Paso 3 Configurar un clúster con equilibrio de carga
Tras preparar los servidores para el clúster, configure el equilibrio de carga en el servidor único, configure los certificados necesarios e implemente el clúster.
| Tarea | Descripción |
|---|---|
| 3.1 Configuración del prefijo IPv6 | Si el entorno corporativo es IPv4+IPv6, o solo IPv6, después en el servidor único de Acceso remoto, asegúrese de que el prefijo IPv6 asignado a los equipos cliente de DirectAccess es lo suficientemente grande como para cubrir todos los servidores de su clúster. |
| 3.2 Habilitar equilibrio de carga | Habilite el equilibrio de carga en el servidor único de Acceso remoto. |
| 3.3 Instalación del certificado IP-HTTPS | Cada servidor del clúster requiere un certificado de servidor para autenticar la conexión IP-HTTPS. Exporte el certificado IP-HTTPS desde el único servidor de acceso remoto e impleméntelo en cada servidor que agregue al clúster. Esto solo es necesario si se usan certificados no autofirmados. |
| 3.4 Instalación del certificado de servidor de ubicación de red | Si el servidor único tiene el servidor de ubicación de red implementado localmente, tendrá que implementar el certificado del servidor de ubicación de red en cada servidor del clúster. Si el servidor de ubicación de red está hospedado en un servidor externo, no es necesario un certificado en cada servidor. Esto solo es necesario si se usan certificados no autofirmados. |
| 3.5 Adición de servidores al clúster | Agregue todos los servidores al clúster. El Acceso remoto no debe estar configurado en los servidores que se van a agregar. |
| 3.6 Eliminación de un servidor del clúster | Instrucciones para quitar un servidor del clúster. |
| 3.7 Deshabilitar el equilibrio de carga | Instrucciones para deshabilitar el equilibrio de carga. |
Nota
La dirección IP seleccionada para el DIP no debe estar en uso en los adaptadores de red del primer servidor de Acceso remoto del clúster. Al iniciar la implementación de DirectAccess con VIP y DIP agregados al adaptador de red, se producirá un error.
Nota
Asegúrese de no usar un DIP que ya esté presente en otro equipo de la red.
3.1 Configuración del prefijo IPv6
Para configurar el prefijo
En el servidor de Acceso remoto, haga clic en Inicio y, después, en Administración de acceso remoto. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
En la consola de administración de acceso remoto, haga clic en Configuración.
En el panel central de la consola, en el área Paso 2 Servidor de DirectAccess, haga clic en Editar.
Haga clic en Configuración de prefijo. En la página Configuración de prefijo, en Prefijo IPv6 asignado a equipos cliente de DirectAccess, escriba el prefijo IPv6 utilizado para los equipos cliente de DirectAccess con una longitud de subred de 59, por ejemplo, 2001:db8:1:1000::/59. Si la VPN también estuviera habilitada con IPv6, aparecería un prefijo IPv6 y habría que cambiar la longitud de subred a 59. Haga clic en Next.
En el panel central de la consola, haga clic en Finalizar.
En el cuadro de diálogo Revisión de acceso remoto, revise las opciones de configuración y haga clic en Aplicar. En el cuadro de diálogo Aplicar la configuración del Asistente para instalación de acceso remoto, haga clic en Cerrar.
3.2 Habilitar equilibrio de carga
Para habilitar el equilibrio de carga
En el servidor de DirectAccess configurado, haga clic en Inicio y, después, en Administración de acceso remoto. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
En la consola de administración de Acceso remoto, en el panel izquierdo, haga clic en Configuración y, después, en el panel Tareas, haga clic en Habilitar equilibrio de carga.
En el Asistente para habilitar el equilibrio de carga, haga clic en Siguiente.
En función de lo que haya elegido en los pasos de planeación:
NLB de Windows: en la página Método de equilibrio de carga, haga clic en Usar equilibrio de carga de red de Windows (NLB) y haga clic en Siguiente.
Equilibrador de carga externo: en la página Método de equilibrio de carga, haga clic en Usar un equilibrador de carga externo y en Siguiente.
En una implementación con un único adaptador de red, en la página Direcciones IP dedicadas, haga lo siguiente y, después, haga clic en Siguiente:
En el cuadro Dirección IPv4, escriba la nueva dirección IPv4 para este servidor de Acceso remoto; la dirección IPv4 actual será la dirección IP virtual (VIP) del clúster con equilibrio de carga. En el cuadro Máscara de subred, escriba la máscara de subred.
Si el entorno corporativo es IPv6 nativo, en la casilla Dirección IPv6, escriba la nueva dirección IPv6 para este servidor de Acceso remoto; la dirección IPv6 actual será la VIP del clúster con equilibrio de carga. En el cuadro Longitud del prefijo de subred, escriba la longitud del prefijo de subred.
En una implementación de dos adaptadores de red, en la página Direcciones IP externas dedicadas, haga lo siguiente y, después, haga clic en Siguiente:
En el cuadro Dirección IPv4, escriba la nueva dirección IPv4 externa para este servidor de Acceso remoto; la dirección IPv4 actual será la dirección IP virtual (VIP) del clúster de equilibrio de carga. En el cuadro Máscara de subred, escriba la máscara de subred.
Si actualmente hay direcciones IPv6 nativas configuradas en el adaptador de red orientado a Internet del servidor de Acceso remoto, en la casilla Dirección IPv6, escriba la nueva dirección IPv6 externa para este servidor de Acceso remoto; la dirección IPv6 actual será la VIP del clúster de equilibrio de carga. En el cuadro Longitud del prefijo de subred, escriba la longitud del prefijo de subred.
En una implementación de dos adaptadores de red, en la página Direcciones IP internas dedicadas, haga lo siguiente y, después, haga clic en Siguiente:
En el cuadro Dirección IPv4, escriba la nueva dirección IPv4 interna para este servidor de Acceso remoto; la dirección IPv4 actual será VIP del clúster de equilibrio de carga. En el cuadro Máscara de subred, escriba la máscara de subred.
Si el entorno corporativo es IPv6 nativo, en la casilla Dirección IPv6, escriba la nueva dirección IPv6 interna para este servidor de Acceso remoto; la dirección IPv6 actual será la VIP del clúster de equilibrio de carga. En el cuadro Longitud del prefijo de subred, escriba la longitud del prefijo de subred.
En la página Resumen, haga clic en Confirmar.
En el cuadro de diálogo Habilitar equilibrio de carga, haga clic en Cerrar.
En el Asistente para habilitar el equilibrio de carga, haga clic en Cerrar.
Nota
Si se usa el equilibrio de carga externo, anote las direcciones IP virtuales y proporciónelas como en los equilibradores de carga externos.
Comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
Si decide usar NLB de Windows en los pasos de planeamiento, ejecute lo siguiente:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")
Si decide usar un equilibrador de carga externo en los pasos de planeamiento: ejecute lo siguiente:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer
Nota
Se recomienda no incluir cambios en la configuración del equilibrador de carga con cambios en cualquier otra configuración, si usa GPO de almacenamiento provisional. Cualquier cambio en la configuración del equilibrador de carga debe aplicarse en primer lugar y después deben realizarse los otros cambios en la configuración. Además, después de configurar el equilibrador de carga en un nuevo servidor de DirectAccess, deje pasar un tiempo para que se apliquen los cambios de IP y se repliquen en los servidores DNS de la empresa, antes de cambiar otras configuraciones de DirectAccess relacionadas con el nuevo clúster.
3.3 Instalación del certificado IP-HTTPS
Para completar este procedimiento, se requiere como mínimo la pertenencia al grupo local Administradores o equivalente.
Para instalar el certificado IP-HTTPS
En el servidor de Acceso remoto configurado, haga clic en Iniciar, escriba mmc y pulse ENTRAR. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
En el menú Archivo de la consola MMC, haga clic en Agregar o quitar complemento.
En el cuadro de diálogo Agregar o quitar complementos, haga clic en Certificados, haga clic en Agregar, haga clic en Cuenta de equipo, haga clic en Siguiente, haga clic en Finalizar y, después, haga clic en Aceptar.
En el panel izquierdo de la consola, desplácese a Certificados (equipo local)\Personal\Certificados. Haga clic con el botón derecho en el certificado IP-HTTPS, apunte a Todas las tareas y haga clic en Exportar.
En la página Este es el Asistente para exportar certificados, haga clic en Siguiente.
En la página Exportar la clave privada, haga clic en Exportar la clave privada y, a continuación, haga clic en Siguiente.
En la página Formato de archivo de exportación, haga clic en Intercambio de información personal - PKCS #12 (.PFX), y después haga clic en Siguiente.
En la página Seguridad, active la casilla Contraseña, escriba una contraseña en el cuadro Contraseña y confirme la contraseña y, a continuación, haga clic en Siguiente.
En la página Archivo para exportar, escriba un nombre para el archivo del certificado, guárdelo en el escritorio y haga clic en Siguiente.
En la página Finalización del Asistente para exportar certificados, haga clic en Finalizar.
En el cuadro de diálogo Asistente para exportación de certificados, haga clic en Aceptar.
Copie el certificado en todos los servidores que quiera que sean miembros del clúster.
En el nuevo servidor de DirectAccess, haga clic en Iniciar, escriba mmc y pulse ENTRAR. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
En el menú Archivo de la consola MMC, haga clic en Agregar o quitar complemento.
En el cuadro de diálogo Agregar o quitar complementos, haga clic en Certificados, haga clic en Agregar, haga clic en Cuenta de equipo, haga clic en Siguiente, haga clic en Finalizar y, después, haga clic en Aceptar.
En el panel izquierdo de la consola, desplácese a Certificados (equipo local)\Personal\Certificados. Haga clic con el botón derecho en el nodo Certificados, seleccione Todas las tareas y haga clic en Importar.
En la página Éste es el Asistente para importación de certificados, haga clic en Siguiente.
En la página Archivo para importar, haga clic en Examinar para buscar el certificado. Seleccione el certificado y haga clic en Siguiente.
En la página Protección de clave privada, en el cuadro Contraseña, escriba la contraseña y haga clic en Siguiente.
En la página Almacén de certificados, haga clic en Siguiente.
En la página Finalización del Asistente para importación de certificados, haga clic en Finalizar.
En el cuadro de diálogo del Asistente para importación de certificados, haga clic en Aceptar.
Repita los pasos 13-22 en todos los servidores que quiera que sean miembros del clúster.
3.4 Instalación del certificado de servidor de ubicación de red
Para completar este procedimiento, se requiere como mínimo la pertenencia al grupo local Administradores o equivalente.
Para instalar un certificado para la ubicación de red
En el servidor de Acceso remoto, haga clic en Inicio, escriba mmc y pulse ENTRAR. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
Haga clic en Archivo y, a continuación, haga clic en Agregar o quitar complementos.
Haga clic en Certificados, luego en Añadir, haga clic en Cuenta de equipo, en Siguiente, en Equipo local, en Finalizar y, después, en Aceptar.
En el árbol de consola del complemento Certificados, abre Certificados (equipo local)\Personal\Certificados.
Haga clic con el botón secundario en Certificados, elija Todas las tareas y, a continuación, haga clic en Solicitar un nuevo certificado.
Haga clic en Siguiente dos veces.
En la página Solicitar certificados, seleccione la plantilla de certificado de servidor web y haga clic en Se necesita más información para inscribir este certificado.
Si no aparece la plantilla de certificado de servidor web, asegúrese de que la cuenta de equipo del servidor de acceso remoto tenga permisos de inscripción para la plantilla de certificado de servidor web. Si desea obtener más información, consulte Configurar permisos en la plantilla de certificado de servidor web.
En la pestaña Asunto del cuadro de diálogo Propiedades de certificado, en Nombre de firmante, en Tipo, seleccione Nombre común.
En Valor, escriba el nombre de dominio completo (FQDN) del nombre de la intranet del sitio web del servidor de ubicación de la red (por ejemplo, nls.corp.contoso.com) y, después, haga clic en Agregar.
Haga clic en Aceptar, haga clic en Inscribir y, a continuación, haga clic en Finalizar.
En el panel de detalles del complemento Certificados, compruebe que se inscribió un nuevo certificado con el FQDN con el valor Propósitos planteados de Autenticación del servidor.
Haga clic con el botón secundario en el certificado y, a continuación, haga clic en Propiedades.
En Nombre descriptivo, escriba Certificado de ubicación de red y, a continuación, haga clic en Aceptar.
Sugerencia
Los pasos 12 y 13 son opcionales, pero facilitan la selección del certificado para la ubicación de red al configurar el Acceso remoto.
Repita este procedimiento en todos los servidores que quiera que sean miembros del clúster.
3.5 Adición de servidores al clúster
Para agregar servidores al clúster
En el servidor de DirectAccess configurado, haga clic en Inicio y, después, en Administración de acceso remoto. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
En la consola de administración de acceso remoto, haga clic en Configuración. En el panel Tareas, en Clúster con equilibrio de carga, haga clic en Agregar o eliminar servidores.
En el cuadro de diálogo Agregar o quitar servidores, haga clic en Agregar servidor.
En el cuadro de diálogo Agregar un servidor, en la página Seleccionar servidor, escriba el nombre del servidor de Acceso remoto adicional y, a continuación, haga clic en Siguiente.
En la página Adaptadores de red, realice una de las siguientes acciones:
Si va a implementar una topología con dos adaptadores de red, en Adaptador externo, seleccione el adaptador que está conectado a la red externa. En Adaptador interno, seleccione el adaptador que está conectado a la red interna.
Si va a implementar una topología con un adaptador de red, en Adaptador de red, seleccione el adaptador que está conectado a la red interna.
En la página Adaptadores de red, en Seleccione el certificado utilizado para autenticar las conexiones IP-HTTPS, haga clic en Examinar para buscar y seleccionar el certificado IP-HTTPS y, después, haga clic en Siguiente.
En la página Servidor de ubicación de red, haga clic en Examinar para seleccionar el certificado del sitio web del servidor de ubicación de red que se ejecuta en el servidor de Acceso remoto y, después, haga clic en Siguiente.
Nota
La página Servidor de ubicación de red aparece solo cuando el sitio web del servidor de ubicación de red se está ejecutando en el servidor de Acceso remoto.
Nota
Si la VPN también estuviera configurada en el servidor de Acceso remoto, se le pediría que agregara la información del grupo de direcciones IP de la VPN en este punto.
En la página Resumen, haga clic en Agregar.
En la página Finalización, haga clic en Cerrar.
Repita este procedimiento para todos los servidores de Acceso remoto que quiera agregar al clúster.
En el cuadro de diálogo Agregar o quitar servidores, haga clic en Confirmar.
En el cuadro de diálogo Agregar y quitar servidores, haga clic en Cerrar.
Comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>
Nota
Si no se ha habilitado la VPN en un clúster con equilibrio de carga, no debería proporcionar ningún rango de direcciones VPN al añadir un nuevo servidor al clúster usando los cmdlets de PowerShell de Windows. Si lo ha hecho por error, elimine el servidor del clúster y vuelva a agregarlo al clúster sin especificar los rangos de direcciones VPN.
3.6 Eliminación de un servidor del clúster
Para eliminar un servidor del clúster
En el servidor de Acceso remoto configurado, haga clic en Inicio y, después, en Administración de acceso remoto. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
En la consola de administración de acceso remoto, haga clic en Configuración. En el panel Tareas, en Clúster con equilibrio de carga, haga clic en Agregar o eliminar servidores.
En el cuadro de diálogo Agregar o quitar servidores, seleccione el servidor de acceso remoto que desea quitar y haga clic en Quitar servidor.
En el cuadro de diálogo Quitar advertencia del servidor, asegúrese de elegir el servidor correcto y haga clic en Aceptar.
Repita este procedimiento para todos los servidores de Acceso remoto que quiera eliminar del clúster.
En el cuadro de diálogo Agregar o quitar servidores, haga clic en Confirmar.
En el cuadro de diálogo Agregar y quitar servidores, haga clic en Cerrar.
Comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>
3.7 Deshabilitar el equilibrio de carga
Realice este paso con Windows PowerShell
Para deshabilitar el equilibrio de carga
En el servidor de DirectAccess configurado, haga clic en Inicio y, después, en Administración de acceso remoto. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
En la consola de administración de acceso remoto, haga clic en Configuración. En el panel Tareas, en Clúster con equilibrio de carga, haga clic en Deshabilitar equilibrio de carga.
En el cuadro de diálogo Deshabilitar equilibrio de carga, haga clic en Aceptar.
En el cuadro de diálogo Deshabilitar equilibrio de carga, haga clic en Cerrar.
Comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
set-RemoteAccessLoadBalancer -disable
Deshabilitar el equilibrio de carga quitará la configuración de Acceso remoto y la configuración de NLB (si está configurada) de todos los servidores, excepto el servidor desde el que se está ejecutando. En este servidor de Acceso remoto, se quitará la configuración de NLB (si se configuró), pero la configuración de Acceso remoto permanecerá.
Al hacer clic en Quitar opciones de configuración, se quitará el acceso remoto y NLB (si está configurado) de todos los servidores de la implementación.
Nota
- Si se desinstala el Acceso remoto cuando se implementa el equilibrio de carga, todos los servidores quedan con DIP. Se quitan las VIP. Esto hace que se produzca un error en todas las rutas de la red corporativa destinadas a las direcciones VIP. Esto también afecta a las entradas DNS que se resolvieron en las VIP, como el nombre del firmante del certificado del servidor de ubicación de red. Para evitar este problema, deshabilite el equilibrio de carga, que deja las VIP en el último servidor de Acceso remoto y, a continuación, desinstale el Acceso remoto.
- Después de usar el cmdlet Set-RemoteAccessLoadBalancer para deshabilitar el equilibrio de carga, espere 2 minutos antes de ejecutar cualquier otro cmdlet. Esto también debe hacerse en los scripts que ejecutan otro cmdlet después del cmdlet Set-RemoteAccessLoadBalancer -disable.
- Al deshabilitar el equilibrio de carga, se cambia la dirección IP virtual del clúster a una dirección IP dedicada. Como resultado, cualquier operación que consulte el nombre del servidor producirá un error hasta que expire la entrada DNS almacenada en caché en el servidor. Asegúrese de no ejecutar ningún cmdlet de PowerShell de Acceso remoto después de deshabilitar el equilibrio de carga hasta que la memoria caché del servidor haya expirado. Este problema es más común si intenta deshabilitar el equilibrio de carga en una máquina desde otra máquina que se encuentra en otro dominio. Esto también ocurre si deshabilita el equilibrio de carga desde la consola de administración de Acceso remoto y puede impedir que la configuración se cargue. La configuración se cargará después de que la memoria caché haya expirado o se haya vaciado.