) nie obsługuje równoważenia obciążenia dla 6to4 i ISATAP. Jeśli serwer dostępu zdalnego jest routerem ISATAP, funkcja ISATAP powinna zostać przeniesiona na inny komputer. Ponadto, gdy funkcja ISATAP znajduje się na innym komputerze, serwery funkcji DirectAccess muszą mieć natywną łączność IPv6 z routerem ISATAP. Należy pamiętać, że ta łączność powinna być obecna przed skonfigurowaniem funkcji DirectAccess.
W przypadku zewnętrznego równoważenia obciążenia, jeśli Teredo musi być używane, wszystkie serwery dostępu zdalnego muszą mieć dwa kolejne publiczne adresy IPv4 jako dedykowane IP. Wirtualne adresy IP klastra muszą również mieć dwa kolejne publiczne adresy IPv4. Nie dotyczy to Windows NLB, gdzie tylko wirtualne adresy IP klastra muszą mieć dwa kolejne publiczne adresy IPv4. Jeśli teredo nie jest używany, dwa kolejne adresy IP nie są wymagane.
Administrator może przełączyć się z Windows NLB do zewnętrznego mechanizmu równoważenia obciążenia i na odwrót. Należy pamiętać, że administrator nie może przełączyć się z zewnętrznego modułu równoważenia obciążenia do równoważenia obciążenia sieciowego systemu Windows, jeśli ma więcej niż 8 serwerów we wdrożeniu zewnętrznego modułu równoważenia obciążenia.
3.1.1 Przykład konfiguracji zewnętrznego modułu równoważenia obciążenia
W tej sekcji opisano kroki konfiguracji umożliwiające włączenie zewnętrznego modułu równoważenia obciążenia w nowym wdrożeniu dostępu zdalnego. W przypadku korzystania z zewnętrznego modułu równoważenia obciążenia klaster dostępu zdalnego może wyglądać podobnie do poniższego, gdzie serwery dostępu zdalnego są połączone z siecią firmową za pośrednictwem modułu równoważenia obciążenia w sieci wewnętrznej oraz do Internetu za pośrednictwem modułu równoważenia obciążenia połączonego z siecią zewnętrzną:
Informacje o planowaniu
Zewnętrzne adresy VIP (adresy IP, których klient będzie używać do łączenia się z dostępem zdalnym) zostały ustalone jako 131.107.0.102, 131.107.0.103.
Moduł równoważenia obciążenia w sieci zewnętrznej — 131.107.0.245 (Internet), 131.107.1.245
Sieć obwodowa (nazywana również strefą zdemilitaryzowaną i strefą DMZ) jest między modułem równoważenia obciążenia w sieci zewnętrznej a serwerem dostępu zdalnego.
Adresy IP serwera dostępu zdalnego w sieci obwodowej — 131.107.1.102, 131.107.1.103
Adresy IP serwera dostępu zdalnego w sieci ELB (tj. między serwerem dostępu zdalnego a modułem równoważenia obciążenia w sieci wewnętrznej) — 30.11.1.101, 2006:2005:11:1::101
Moduł równoważenia obciążenia w sieci wewnętrznej — 30.11.1.245 2006:2005:11:1::245 (ELB), 30.1.1.245 2006:2005:1:1::245 (Corpnet)
Wewnętrzne adresy VIP (adresy IP używane do sondowania sieci Web klienta i serwera lokalizacji sieciowej, jeśli są zainstalowane na serwerach dostępu zdalnego) zostały ustalone jako 30.1.1.10, 2006:2005:1:1::10
Steps
Skonfiguruj zewnętrzną kartę sieciową serwera dostępu zdalnego (połączoną z siecią obwodową) z adresami 131.107.0.102, 131.107.0.103. Ten krok jest wymagany, aby konfiguracja funkcji DirectAccess wykryła poprawne punkty końcowe tunelu IPsec.
Skonfiguruj wewnętrzną kartę sieciową serwera dostępu zdalnego (połączoną z siecią ELB) z adresami IP serwera lokalizacji sieciowej/detektora aktywności sieciowej (30.1.1.10, 2006:2005:1:1::10). Ten krok jest wymagany, aby umożliwić klientom dostęp do adresu IP sondy webowej, dzięki czemu asystent łączności sieciowej dokładnie wskazuje stan połączenia z DirectAccess. Ten krok umożliwia również dostęp do serwera lokalizacji sieci, jeśli jest on skonfigurowany na serwerze DirectAccess.
Note
Upewnij się, że kontroler domeny jest osiągalny z serwera dostępu zdalnego z tą konfiguracją.
Skonfiguruj pojedynczy serwer funkcji DirectAccess na serwerze dostępu zdalnego.
Włącz zewnętrzne równoważenie obciążenia w konfiguracji funkcji DirectAccess. Użyj adresu 131.107.1.102 jako zewnętrznego dedykowanego adresu IP (DIP) (adres 131.107.1.103 zostanie wybrany automatycznie), a adresów 30.11.1.101, 2006:2005:11:1::101 jako wewnętrznych dedykowanych adresów IP (DIP).
Skonfiguruj zewnętrzne wirtualne adresy IP (VIP) na zewnętrznym systemie równoważenia obciążenia o adresach 131.107.0.102 i 131.107.0.103. Ponadto skonfiguruj wewnętrzne VIP-y na zewnętrznym równoważniku obciążenia, przy użyciu adresów 30.1.1.10 i 2006:2005:1:1::10.
Serwer dostępu zdalnego zostanie teraz skonfigurowany przy użyciu planowanych adresów IP, a zewnętrzne i wewnętrzne adresy IP klastra zostaną skonfigurowane zgodnie z zaplanowanymi adresami IP.
Plan IP-HTTPS
Wymagania dotyczące certyfikatu — podczas wdrażania pojedynczego serwera dostępu zdalnego wybranego do używania certyfikatu IP-HTTPS wystawionego przez publiczny lub wewnętrzny urząd certyfikacji (CA) albo certyfikat z podpisem własnym. W przypadku wdrożenia klastra należy użyć identycznego typu certyfikatu w każdym elemencie członkowskim klastra dostępu zdalnego. Oznacza to, że w przypadku użycia certyfikatu wystawionego przez publiczny urząd certyfikacji (zalecane) należy zainstalować certyfikat wystawiony przez publiczny urząd certyfikacji na każdym elemencie członkowskim klastra. Nazwa podmiotu nowego certyfikatu powinna być identyczna z nazwą podmiotu certyfikatu IP-HTTPS aktualnie używanego w Twoim wdrożeniu. Należy pamiętać, że jeśli używasz certyfikatów z podpisem własnym, zostaną one automatycznie skonfigurowane na każdym serwerze podczas wdrażania klastra.
Wymagania dotyczące prefiksu - Remote Access umożliwia równoważenie obciążenia ruchu opartego na protokole SSL i ruchu funkcji DirectAccess. Aby równoważyć obciążenie całego ruchu DirectAccess opartego na protokole IPv6, Zdalny dostęp musi dokładnie zbadać tunelowanie IPv4 dla wszystkich technologii przejściowych. Ponieważ IP-HTTPS ruchu jest szyfrowany, badanie zawartości tunelu IPv4 nie jest możliwe. Aby umożliwić równoważenie obciążenia IP-HTTPS ruchu, należy przydzielić wystarczająco szeroki prefiks IPv6, aby można było przypisać inny prefiks IPv6 /64 do każdego elementu członkowskiego klastra. W klastrze o zrównoważonym obciążeniu można skonfigurować maksymalnie 32 serwery; dlatego należy określić prefiks /59. Ten prefiks musi być routowalny do wewnętrznego adresu IPv6 klastra dostępu zdalnego, a jego konfiguracja odbywa się w Kreatorze instalacji serwera dostępu zdalnego.
Note
Wymagania dotyczące prefiksu są istotne tylko w sieci wewnętrznej z włączoną obsługą protokołu IPv6 (tylko protokół IPv6 lub IPV4+IPv6). W sieci firmowej IPv4 prefiks klienta jest konfigurowany automatycznie i administrator nie może go zmienić.
3.3 Planowanie połączeń klienckich sieci VPN
Istnieje wiele zagadnień dotyczących połączeń klienckich sieci VPN:
Nie można zrównoważyć obciążenia ruchu klienta sieci VPN, jeśli adresy klientów sieci VPN są przydzielane przy użyciu protokołu DHCP. Wymagana jest pula adresów statycznych.
Usługę RRAS można włączyć w klastrze o zrównoważonym obciążeniu, który został wdrożony tylko dla funkcji DirectAccess, przy użyciu opcji Włącz sieć VPN w okienku Zadania konsoli zarządzania dostępem zdalnym.
Wszelkie zmiany sieci VPN ukończone w konsoli zarządzania routingiem i dostępem zdalnym (rrasmgmt.msc) będą musiały zostać zreplikowane ręcznie na wszystkich serwerach dostępu zdalnego w klastrze.
Aby umożliwić równoważenie obciążenia ruchu klienta IPv6 sieci VPN, należy określić 59-bitowy prefiks IPv6.
3.4 Planowanie serwera lokalizacji sieciowej
Jeśli używasz witryny serwera lokalizacji w sieci na pojedynczym serwerze dostępu zdalnego, podczas wdrażania wybrano użycie certyfikatu wydanego przez wewnętrzny urząd certyfikacji lub certyfikatu samopodpisanego. Należy zwrócić uwagę na następujące kwestie:
Każdy element członkowski klastra dostępu zdalnego musi mieć certyfikat serwera lokalizacji sieciowej, który odpowiada wpisowi DNS dla witryny sieci Web serwera lokalizacji sieciowej.
Certyfikat dla każdego serwera klastra musi być wystawiony w taki sam sposób, jak bieżący certyfikat serwera lokalizacji sieciowej na pojedynczym serwerze dostępu zdalnego. Jeśli na przykład użyto certyfikatu wystawionego przez wewnętrzny urząd certyfikacji, należy zainstalować certyfikat wystawiony przez wewnętrzny urząd certyfikacji w każdym elemencie członkowskim klastra.
Jeśli użyto certyfikatu z podpisem własnym, certyfikat z podpisem własnym zostanie automatycznie skonfigurowany dla każdego serwera podczas wdrażania klastra.
Nazwa podmiotu certyfikatu nie może być identyczna z nazwą żadnego z serwerów we wdrożeniu dostępu zdalnego.