准备好用于群集的服务器后,请在单一服务器上配置负载均衡、配置所需的证书以及部署群集。
| Task | Description |
|---|---|
| 3.1 配置 IPv6 前缀 | 如果公司环境为 IPv4+IPv6 或仅 IPv6,则在单一远程访问服务器上,请确保分配给 DirectAccess 客户端计算机的 IPv6 前缀足够大,可以覆盖群集中的所有服务器。 |
| 3.2 启用负载均衡 | 在单一远程访问服务器上启用负载均衡。 |
| 3.3 安装 IP-HTTPS 证书 | 群集中的每个服务器都需要服务器证书来对 IP-HTTPS 连接进行身份验证。 从单一远程访问服务器导出 IP-HTTPS 证书,并将其部署到要添加到群集的每个服务器上。 仅当使用非自签名证书时,才需要这样做。 |
| 3.4 安装网络位置服务器证书 | 如果单一服务器在本地部署了网络位置服务器,则需要在群集中的每个服务器上部署网络位置服务器证书。 如果网络位置服务器托管在外部服务器上,则不需要每个服务器上的证书。 仅当使用非自签名证书时,才需要这样做。 |
| 3.5 将服务器添加到群集 | 将所有服务器添加到群集。 不得在要添加的服务器上配置远程访问。 |
| 3.6 从群集中删除服务器 | 有关从群集中删除服务器的说明。 |
| 3.7 禁用负载均衡 | 有关禁用负载均衡的说明。 |
Note
为 DIP 选择的 IP 地址不得用于群集中第一个远程访问服务器的网络适配器。 在将 VIP 和 DIP 添加到网络适配器的情况下启动 DirectAccess 部署将导致失败。
Note
请确保不要使用在网络上的另一台计算机中已存在的 DIP。
3.1 配置 IPv6 前缀
配置前缀
在远程访问服务器上,单击“ 开始”,然后单击“ 远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”。
在远程访问管理控制台中,单击“ 配置”。
在控制台的中间窗格中,单击“步骤 2 DirectAccess 服务器”区域中的“编辑”。
单击 “前缀配置”。 在“ 前缀配置 ”页上,在 分配给 DirectAccess 客户端计算机的 IPv6 前缀中,输入用于子网长度为 59 的 DirectAccess 客户端计算机的 IPv6 前缀,例如 2001:db8:1:1000::/59。 如果 VPN 也启用了 IPv6,则会显示 IPv6 前缀,并且子网长度需要更改为 59。 单击 “下一步” 。
在控制台的中间窗格中,单击“ 完成”。
在“远程访问评审”对话框中,查看配置设置,然后单击“应用”。 在“应用远程访问设置向导设置”对话框中,单击“关闭”。
3.2 启用负载均衡
启用负载均衡
在配置的 DirectAccess 服务器上,单击“ 开始”,然后单击“ 远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”。
在远程访问管理控制台的左窗格中,单击“ 配置”,然后在“ 任务 ”窗格中,单击“ 启用负载均衡”。
在“启用负载均衡向导”中,单击“ 下一步”。
根据你在计划步骤中选择的内容,执行以下操作:
Windows NLB:在“负载均衡方法”页上,单击“使用 Windows 网络负载均衡(NLB)”,然后单击“下一步”。
外部负载均衡器:在“负载均衡方法”页上,单击“使用外部负载均衡器”,然后单击“下一步”。
在单个网络适配器部署中的“专用 IP 地址”页上,执行以下操作,然后单击“下一步”:
在 IPv4 地址 框中,输入此远程访问服务器的新 IPv4 地址;当前 IPv4 地址将是负载均衡群集的虚拟 IP 地址(VIP)。 在 “子网掩码 ”框中,输入子网掩码。
如果企业环境是本机 IPv6,请在 “IPv6 地址 ”框中输入此远程访问服务器的新 IPv6 地址;当前 IPv6 地址将是负载均衡群集的 VIP。 在“子网前缀长度”框中,输入子网前缀长度。
在双网络适配器部署中的“外部专用 IP 地址”页上,执行以下操作,然后单击“下一步”:
在 IPv4 地址 框中,输入此远程访问服务器的新外部 IPv4 地址;当前 IPv4 地址将是负载均衡群集的虚拟 IP 地址(VIP)。 在 “子网掩码 ”框中,输入子网掩码。
如果当前在面向 Internet 的远程访问服务器的网络适配器上配置了本机 IPv6 地址,请在 IPv6 地址 框中输入此远程访问服务器的新外部 IPv6 地址;当前 IPv6 地址将是负载均衡群集的 VIP。 在“子网前缀长度”框中,输入子网前缀长度。
在双网络适配器部署中的“内部专用 IP 地址”页上,执行以下操作,然后单击“下一步”:
在 IPv4 地址 框中,输入此远程访问服务器的新内部 IPv4 地址;当前的 IPv4 地址将是负载均衡群集的 VIP。 在 “子网掩码 ”框中,输入子网掩码。
如果企业环境是本机 IPv6,请在 “IPv6 地址 ”框中输入此远程访问服务器的新内部 IPv6 地址;当前 IPv6 地址将是负载均衡群集的 VIP。 在“子网前缀长度”框中,输入子网前缀长度。
在 “摘要 ”页上,单击“ 提交”。
在“启用负载均衡”对话框中,单击“关闭”。
在“启用负载均衡向导”中,单击“ 关闭”。
Note
如果使用外部负载均衡,请记下虚拟 IP,并像在外部负载均衡器上那样提供它们。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
如果选择在计划步骤中使用 Windows NLB,请执行以下操作:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")
如果选择在计划步骤中使用外部负载均衡器,请执行以下操作:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer
Note
如果使用的是暂存 GPO,建议不要包含对负载均衡器设置的更改以及对任何其他设置的更改。 必须先应用对负载均衡器设置的任何更改,然后再进行其他配置更改。 此外,在新的 DirectAccess 服务器上配置负载均衡器后,请在更改与新群集相关的其他 DirectAccess 设置之前,留出一些时间在企业中的 DNS 服务器上应用和复制 IP 更改。
3.3 安装 IP-HTTPS 证书
本地 Administrators 组中的成员身份或等效成员身份是完成此过程所需的最低要求。
安装 IP-HTTPS 证书
在配置的远程访问服务器上,单击“ 开始”,键入 mmc ,然后按 Enter。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”。
在 MMC 控制台的 “文件 ”菜单上,单击“ 添加/删除管理单元”。
在“添加或删除管理单元”对话框中,依次单击“证书”、“添加”、“计算机帐户”、“下一步”、“完成”,然后单击“确定”。
在控制台的左窗格中,导航到“证书”:(本地计算机)\个人\证书。 右键单击 IP-HTTPS 证书,指向 “所有任务 ”,然后单击“ 导出”。
在“欢迎使用‘证书导出向导’”页面上,单击“下一步”。
在“导出私钥”页面上,单击“是,导出私钥”,然后单击“下一步”。
在“导出文件格式”页上,单击“个人信息交换 - PKCS #12 (.PFX)”,然后单击“下一步”。
在“安全”页上,选中“密码”复选框,在“密码”框中输入密码并确认密码,然后单击“下一步”。
在“要导出的文件”页上,输入证书文件的名称并将其保存到桌面,然后单击“下一步”。
在“正在完成证书导出向导” 页上,单击“完成” 。
在“证书导出向导”对话框中,单击“确定”。
将证书复制到要当作群集成员的所有服务器。
在新 DirectAccess 服务器上,单击“ 开始”,键入 mmc ,然后按 Enter。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”。
在 MMC 控制台的 “文件 ”菜单上,单击“ 添加/删除管理单元”。
在“添加或删除管理单元”对话框中,依次单击“证书”、“添加”、“计算机帐户”、“下一步”、“完成”,然后单击“确定”。
在控制台的左窗格中,导航到“证书”:(本地计算机)\个人\证书。 右键单击 “证书 ”节点,指向 “所有任务”,然后单击“ 导入”。
在“欢迎使用证书导入向导”页上,单击“下一步”。
在“要导入的文件”页上,单击“浏览”找到证书。 选择证书,然后单击“ 下一步”。
在“私钥保护”页上的“密码”框中,键入密码,然后单击“下一步”。
在 “证书存储 ”页上,单击“ 下一步”。
在“正在完成证书导入向导”页上,单击“完成”。
在“证书导入向导”对话框中,单击“确定”。
在要当作群集成员的所有服务器上重复步骤 13-22。
3.4 安装网络位置服务器证书
本地 Administrators 组中的成员身份或等效成员身份是完成此过程所需的最低要求。
安装网络位置证书
在远程访问服务器上,单击“ 开始”,键入 mmc,然后按 Enter。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”。
单击“ 文件”,然后单击“ 添加/删除管理单元”。
依次单击“ 证书”、“ 添加”、“ 计算机帐户”、“ 下一步”、“ 本地计算机”、“ 完成”,然后单击“ 确定”。
在证书管理单元的控制台树中,依次打开“证书(本地计算机)\个人\证书”。
右键单击 “证书”,指向 “所有任务”,然后单击“ 请求新证书”。
单击“ 下一 步”两次。
在“ 请求证书 ”页上,单击“Web 服务器证书模板”,然后单击“ 注册此证书所需的详细信息”。
如果未显示 Web 服务器证书模板,请确保远程访问服务器计算机帐户具有 Web 服务器证书模板的注册权限。 有关详细信息,请参阅在 Web 服务器证书模板上配置权限。
在“证书属性”对话框的“使用者”选项卡上,在“使用者名称”中,选择“类型”,选择“公用名”。
在 “值”中,键入网络位置服务器网站的 Intranet 名称(例如,nls.corp.contoso.com)的完全限定域名(FQDN),然后单击“ 添加”。
单击“ 确定”,单击“ 注册”,然后单击“ 完成”。
在“证书”管理单元的详细信息窗格中,验证是否已使用 FQDN 注册了服务器身份验证的预期目的的新证书。
右键单击证书,然后单击“ 属性”。
在 友好名称中,键入 “网络位置证书”,然后单击“ 确定”。
Tip
步骤 12 和 13 可选,但在配置远程访问时,这些步骤有助于更轻松地选择网络位置证书。
在要当作群集成员的所有服务器上重复此过程。
3.5 将服务器添加到群集
将服务器添加到群集
在配置的 DirectAccess 服务器上,单击“ 开始”,然后单击“ 远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”。
在远程访问管理控制台中,单击“ 配置”。 在 “任务 ”窗格中的 “负载均衡群集”下,单击“ 添加或删除服务器”。
在“添加或删除服务器”对话框中,单击“添加服务器”。
在“添加服务器”对话框的“选择服务器”页上,输入其他远程访问服务器的名称,然后单击“下一步”。
在 “网络适配器 ”页上,执行下列作之一:
如果要部署具有两个网络适配器的拓扑,请在 外部适配器中选择连接到外部网络的适配器。 在 内部适配器中,选择连接到内部网络的适配器。
如果要部署具有一个网络适配器的拓扑 ,请在网络适配器中选择连接到内部网络的适配器。
在 “网络适配器 ”页上,在 “选择用于对 IP-HTTPS 连接进行身份验证的证书”中,单击“ 浏览 ”找到并选择 IP-HTTPS 证书,然后单击“ 下一步”。
在“网络位置服务器”页上,单击“浏览”,为远程访问服务器上运行的网络位置服务器网站选择证书,然后单击“下一步”。
Note
仅当网络位置服务器网站在远程访问服务器上运行时,才会显示“网络位置服务器”页。
Note
如果在远程访问服务器上也配置了 VPN,则此时会要求你添加 VPN IP 地址池信息。
在 “摘要 ”页上,单击“ 添加”。
在 “完成 ”页上,单击“ 关闭”。
对要添加到群集的所有远程访问服务器重复此过程。
在“添加或删除服务器”对话框中,单击“提交”。
在“添加和删除服务器”对话框中,单击“关闭”。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>
Note
如果尚未在负载均衡群集中启用 VPN,使用 Windows PowerShell cmdlet 将新服务器添加到群集时,不应提供任何 VPN 地址范围。 如果错误地执行了此操作,请从群集中删除服务器,然后在不指定 VPN 地址范围的情况下将其重新添加到集群中。
3.6 从群集中删除服务器
从群集中删除服务器
在配置的远程访问服务器上,单击“ 开始”,然后单击“ 远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”。
在远程访问管理控制台中,单击“ 配置”。 在 “任务 ”窗格中的 “负载均衡群集”下,单击“ 添加或删除服务器”。
在“添加或删除服务器”对话框中,选择要删除的远程访问服务器,然后单击“删除服务器”。
在“删除服务器警告”对话框中,确保选择了正确的服务器,然后单击“确定”。
对要从群集中删除的所有远程访问服务器重复此过程。
在“添加或删除服务器”对话框中,单击“提交”。
在“添加和删除服务器”对话框中,单击“关闭”。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>
3.7 禁用负载均衡
禁用负载均衡
在配置的 DirectAccess 服务器上,单击“ 开始”,然后单击“ 远程访问管理”。 如果出现了“用户帐户控制”对话框,请确认其所显示的操作是你要采取的操作,然后单击“是”。
在远程访问管理控制台中,单击“ 配置”。 在 “任务 ”窗格中的 “负载均衡群集”下,单击“ 禁用负载均衡”。
在“禁用负载均衡”对话框中,单击“确定”。
在“禁用负载均衡”对话框中,单击“关闭”。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
set-RemoteAccessLoadBalancer -disable
禁用负载均衡将从所有服务器中删除远程访问设置和 NLB 设置(如果已配置),执行负载均衡的服务器例外。 在此远程访问服务器上,将删除 NLB 设置(如果已配置),但远程访问设置将保留。
单击“删除配置设置”将从部署中的所有服务器中删除远程访问和 NLB(如果已配置)。
Note
- 如果在部署负载均衡时卸载远程访问,则所有服务器都会保留 DIP。 VIP 将删除。 这会导致公司网络中指向 VIP 地址的所有路由失败。 这也会影响解析为 VIP 的 DNS 条目,例如网络位置服务器证书使用者名称。 若要避免此问题,请禁用负载均衡,这会将 VIP 保留在最后一台远程访问服务器上,然后卸载远程访问。
- 使用 Set-RemoteAccessLoadBalancer cmdlet 禁用负载均衡后,请等待 2 分钟,然后再运行任何其他 cmdlet。 这还应在 Set-RemoteAccessLoadBalancer -disable cmdlet 之后运行另一个 cmdlet 的任何脚本中完成。
- 禁用负载均衡会将群集的虚拟 IP 地址更改为专用 IP 地址。 因此,在服务器上缓存的 DNS 条目过期之前,任何查询服务器名称的操作都将失败。 请确保在禁用负载均衡后,在服务器上的缓存过期之前不运行任何远程访问 PowerShell cmdlet。 如果尝试从另一个域中的另一台计算机禁用计算机上的负载均衡,则此问题更为常见。 如果从远程访问管理控制台禁用负载均衡,也会发生这种情况,并且可能会阻止加载配置。 缓存过期或刷新后,将加载配置。