Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A próxima etapa é planejar a configuração de balanceamento de carga e a implantação do cluster.
| Task | Description |
|---|---|
| 3.1 Planejar o balanceamento de carga | Decida se deseja usar o NLB (Balanceamento de Carga de Rede) do Windows ou um ELB (balanceador de carga externo). |
| 3.2 Plano IP-HTTPS | Se um certificado autoassinado não for usado, o servidor de Acesso Remoto precisará de um certificado SSL em cada servidor do cluster para autenticar IP-HTTPS conexões. |
| 3.3 Planejar conexões de cliente VPN | Observe os requisitos para conexões de cliente VPN. |
| 3.4 Planear o servidor de localização de rede | Se o site do servidor de local de rede estiver hospedado no servidor de Acesso Remoto e um certificado autoassinado não for usado, verifique se cada servidor no cluster tem um certificado de servidor para autenticar a conexão com o site. |
3.1 Planejar o balanceamento de carga
O Acesso Remoto pode ser implantado em um único servidor ou em um cluster de servidores de Acesso Remoto. O tráfego para o cluster pode ser distribuído de forma equilibrada para fornecer alta disponibilidade e escalabilidade para os clientes do DirectAccess. Há duas opções de balanceamento de carga:
NLB do Windows-NLB do Windows é um recurso do servidor Windows. Para usá-lo, você não precisa de hardware adicional porque todos os servidores no cluster são responsáveis por gerenciar a carga de tráfego. O NLB do Windows oferece suporte a um máximo de oito servidores em um cluster de Acesso Remoto.
Balanceador de carga externo-O uso de um balanceador de carga externo requer hardware externo para gerenciar a carga de tráfego entre os servidores de cluster de Acesso Remoto. Além disso, o uso de um balanceador de carga externo oferece suporte a um máximo de 32 servidores de Acesso Remoto em um cluster. Alguns pontos a ter em mente ao configurar o balanceamento de carga externo são:
O administrador deve garantir que os IPs virtuais configurados por meio do assistente de balanceamento de carga de Acesso Remoto sejam usados nos balanceadores de carga externos (como F5 Big-Ip sistema Gerenciador de Tráfego Local). Quando o balanceamento de carga externo estiver habilitado, os endereços IP nas interfaces externa e interna serão promovidos a endereços IP virtuais e terão que ser configurados nos balanceadores de carga. Isso é feito para que o administrador não precise alterar a entrada DNS para o nome público da implantação do cluster. Além disso, os terminais do túnel IPsec são derivados dos IPs do servidor. Se o administrador fornecer IPs virtuais separados, o cliente não poderá se conectar ao servidor. Consulte o exemplo de configuração do DirectAccess com o Balanceamento de Carga Externo no exemplo de configuração do Balanceador de Carga Externo 3.1.1.
Muitos balanceadores de carga externos (incluindo F5) não suportam balanceamento de carga de 6to4 e ISATAP. Se o servidor de Acesso Remoto for um roteador ISATAP, a função ISATAP deverá ser movida para um computador diferente. Além disso, quando a função ISATAP está em um computador diferente, os servidores DirectAccess devem ter conectividade IPv6 nativa com o roteador ISATAP. Observe que essa conectividade deve estar presente antes de configurar o DirectAccess.
Para balanceamento de carga externa, se Teredo tiver que ser usado, todos os servidores de Acesso Remoto devem ter dois endereços IPv4 públicos consecutivos como endereços IP dedicados. Os IPs virtuais do cluster também devem ter dois endereços IPv4 públicos consecutivos. Isso não é verdade para o NLB do Windows, onde apenas os IPs virtuais do cluster devem ter dois endereços IPv4 públicos consecutivos. Se Teredo não for usado, dois endereços IP consecutivos não serão necessários.
O administrador pode mudar do NLB do Windows para o balanceador de carga externo e vice-versa. Observe que o administrador não pode alternar do balanceador de carga externo para o NLB do Windows se tiver mais de 8 servidores na implantação do balanceador de carga externo.
3.1.1 Exemplo de configuração do balanceador de carga externo
Esta seção descreve as etapas de configuração para habilitar um balanceador de carga externo em uma nova implantação de Acesso Remoto. Ao usar um balanceador de carga externo, o cluster de Acesso Remoto pode se parecer com a figura abaixo, onde os servidores de Acesso Remoto estão conectados à rede corporativa por meio de um balanceador de carga na rede interna e à Internet por meio de um balanceador de carga conectado à rede externa:
Informações de planeamento
VIPs externos (IPs que o cliente usará para se conectar ao Acesso Remoto) foram decididos como 131.107.0.102, 131.107.0.103
Balanceador de carga nos IPs próprios da rede externa - 131.107.0.245 (Internet), 131.107.1.245
A rede de perímetro (também conhecida como zona desmilitarizada e DMZ) está entre o balanceador de carga na rede externa e o servidor de Acesso Remoto.
Endereços IP para o servidor de Acesso Remoto na rede de perímetro - 131.107.1.102, 131.107.1.103
Endereços IP para o servidor de Acesso Remoto na rede ELB (ou seja, entre o servidor de Acesso Remoto e o balanceador de carga na rede interna) - 30.11.1.101, 2006:2005:11:1::101
Balanceador de carga em IPs próprios de rede interna - 30.11.1.245 2006:2005:11:1::245 (ELB), 30.1.1.245 2006:2005:1:1::245 (Corpnet)
VIPs internos (endereços IP usados para web probe do cliente e para o servidor de localização de rede, caso estejam instalados nos servidores de Acesso Remoto) foram definidos como 30.1.1.10, 2006:2005:1:1::10
Steps
Configure o adaptador de rede externo do servidor de Acesso Remoto (conectado à rede de perímetro) com os endereços 131.107.0.102, 131.107.0.103. Esta etapa é necessária para que a configuração do DirectAccess detete os pontos de extremidade de túnel IPsec corretos.
Configure o adaptador de rede interno do servidor de Acesso Remoto (que está conectado à rede ELB) com os endereços IP do servidor web-probe e do servidor de localização de rede (30.1.1.10, 2006:2005:1:1::10). Esta etapa é necessária para permitir que os clientes acessem o IP da sonda web, de modo que o assistente de conectividade de rede indique corretamente o estado da conexão com o DirectAccess. Esta etapa também permite o acesso ao servidor de local de rede, se ele estiver configurado no servidor DirectAccess.
Note
Certifique-se de que o controlador de domínio está acessível a partir do servidor de Acesso Remoto com esta configuração.
Configure o servidor único do DirectAccess no servidor de Acesso Remoto.
Habilite o balanceamento de carga externo na configuração do DirectAccess. Use 131.107.1.102 como o endereço IP dedicado externo (DIP) (131.107.1.103 será selecionado automaticamente), use 30.11.1.101, 2006:2005:11:1::101 como os DIPs internos.
Configure os IPs virtuais externos (VIP) no balanceador de carga externo com os endereços 131.107.0.102 e 131.107.0.103. Além disso, configure os VIPs internos no balanceador de carga externo com endereços 30.1.1.10 e 2006:2005:1:1::10.
O servidor de Acesso Remoto será agora configurado com os endereços IP planeados e os endereços IP externos e internos para o cluster serão configurados de acordo com os endereços IP planeados.
3.2 Plano IP-HTTPS
Requisitos de certificado - Durante a implantação do único servidor de Acesso Remoto, você selecionou para usar um certificado IP-HTTPS emitido por uma autoridade de certificação (CA) pública ou interna ou um certificado autoassinado. Para a implantação do cluster, você deve usar o mesmo tipo de certificado em cada membro do cluster de Acesso Remoto. Ou seja, se você usou um certificado emitido por uma CA pública (recomendado), deverá instalar um certificado emitido por uma CA pública em cada membro do cluster. O nome da entidade do novo certificado deve ser idêntico ao nome da entidade do certificado IP-HTTPS usado atualmente na sua implementação. Observe que, se você estiver usando certificados autoassinados, eles serão configurados automaticamente em cada servidor durante a implantação do cluster.
Requisitos de prefixo - O Acesso Remoto permite o balanceamento de carga do tráfego baseado em SSL e do tráfego DirectAccess. Para balancear a carga de todo o tráfego do DirectAccess baseado em IPv6, o Acesso Remoto deve examinar o túnel IPv4 para todas as tecnologias de transição. Como IP-HTTPS tráfego é criptografado, examinar o conteúdo do túnel IPv4 não é possível. Para permitir que o tráfego IP-HTTPS seja equilibrado de carga, deve-se alocar um prefixo IPv6 suficientemente amplo de modo que um prefixo IPv6 /64 diferente possa ser atribuído a cada membro do cluster. Você pode configurar um máximo de 32 servidores em um cluster com balanceamento de carga; portanto, você deve especificar um prefixo /59. Esse prefixo deve ser roteável para o endereço IPv6 interno do cluster de Acesso Remoto e é configurado no assistente de Configuração do Servidor de Acesso Remoto.
Note
Os requisitos de prefixo são relevantes apenas em uma rede interna habilitada para IPv6 (somente IPv6 ou IPV4+IPv6). Em uma rede corporativa somente IPv4, o prefixo do cliente é configurado automaticamente e o administrador não pode alterá-lo.
3.3 Planejar conexões de cliente VPN
Há várias considerações para conexões de cliente VPN:
O tráfego do cliente VPN não pode ser balanceado se os endereços do cliente VPN forem alocados usando DHCP. É necessário um pool de endereços estáticos.
O RRAS pode ser habilitado em um cluster com balanceamento de carga que tenha sido implantado somente para DirectAccess, usando Habilitar VPN no painel Tarefas do console de Gerenciamento de Acesso Remoto.
Quaisquer alterações de VPN concluídas no console de Gerenciamento de Roteamento e Acesso Remoto (rrasmgmt.msc) terão que ser replicadas manualmente em todos os servidores de Acesso Remoto no cluster.
Para permitir que o tráfego do cliente IPv6 VPN seja balanceado de carga, você deve especificar um prefixo IPv6 de 59 bits.
3.4 Planear o servidor de localização de rede
Se você estiver executando o site do servidor de local de rede no único servidor de Acesso Remoto, durante a implantação você optou por usar um certificado emitido por uma autoridade de certificação (CA) interna ou um certificado autoassinado. Tenha em atenção o seguinte:
Cada membro do cluster de Acesso Remoto deve possuir um certificado para o servidor de localização de rede que corresponda à entrada DNS para o website do servidor de localização de rede.
O certificado para cada servidor de cluster deve ser emitido da mesma forma que o certificado no atual servidor de local de rede do único servidor de Acesso Remoto. Por exemplo, se você usou um certificado emitido por uma autoridade de certificação interna, deverá instalar um certificado emitido pela autoridade de certificação interna em cada membro do cluster.
Se você usou um certificado autoassinado, um certificado autoassinado será configurado automaticamente para cada servidor durante a implantação do cluster.
O nome do assunto do certificado não deve ser idêntico ao nome de qualquer um dos servidores na implantação do Acesso Remoto.