Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Windows Server 2016 e o Windows Server 2012 combinam o DirectAccess e a VPN do Serviço de Acesso Remoto (RAS) em uma única função de Acesso Remoto. Você pode implantar o Acesso Remoto em vários cenários corporativos. Esta visão geral fornece uma introdução ao cenário corporativo para implantar vários servidores de Acesso Remoto em um cluster com balanceamento de carga de rede (NLB) do Windows ou com um balanceador de carga externo (ELB), como o F5 Big-IP.
Descrição do cenário
Uma implantação de cluster reúne vários servidores de Acesso Remoto em uma única unidade, que atua como um único ponto de contato para computadores cliente remotos que se conectam por DirectAccess ou VPN à rede corporativa interna usando o endereço IP virtual externo (VIP) do cluster de Acesso Remoto. O tráfego para o cluster é sujeito a balanceamento de carga utilizando o NLB do Windows ou um balanceador de carga externo (como o F5 Big-IP).
Prerequisites
Antes de começar a implantar esse cenário, revise esta lista para obter requisitos importantes:
Balanceamento de carga padrão através do NLB do Windows.
Balanceadores de carga externos são suportados.
O modo Unicast é o modo padrão e recomendado para NLB.
Não há suporte para a alteração de políticas fora do console de gerenciamento do DirectAccess ou dos cmdlets do PowerShell.
Quando NLB ou um balanceador de carga externo é usado, o prefixo IPHTTPS não pode ser alterado para nada diferente de /59.
Os nós com balanceamento de carga devem estar na mesma sub-rede IPv4.
Em implantações ELB, se for necessário gestão externa, os clientes DirectAccess não poderão usar Teredo. Somente IPHTTPS podem ser usados para comunicação de ponta a ponta.
Verifique se todos os hotfixes NLB/ELB conhecidos estão instalados.
ISATAP na rede corporativa não é suportado. Se você estiver usando ISATAP, você deve removê-lo e usar IPv6 nativo.
Neste cenário
O cenário de implantação de cluster inclui várias etapas:
Implante um servidor VPN Always on com opções avançadas. Um único servidor de Acesso Remoto com configurações avançadas deve ser implantado antes de configurar uma implantação de cluster.
Planeje uma implantação de cluster de acesso remoto. Para criar um cluster a partir de uma implantação de servidor único, várias etapas adicionais são necessárias, incluindo a preparação de certificados para a implantação do cluster.
Configure um cluster de acesso remoto. Isso consiste em várias etapas de configuração, incluindo a preparação do servidor único para o NLB do Windows ou o balanceador de carga externo, a preparação de servidores adicionais para ingressar no cluster e a habilitação do balanceamento de carga.
Aplicações práticas
Agrupar vários servidores num cluster de servidores proporciona o seguinte:
Scalability. Um único servidor de Acesso Remoto fornece um nível limitado de confiabilidade do servidor e desempenho escalável. Ao agrupar os recursos de dois ou mais servidores em um único cluster, você aumenta a capacidade do número de usuários e da taxa de transferência.
Alta disponibilidade. Um cluster fornece alta disponibilidade para acesso sempre ativo. Se um servidor no cluster falhar, os usuários remotos poderão continuar a acessar a rede corporativa por meio de um servidor diferente no cluster. Todos os servidores no cluster têm o mesmo conjunto de endereços IP virtuais (VIP) do cluster, mantendo ainda um endereço IP exclusivo e dedicado para cada servidor.
Ease-of-management. Um cluster permite o gerenciamento de vários servidores como uma única entidade. As configurações compartilhadas podem ser facilmente definidas no servidor de cluster. As configurações de Acesso Remoto podem ser gerenciadas a partir de qualquer um dos servidores no cluster ou remotamente usando as Ferramentas de Administração de Servidor Remoto (RSAT). Além disso, todo o cluster pode ser monitorado a partir de um único console de Gerenciamento de Acesso Remoto.
Funções e recursos incluídos neste cenário
A tabela a seguir lista as funções e os recursos necessários para o cenário:
| Role/feature | Como ele suporta esse cenário |
|---|---|
| Função de Acesso Remoto | A função é instalada e desinstalada usando o console do Gerenciador do Servidor. Ele engloba o DirectAccess, que anteriormente era um recurso no Windows Server 2008 R2, e os Serviços de Roteamento e Acesso Remoto (RRAS), que anteriormente era um serviço de função sob a função de servidor NPAS (Serviços de Acesso e Diretiva de Rede). A função Acesso Remoto consiste em dois componentes: - VPN Always On e Serviços de Roteamento e Acesso Remoto (RRAS) VPN-DirectAccess e VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto. As dependências são as seguintes: - Servidor Web dos Serviços de Informação Internet (IIS) - Esta funcionalidade é necessária para configurar o servidor de localização de rede e a sonda Web predefinida. |
| Funcionalidade de Ferramentas de Gestão de Acesso Remoto | Este recurso é instalado da seguinte maneira: - Ele é instalado por padrão em um servidor de Acesso Remoto quando a função Acesso Remoto é instalada e suporta a interface de usuário do console de Gerenciamento Remoto. O recurso Ferramentas de Gerenciamento de Acesso Remoto consiste no seguinte: - GUI de Acesso Remoto e Ferramentas de Linha de Comando As dependências incluem: - Consola de Gestão de Políticas de Grupo |
| Balanceamento de Carga na Rede | Esse recurso fornece balanceamento de carga em um cluster usando o NLB do Windows. |
Requisitos de hardware
Os requisitos de hardware para este cenário incluem o seguinte:
Pelo menos dois computadores que atendam aos requisitos de hardware do Windows Server 2012.
Para o cenário de balanceador de carga externo, é necessário hardware dedicado (ou seja, F5 BigIP).
Para testar o cenário, você deve ter pelo menos um computador executando o Windows 10 configurado como um cliente VPN Always On.
Requisitos de software
Há uma série de requisitos para esse cenário:
Requisitos de software para implantação de servidor único. Para obter mais informações, consulte Implantar um único servidor DirectAccess com configurações avançadas. Um único Acesso Remoto).
Além dos requisitos de software para um único servidor, há vários requisitos específicos do cluster:
Em cada servidor de cluster, o nome do sujeito do certificado IP-HTTPS deve corresponder ao endereço ConnectTo. Uma implementação de cluster oferece suporte a uma combinação de certificados comodin e não comodin em servidores de cluster.
Se o servidor de local de rede estiver instalado no servidor de Acesso Remoto, em cada servidor de cluster o certificado do servidor de local de rede deverá ter o mesmo nome de assunto. Além disso, o nome do certificado do servidor de local de rede não deve ter o mesmo nome que qualquer servidor na implantação do DirectAccess.
IP-HTTPS e certificados de servidor de local de rede devem ser emitidos usando o mesmo método com o qual o certificado para o servidor único foi emitido. Por exemplo, se o servidor único usa uma autoridade de certificação (CA) pública, todos os servidores no cluster devem ter um certificado emitido por uma autoridade de certificação pública. Ou se o servidor único usa um certificado autoassinado para IP-HTTPS todos os servidores no cluster devem fazer o mesmo.
O prefixo IPv6 atribuído aos computadores cliente DirectAccess em clusters de servidor deve ser de 59 bits. Se a VPN estiver habilitada, o prefixo VPN também deverá ser de 59 bits.
Problemas conhecidos
A seguir estão problemas conhecidos ao configurar um cenário de cluster:
Depois de configurar o DirectAccess em uma implantação somente IPv4 com um único adaptador de rede e depois que o DNS64 padrão (o endereço IPv6 que contém ":3333::") é configurado automaticamente no adaptador de rede, a tentativa de habilitar o balanceamento de carga por meio do console de Gerenciamento de Acesso Remoto faz com que o usuário forneça um DIP IPv6. Se um DIP IPv6 for fornecido, a configuração falhará depois de clicar em Confirmar com o erro: O parâmetro está incorreto.
Para resolver esse problema:
Transfira os scripts de cópia de segurança e restauro da configuração de acesso remoto a partir de Cópia de Segurança e Restauro.
Faça backup de seus GPOs de Acesso Remoto usando o script baixado Backup-RemoteAccess.ps1
Tente ativar o balanceamento de carga até à etapa em que falha. Na caixa de diálogo Ativar Balanceamento de Carga, expanda a área de detalhes, clique com o botão direito do mouse na área de detalhes e clique em Copiar Script.
Abra o bloco de notas e cole o conteúdo da área de transferência. Por exemplo:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -VerboseFeche todas as caixas de diálogo de Acesso Remoto abertas e feche a consola de Gestão de Acesso Remoto.
Edite o texto colado e remova os endereços IPv6. Por exemplo:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -VerboseEm uma janela elevada do PowerShell, execute o comando da etapa anterior.
Se o cmdlet falhar durante a execução (não devido a valores de entrada incorretos), execute o comando Restore-RemoteAccess.ps1 e siga as instruções para garantir que a integridade da configuração original seja mantida.
Agora você pode abrir o console de Gerenciamento de Acesso Remoto novamente.