Menyebarkan Akses Jarak Jauh dalam Kluster
Windows Server 2016 dan Windows Server 2012 menggabungkan VPN DirectAccess dan Remote Access Service (RAS) ke dalam satu peran Akses Jarak Jauh. Anda dapat menyebarkan Akses Jarak Jauh dalam sejumlah skenario perusahaan. Gambaran umum ini memberikan pengenalan skenario perusahaan untuk menyebarkan beberapa server Akses Jarak Jauh dalam beban kluster yang seimbang dengan Windows Network Load Balancing (NLB) atau dengan load balancer eksternal (ELB), seperti F5 Big-IP.
Deskripsi Skenario
Penyebaran kluster mengumpulkan beberapa server Akses Jarak Jauh ke dalam satu unit, yang kemudian bertindak sebagai satu titik kontak untuk komputer klien jarak jauh yang terhubung melalui DirectAccess atau VPN ke jaringan perusahaan internal menggunakan alamat IP virtual eksternal (VIP) kluster Akses Jarak Jauh. Lalu lintas ke kluster diseimbangkan bebannya menggunakan Windows NLB atau dengan load balancer eksternal (seperti F5 Big-IP).
Prasyarat
Sebelum Anda mulai menyebarkan skenario ini, tinjau daftar ini untuk persyaratan penting:
Penyeimbangan beban default melalui Windows NLB.
Penyeimbang beban eksternal didukung.
Mode unicast adalah mode default dan direkomendasikan untuk NLB.
Mengubah kebijakan di luar konsol manajemen DirectAccess atau cmdlet PowerShell tidak didukung.
Ketika NLB atau load balancer eksternal digunakan, awalan IPHTTPS tidak dapat diubah ke apa pun selain /59.
Simpul seimbang beban harus berada di subnet IPv4 yang sama.
Dalam penyebaran ELB, jika pengelolaan diperlukan, maka klien DirectAccess tidak dapat menggunakan Teredo. Hanya IPHTTPS yang dapat digunakan untuk komunikasi end-to-end.
Pastikan semua perbaikan NLB/ELB yang diketahui diinstal.
ISATAP di jaringan perusahaan tidak didukung. Jika Anda menggunakan ISATAP, Anda harus menghapusnya dan menggunakan IPv6 asli.
Dalam skenario ini
Skenario penyebaran kluster mencakup sejumlah langkah:
Sebarkan server Always on VPN dengan opsi Tingkat Lanjut. Satu server Akses Jarak Jauh dengan pengaturan tingkat lanjut harus disebarkan sebelum menyiapkan penyebaran kluster.
Merencanakan Penyebaran Kluster Akses Jarak Jauh. Untuk membangun kluster dari penyebaran server tunggal, diperlukan sejumlah langkah tambahan, termasuk menyiapkan sertifikat untuk penyebaran kluster.
Mengonfigurasi Kluster Akses Jarak Jauh. Ini terdiri dari sejumlah langkah konfigurasi, termasuk menyiapkan server tunggal untuk Windows NLB atau penyeimbang beban eksternal, menyiapkan server tambahan untuk bergabung dengan kluster, dan mengaktifkan penyeimbangan beban.
Aplikasi praktis
Mengumpulkan beberapa server ke dalam kluster server menyediakan hal berikut:
Skalabilitas. Satu server Akses Jarak Jauh memberikan tingkat keandalan server yang terbatas dan performa yang dapat diskalakan. Dengan mengelompokkan sumber daya dua server atau lebih ke dalam satu kluster, Anda meningkatkan kapasitas untuk jumlah pengguna dan throughput.
Ketersediaan tinggi. Kluster menyediakan ketersediaan tinggi untuk akses always-on. Jika satu server di kluster gagal, pengguna jarak jauh dapat terus mengakses jaringan perusahaan melalui server yang berbeda di kluster. Semua server dalam kluster memiliki sekumpulan alamat IP virtual kluster (VIP) yang sama, sambil tetap mempertahankan alamat IP khusus yang unik untuk setiap server.
Kemudahan manajemen. Kluster memungkinkan manajemen beberapa server sebagai entitas tunggal. Pengaturan bersama dapat dengan mudah diatur di seluruh server kluster. Pengaturan Akses Jarak Jauh dapat dikelola dari salah satu server di kluster, atau dari jarak jauh menggunakan Remote Server Administration Tools (RSAT). Selain itu, seluruh kluster dapat dipantau dari satu konsol Manajemen Akses Jarak Jauh.
Peran dan fitur yang disertakan dalam skenario ini
Tabel berikut mencantumkan peran dan fitur yang diperlukan untuk skenario:
Peran/fitur | Cara mendukung skenario ini |
---|---|
Peran Akses Jarak Jauh | Peran diinstal dan dihapus instalasinya menggunakan konsol Manajer Server. Ini mencakup DirectAccess, yang sebelumnya merupakan fitur di Windows Server 2008 R2, dan Perutean dan Layanan Access Jarak Jauh (RRAS), yang sebelumnya merupakan layanan peran di bawah peran server Kebijakan Jaringan dan Layanan Access (NPAS). Peran Akses Jarak Jauh terdiri dari dua komponen: - VPN AlwaysOn dan Perutean dan Layanan Access Jarak Jauh (RRAS) VPN-DirectAccess dan VPN dikelola bersama-sama di konsol Manajemen Akses Jarak Jauh. Dependensinya adalah sebagai berikut: - Server Web Layanan Informasi Internet (IIS) - Fitur ini diperlukan untuk mengonfigurasi server lokasi jaringan dan pemeriksaan web default. |
Fitur Alat Manajemen Akses Jarak Jauh | Fitur ini diinstal sebagai berikut: - Ini diinstal secara default pada server Akses Jarak Jauh ketika peran Akses Jarak Jauh diinstal, dan mendukung antarmuka pengguna konsol Manajemen Jarak Jauh. Fitur Alat Manajemen Akses Jarak Jauh terdiri dari yang berikut ini: - GUI Akses Jarak Jauh dan Alat Baris Perintah Dependensi meliputi: - Konsol Manajemen Kebijakan Grup |
Penyeimbangan Beban Jaringan | Fitur ini menyediakan penyeimbangan beban dalam kluster menggunakan Windows NLB. |
Persyaratan perangkat keras
Persyaratan perangkat keras untuk skenario ini meliputi hal-hal berikut:
Setidaknya dua komputer yang memenuhi persyaratan perangkat keras untuk Windows Server 2012.
Untuk skenario External Load Balancer, perangkat keras khusus diperlukan (yaitu F5 BigIP).
Untuk menguji skenario, Anda harus memiliki setidaknya satu komputer yang menjalankan Windows 10 yang dikonfigurasi sebagai klien AlwaysOn VPN.
Persyaratan perangkat lunak
Ada sejumlah persyaratan untuk skenario ini:
Persyaratan perangkat lunak untuk penyebaran server tunggal. Untuk informasi selengkapnya, lihat Menyebarkan Server DirectAccess Tunggal dengan Pengaturan Tingkat Lanjut. Satu Akses Jarak Jauh).
Selain persyaratan perangkat lunak untuk satu server ada sejumlah persyaratan khusus kluster:
Pada setiap server kluster, nama subjek sertifikat IP-HTTPS harus cocok dengan alamat ConnectTo. Penyebaran kluster mendukung campuran sertifikat kartubebas dan non-kartubebas pada server kluster.
Jika server lokasi jaringan diinstal pada server Akses Jarak Jauh, pada setiap server kluster, sertifikat server lokasi jaringan harus memiliki nama subjek yang sama. Selain itu, nama sertifikat server lokasi jaringan tidak boleh memiliki nama yang sama dengan server apa pun dalam penyebaran DirectAccess.
SERTIFIKAT IP-HTTPS dan server lokasi jaringan harus dikeluarkan menggunakan metode yang sama dengan sertifikat ke server tunggal dikeluarkan. Misalnya, jika server tunggal menggunakan otoritas sertifikasi publik (CA) maka semua server dalam kluster harus memiliki sertifikat yang dikeluarkan oleh CA publik. Atau jika server tunggal menggunakan sertifikat yang ditandatangani sendiri untuk IP-HTTPS, semua server dalam kluster harus melakukan hal yang sama.
Awalan IPv6 yang ditetapkan ke komputer klien DirectAccess pada kluster server harus 59 bit. Jika VPN diaktifkan, awalan VPN juga harus 59 bit.
Masalah umum
Berikut ini adalah masalah yang diketahui saat mengonfigurasi skenario kluster:
Setelah mengonfigurasi DirectAccess dalam penyebaran khusus IPv4 dengan adaptor jaringan tunggal, dan setelah DNS64 default (alamat IPv6 yang berisi ":3333::") secara otomatis dikonfigurasi pada adaptor jaringan, mencoba mengaktifkan penyeimbangan beban melalui konsol Manajemen Akses Jarak Jauh menyebabkan permintaan bagi pengguna untuk menyediakan IPv6 DIP. Jika IPv6 DIP disediakan, konfigurasi gagal setelah mengklik Terapkan dengan kesalahan: Parameter salah.
Untuk mengatasi masalah ini:
Unduh skrip pencadangan dan pemulihan dari Mencadangkan dan Memulihkan Konfigurasi Akses Jarak Jauh.
Cadangkan GPO Akses Jarak Jauh Anda menggunakan skrip yang diunduh Backup-RemoteAccess.ps1
Coba aktifkan penyeimbangan beban hingga langkah gagal. Pada kotak dialog Aktifkan Penyeimbangan Beban, perluas area detail, klik kanan di area detail, lalu klik Salin Skrip.
Buka Notepad, dan tempelkan konten clipboard. Contohnya:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose
Tutup kotak dialog Akses Jarak Jauh yang terbuka dan tutup konsol Manajemen Akses Jarak Jauh.
Edit teks yang ditempelkan dan hapus alamat IPv6. Contohnya:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose
Di jendela PowerShell yang ditingkatkan, jalankan perintah dari langkah sebelumnya.
Jika cmdlet gagal saat berjalan (bukan karena nilai input yang salah), jalankan perintah Restore-RemoteAccess.ps1 dan ikuti instruksi untuk memastikan bahwa integritas konfigurasi asli Anda dipertahankan.
Sekarang Anda dapat membuka konsol Manajemen Akses Jarak Jauh lagi.