Bagikan melalui

Langkah 3 Merencanakan Penyebaran Kluster Yang Seimbang Beban

Langkah selanjutnya adalah merencanakan konfigurasi penyeimbangan beban dan penyebaran kluster.

Tugas Deskripsi
3.1 Merencanakan penyeimbangan beban Putuskan apakah akan menggunakan Windows Network Load Balancing (NLB), atau load balancer eksternal (ELB).
3.2 Paket IP-HTTPS Jika sertifikat yang ditandatangani sendiri tidak digunakan, server Akses Jarak Jauh memerlukan sertifikat SSL pada setiap server di kluster, untuk mengautentikasi koneksi IP-HTTPS.
3.3 Paket untuk koneksi klien VPN Perhatikan persyaratan untuk koneksi klien VPN.
3.4 Merencanakan server lokasi jaringan Jika situs web server lokasi jaringan dihosting di server Akses Jarak Jauh, dan sertifikat yang ditandatangani sendiri tidak digunakan, pastikan bahwa setiap server dalam kluster memiliki sertifikat server untuk mengautentikasi koneksi ke situs web.

3.1 Merencanakan penyeimbangan beban

Akses Jarak Jauh dapat disebarkan pada satu server, atau pada kluster server Akses Jarak Jauh. Lalu lintas ke kluster dapat diseimbangkan bebannya untuk memberikan ketersediaan dan skalabilitas tinggi untuk klien DirectAccess. Ada dua opsi penyeimbangan beban:

  • Windows NLB-Windows NLB adalah fitur server Windows. Untuk menggunakannya, Anda tidak memerlukan perangkat keras tambahan karena semua server dalam kluster bertanggung jawab untuk mengelola beban lalu lintas. Windows NLB mendukung maksimal delapan server dalam kluster Akses Jarak Jauh.

  • Load balancer eksternal-Menggunakan load balancer eksternal memerlukan perangkat keras eksternal untuk mengelola beban lalu lintas antara server kluster Akses Jarak Jauh. Selain itu, menggunakan load balancer eksternal mendukung maksimum 32 server Akses Jarak Jauh dalam kluster. Beberapa poin yang perlu diingat saat mengonfigurasi penyeimbangan beban eksternal adalah:

    • Administrator harus memastikan bahwa IP Virtual yang dikonfigurasi melalui wizard penyeimbangan beban Akses Jarak Jauh digunakan pada penyeimbang beban eksternal (seperti sistem F5 Big-Ip Local Traffic Manager). Ketika penyeimbangan beban eksternal diaktifkan, alamat IP pada antarmuka eksternal dan internal akan dipromosikan ke alamat IP Virtual, dan harus di-plumbed pada load balancer. Ini dilakukan agar administrator tidak perlu mengubah entri DNS untuk nama publik penyebaran kluster. Selain itu, titik akhir terowongan IPsec berasal dari IP server. Jika administrator menyediakan IP Virtual terpisah, maka klien tidak akan dapat tersambung ke server. Lihat contoh untuk mengonfigurasi DirectAccess dengan External Load Balancing dalam contoh konfigurasi Load Balancer Eksternal 3.1.1.

    • Banyak load balancer eksternal (termasuk F5) tidak mendukung penyeimbangan beban 6to4 dan ISATAP. Jika server Akses Jarak Jauh adalah router ISATAP, fungsi ISATAP harus dipindahkan ke komputer lain. Selain itu, ketika fungsi ISATAP berada di komputer yang berbeda, server DirectAccess harus memiliki konektivitas IPv6 asli dengan router ISATAP. Perhatikan bahwa konektivitas ini harus ada sebelum mengonfigurasi DirectAccess.

    • Untuk penyeimbangan beban eksternal, jika Teredo harus digunakan, semua server Akses Jarak Jauh harus memiliki dua alamat IPv4 publik berturut-turut sebagai alamat IP khusus. IP Virtual kluster juga harus memiliki dua alamat IPv4 publik berturut-turut. Ini tidak berlaku untuk Windows NLB di mana hanya IP Virtual kluster harus memiliki dua alamat IPv4 publik berturut-turut. Jika Teredo tidak digunakan, dua alamat IP berturut-turut tidak diperlukan.

    • Administrator dapat beralih dari Windows NLB ke load balancer eksternal dan sebaliknya. Perhatikan bahwa administrator tidak dapat beralih dari load balancer eksternal ke Windows NLB jika ia memiliki lebih dari 8 server dalam penyebaran load balancer eksternal.

3.1.1 Contoh konfigurasi Load Balancer Eksternal

Bagian ini menjelaskan langkah-langkah konfigurasi untuk mengaktifkan load balancer eksternal pada penyebaran Akses Jarak Jauh baru. Saat menggunakan load balancer eksternal, kluster Akses Jarak Jauh mungkin terlihat seperti gambar di bawah ini, di mana server Akses Jarak Jauh terhubung ke jaringan perusahaan melalui load balancer di jaringan internal, dan ke Internet melalui load balancer yang terhubung ke jaringan eksternal:

Contoh konfigurasi Load Balancer Eksternal

Informasi perencanaan

  1. VIP eksternal (IP yang akan digunakan klien untuk menyambungkan ke Akses Jarak Jauh) diputuskan menjadi 131.107.0.102, 131.107.0.103

  2. Load balancer pada IP mandiri jaringan eksternal - 131.107.0.245 (Internet), 131.107.1.245

    Jaringan perimeter (juga dikenal sebagai zona demiliterisasi dan DMZ) adalah antara load balancer pada jaringan eksternal dan server Akses Jarak Jauh.

  3. Alamat IP untuk server Akses Jarak Jauh di jaringan perimeter - 131.107.1.102, 131.107.1.103

  4. Alamat IP untuk server Akses Jarak Jauh di jaringan ELB (yaitu antara server Akses Jarak Jauh dan penyeimbang beban di jaringan internal) - 30.11.1.101, 2006:2005:11:1::101

  5. Load balancer pada IP mandiri jaringan internal - 30.11.1.245 2006:2005:11:1::245 (ELB), 30.1.1.245 2006:2005:1:1::245 (Corpnet)

  6. VIP internal (alamat IP yang digunakan untuk pemeriksaan web klien dan untuk server lokasi jaringan, jika diinstal pada server Akses Jarak Jauh) diputuskan menjadi 30.1.1.10, 2006:2005:1:1::10

Langkah-langkah

  1. Konfigurasikan adaptor jaringan eksternal server Akses Jarak Jauh (yang tersambung ke jaringan perimeter) dengan alamat 131.107.0.102, 131.107.0.103. Langkah ini diperlukan untuk konfigurasi DirectAccess untuk mendeteksi titik akhir terowongan IPsec yang benar.

  2. Konfigurasikan adaptor jaringan internal server Remote Access (yang terhubung ke jaringan ELB) dengan alamat IP server lokasi web-probe/jaringan (30.1.1.10, 2006:2005:1:1::10). Langkah ini diperlukan untuk memungkinkan klien mengakses IP pemeriksaan web, sehingga asisten konektivitas jaringan menunjukkan status koneksi ke DirectAccess dengan benar. Langkah ini juga memungkinkan akses ke server lokasi jaringan, jika dikonfigurasi di server DirectAccess.

    Catatan

    Pastikan pengendali domain dapat dijangkau dari server Akses Jarak Jauh dengan konfigurasi ini.

  3. Konfigurasikan server tunggal DirectAccess di server Akses Jarak Jauh.

  4. Aktifkan penyeimbangan beban eksternal dalam konfigurasi DirectAccess. Gunakan 131.107.1.102 sebagai alamat IP khusus eksternal (DIP) (131.107.1.103 akan dipilih secara otomatis), gunakan 30.11.1.101, 2006:2005:11:1::101 sebagai DIP internal.

  5. Konfigurasikan IP virtual eksternal (VIP) pada load balancer eksternal dengan alamat 131.107.0.102 dan 131.107.0.103. Selain itu, konfigurasikan VIP internal pada load balancer eksternal dengan alamat 30.1.1.10 dan 2006:2005:1:1::10.

  6. Server Akses Jarak Jauh sekarang akan dikonfigurasi dengan alamat IP yang direncanakan, dan alamat IP eksternal dan internal untuk kluster akan dikonfigurasi sesuai dengan alamat IP yang direncanakan.

3.2 Paket IP-HTTPS

  1. Persyaratan sertifikat-Selama penyebaran server Akses Jarak Jauh tunggal yang Anda pilih untuk menggunakan sertifikat IP-HTTPS yang dikeluarkan oleh otoritas sertifikasi publik atau internal (CA), atau sertifikat yang ditandatangani sendiri. Untuk penyebaran kluster, Anda harus menggunakan jenis sertifikat yang identik pada setiap anggota kluster Akses Jarak Jauh. Artinya, jika Anda menggunakan sertifikat yang dikeluarkan oleh CA publik (disarankan), Anda harus menginstal sertifikat yang dikeluarkan oleh CA publik pada setiap anggota kluster. Nama subjek sertifikat baru harus identik dengan nama subjek sertifikat IP-HTTPS yang saat ini digunakan dalam penyebaran Anda. Perhatikan bahwa jika Anda menggunakan sertifikat yang ditandatangani sendiri, sertifikat ini akan dikonfigurasi secara otomatis di setiap server selama penyebaran kluster.

  2. Persyaratan awalan-Akses Jarak Jauh memungkinkan penyeimbangan beban lalu lintas berbasis SSL dan lalu lintas DirectAccess. Untuk menyeimbangkan beban semua lalu lintas DirectAccess berbasis IPv6, Akses Jarak Jauh harus memeriksa penerowongan IPv4 untuk semua teknologi transisi. Karena lalu lintas IP-HTTPS dienkripsi, memeriksa konten terowongan IPv4 tidak dimungkinkan. Untuk mengaktifkan lalu lintas IP-HTTPS agar beban seimbang, Anda harus mengalokasikan awalan IPv6 yang cukup lebar sehingga awalan IPv6 /64 yang berbeda dapat ditetapkan ke setiap anggota kluster. Anda dapat mengonfigurasi maksimum 32 server dalam kluster seimbang beban; oleh karena itu, Anda harus menentukan awalan /59. Awalan ini harus dapat dirutekan ke alamat IPv6 internal kluster Akses Jarak Jauh, dan dikonfigurasi dalam wizard Penyetelan Server Akses Jarak Jauh.

    Catatan

    Persyaratan awalan hanya relevan dalam jaringan internal yang diaktifkan IPv6 (khusus IPv6, atau IPV4+IPv6). Dalam jaringan perusahaan hanya IPv4, awalan klien secara otomatis dikonfigurasi dan administrator tidak dapat mengubahnya.

3.3 Paket untuk koneksi klien VPN

Ada sejumlah pertimbangan untuk koneksi klien VPN:

  • Lalu lintas klien VPN tidak dapat diseimbangkan bebannya jika alamat klien VPN dialokasikan menggunakan DHCP. Kumpulan alamat statis diperlukan.

  • RRAS dapat diaktifkan pada kluster seimbang beban yang telah disebarkan hanya untuk DirectAccess, menggunakan Aktifkan VPN pada panel Tugas konsol Manajemen Akses Jarak Jauh.

  • Setiap perubahan VPN yang diselesaikan di konsol Perutean dan Manajemen Akses Jarak Jauh (rrasmgmt.msc) harus direplikasi secara manual pada semua server Akses Jarak Jauh di kluster.

  • Untuk mengaktifkan lalu lintas klien VPN IPv6 agar beban seimbang, Anda harus menentukan awalan IPv6 59-bit.

3.4 Merencanakan server lokasi jaringan

Jika Anda menjalankan situs web server lokasi jaringan pada satu server Akses Jarak Jauh, selama penyebaran yang Anda pilih untuk menggunakan sertifikat yang dikeluarkan oleh otoritas sertifikasi internal (CA), atau sertifikat yang ditandatangani sendiri. Berikut hal-hal yang perlu diketahui:

  1. Setiap anggota kluster Akses Jarak Jauh harus memiliki sertifikat untuk server lokasi jaringan yang sesuai dengan entri DNS untuk situs web server lokasi jaringan.

  2. Sertifikat untuk setiap server kluster harus dikeluarkan dengan cara yang sama seperti sertifikat pada sertifikat server lokasi jaringan akses jarak jauh tunggal saat ini. Misalnya, jika Anda menggunakan sertifikat yang dikeluarkan oleh CA internal, Anda harus menginstal sertifikat yang dikeluarkan oleh CA internal pada setiap anggota kluster.

  3. Jika Anda menggunakan sertifikat yang ditandatangani sendiri, sertifikat yang ditandatangani sendiri akan dikonfigurasi secara otomatis untuk setiap server selama penyebaran kluster.

  4. Nama subjek sertifikat tidak boleh identik dengan nama server mana pun dalam penyebaran Akses Jarak Jauh.