Share via

クラスターでのリモート アクセスの展開

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

Windows Server 2016 と Windows Server 2012 では、DirectAccess とリモートアクセスサービス (RAS) VPNが1つのリモート アクセスの役割に統合されています。 リモート アクセスは、さまざまなエンタープライズ シナリオで展開できます。 ここでは、Windows ネットワーク負荷分散 (NLB) または F5 Big-IP などの外部ロード バランサー (ELB) を使用して負荷分散するクラスターに複数のリモート アクセス サーバーを展開するエンタープライズ シナリオの概要について説明します。

シナリオの説明

クラスター展開では、複数のリモート アクセス サーバーを 1 つの単位にまとめ、それが、リモート アクセス クラスターの外部仮想 IP (VIP) アドレスを使用して DirectAccess または VPN 経由で企業内部ネットワークに接続するリモート クライアント コンピューターの単一の接続ポイントとして機能します。 クラスターへのトラフィックは、Windows NLB または外部ロード バランサー (F5 Big-IP など) を使用して負荷分散されます。

前提条件

このシナリオの展開を開始する前に、重要な要件の一覧を確認してください。

  • Windows NLB による既定の負荷分散。

  • 外部のロード バランサーがサポートされます。

  • ユニキャスト モードが NLB の既定であり推奨されるモードです。

  • DirectAccess 管理コンソールまたは Windows PowerShell コマンドレットを使用しないポリシーの変更はサポートされていません。

  • NLB または外部ロード バランサーを使用する場合、IPHTTPS プレフィックスを /59 以外に変更することはできません。

  • 負荷分散されるノードは、同じ IPv4 サブネット内にある必要があります。

  • ELB の展開では、外部管理が必要な場合は、DirectAccess クライアントは Teredo を使用できません。 エンド ツー エンドの通信には IPHTTPS のみを使用できます。

  • 既知のすべての NLB/ELB 修正プログラムがインストールされていることを確認します。

  • 企業ネットワーク内での ISATAP はサポートしていません。 ISATAP を使用している場合は、これを削除し、ネイティブ IPv6 を使用する必要があります。

このシナリオの内容

クラスター展開シナリオには、いくつかの手順があります。

  1. 詳細オプションを使用して Always on VPN サーバーを展開します。 クラスターの展開をセットアップする前に、高度な設定を使用する単一のリモート アクセス サーバーを展開する必要があります。

  2. リモート アクセス クラスターの展開を計画する 単一サーバーの展開からクラスターを構築するには、クラスターに展開に対する証明書の準備など、多くの追加手順が必要です。

  3. リモート アクセス クラスターを構成する。 これは、Windows NLB または外部ロード バランサーに対する単一サーバーの準備、追加のサーバーをクラスターに参加させる準備、負荷分散の有効化など、さまざまな構成手順で構成されます。

実際の適用例

複数のサーバーをサーバー クラスターにまとめると、次のことが実現されます。

  • スケーラビリティ。 スケーラビリティ: 単一のリモート アクセス サーバーでは、限られたサーバー信頼性とパフォーマンスしか実現できません。 2 台以上のサーバーのリソースを 1 つのクラスターにグループ化すると、対応可能なユーザー数とスループットの容量が増加します。

  • 高可用性: 高可用性: クラスターは常時接続アクセスの高可用性を実現します。 クラスター内のサーバーで障害が発生しても、リモート ユーザーはクラスター内の別のサーバーを経由して企業ネットワークに引き続きアクセスすることができます。 クラスター内のすべてのサーバーが同じクラスター仮想 IP (VIP) アドレス セットを持ちます。このとき、各サーバー固有の専用 IP アドレスは維持されます。

  • 簡単な管理。: 簡単な管理: クラスターでは、複数のサーバーを単一のエンティティとして管理できます。 クラスター サーバー全体で共有設定を簡単に設定できます。 リモート アクセス設定をクラスター内の任意のサーバーから管理することや、リモート サーバー管理ツール (RSAT) を使用してリモートで管理することができます。 また、単一のリモート アクセス管理コンソールからクラスター全体を監視できます。

このシナリオに含まれている役割と機能

次の表に、このシナリオに必要な役割と機能を示します。

役割/機能 このシナリオのサポート方法
リモート アクセスの役割 この役割をインストールまたはアンインストールするには、サーバー マネージャー コンソールを使用します。 この役割には、以前は Windows Server 2008 R2 の機能であった DirectAccess と、以前はネットワーク ポリシーとアクセス サービス (NPAS) サーバーの役割の役割サービスであったリモート アクセス サービス (RRAS) の両方が含まれています。 リモート アクセスの役割は、次の 2 つのコンポーネントで構成されています。

DirectAccess およびルーティングとリモート アクセス サービス (RRAS) VPN: DirectAccess と VPN はリモート アクセス管理コンソールで一緒に管理されます。
RRAS ルーティング: RRAS ルーティング機能は、従来のルーティングとリモート アクセス管理コンソールで管理されます。

依存関係は次のとおりです。

インターネット インフォメーション サービス (IIS) Web サーバー: この機能は、ネットワーク ロケーション サーバーおよび既定の Web プローブを構成するために必要です。
Windows Internal Database: リモート アクセス サーバーでのローカル アカウンティングに使用されます。
リモート アクセス管理ツールの機能 この機能は、次のようにインストールされます。

- リモート アクセスの役割をインストールするときに、リモート アクセス サーバーに既定でインストールされます。リモート管理コンソールのユーザー インターフェイスがサポートされます。
- 必要に応じて、リモート アクセス サーバーの役割が実行されていないサーバーにインストールできます。 この場合は、DirectAccess および VPN が実行されているリモート アクセス コンピューターのリモート管理に使用されます。

リモート アクセス管理ツールの機能は、次の要素で構成されています。

-リモート アクセス GUI およびコマンド ライン ツール
-Windows PowerShell 用のリモート アクセス モジュール

次の要素と依存関係があります。

-グループ ポリシー管理コンソール
- RAS 接続マネージャー管理キット (CMAK)
- Windows PowerShell 3.0
-グラフィカル管理ツールとインフラストラクチャ
Network Load Balancing この機能により、Windows NLB を使用してクラスターの負荷を分散します。

ハードウェア要件

このシナリオのハードウェア要件は次のとおりです。

  • Windows Server 2012 のハードウェア要件を満たす 2 台以上のコンピューター。

  • 外部ロード バランサーのシナリオでは、専用のハードウェアが必要です (F5 BigIP など)。

  • このシナリオをテストするには、Always On VPN クライアントとして構成されている Windows 10 を実行しているコンピューターが少なくとも1台必要です。

ソフトウェア要件

このシナリオには、さまざまな要件があります。

  • 単一サーバーの展開のソフトウェア要件。 「詳細設定を使用して単一の DirectAccess サーバーを展開する」を参照してください。 1つのリモートアクセス)。

  • 単一サーバーのソフトウェア要件に加え、クラスター固有の要件がいくつかあります。

    • 各クラスター サーバーで、IP-HTTPS 証明書のサブジェクト名が ConnectTo アドレスと一致している必要があります。 クラスターの展開では、ワイルドカード証明書と非ワイルドカード証明書の混合がクラスター サーバーでサポートされます。

    • ネットワーク ロケーション サーバーがリモート アクセス サーバーにインストールされている場合、各クラスター サーバーで、ネットワーク ロケーション サーバー証明書に同じサブジェクト名が含まれている必要があります。 また、ネットワーク ロケーション サーバーの証明書の名前は、DirectAccess の展開内のどのサーバーの名前とも一致していてはなりません。

    • IP-HTTPS およびネットワーク ロケーション サーバーの証明書は、単一サーバーに対して発行した証明書と同じ方法で発行する必要があります。 たとえば、単一サーバーでパブリック証明機関 (CA) を使用している場合は、クラスター内のすべてのサーバーで証明書がパブリック CA によって発行される必要があります。 また、単一サーバーで IP-HTTPS 用の自己署名証明書を使用している場合は、クラスター内のすべてのサーバーで同じようにする必要があります。

    • サーバー クラスターの DirectAccess クライアント コンピューターに割り当てられている IPv6 プレフィックスは 59 ビットである必要があります。 VPN が有効な場合は、VPN プレフィックスも 59 ビットである必要があります。

既知の問題

クラスター構成シナリオには、次の既知の問題があります。

  • 単一のネットワーク アダプターを使用して IPv4 のみの展開で DirectAccess を構成し、既定の DNS64 (":3333::" を含む IPv6 アドレス) がネットワーク アダプターに自動的に構成された後で、リモート アクセス管理コンソールを使用して負荷分散を有効にしようとすると、IPv6 DIP の指定を求められます。 IPv6 DIP を指定すると、[コミット] をクリックした後に "パラメーターが正しくありません" というエラーで構成が失敗します。

    この問題を解決するには、次の手順を実行します。

    1. Back up and Restore Remote Access Configuration (リモート アクセスの構成のバックアップと復元)」からバックアップおよび復元用のスクリプトをダウンロードします。

    2. ダウンロードしたスクリプト Backup-RemoteAccess.ps1 を使用して、リモート アクセス GPO をバックアップします。

    3. 失敗した手順まで、負荷分散の有効化を試みます。 [負荷分散の有効化] ダイアログ ボックスで、詳細領域を展開し、詳細領域内を右クリックして、[スクリプトのコピー] をクリックします。

    4. メモ帳を開き、クリップボードの内容を貼り付けます。 例:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    5. 開いているリモート アクセス ダイアログ ボックスをすべて閉じ、リモート アクセス管理コンソールを閉じます。

    6. 貼り付けたテキストを編集して、IPv6 アドレスを削除します。 例:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    7. 管理者特権の PowerShell ウィンドウで、前の手順のコマンドを実行します。

    8. コマンドレットが実行中に (不正入力値以外の理由で) 失敗する場合は、コマンド Restore-RemoteAccess.ps1 を実行し、手順に従って元の構成の整合性が維持されていることを確認します。

    9. リモート アクセス管理コンソールを再び開くことができるようになります。