3 단계 부하 분산 된 클러스터 배포 계획

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

부하 분산 구성 및 클러스터 배포를 계획 하는 다음 단계가입니다.

Task	설명
3.1 부하 분산 계획	Windows 네트워크 로드 균형 조정 (NLB), 또는 외부 부하 분산 장치 (ELB)를 사용할지 여부를 결정 합니다.
3.2 IP-HTTPS 계획	자체 서명 된 인증서를 사용 하지 않는 경우 원격 액세스 서버는 클러스터의 각 서버에서 SSL 인증서를 IP-HTTPS 연결을 인증 하는 데 필요 합니다.
3.3 VPN 클라이언트 연결에 대 한 계획	VPN 클라이언트 연결에 대 한 요구 사항을 note 합니다.
3.4 네트워크 위치 서버 계획	원격 액세스 서버에서 호스트 되는 네트워크 위치 서버 웹 사이트 자체 서명 된 인증서 사용 하지 않는 경우 클러스터의 각 서버에 웹 사이트에 연결을 인증 하려면 서버 인증서가 있는지 확인 합니다.

3.1 부하 분산 계획

단일 서버 또는 클러스터의 원격 액세스 서버에서 원격 액세스를 배포할 수 있습니다. 클러스터에 대 한 트래픽을 DirectAccess 클라이언트에 대 한 높은 가용성과 확장성을 제공 하는 분산 된 부하를 수 있습니다. 두 개의 부하 분산 옵션에는

• Windows NLB-Windows NLB는 Windows server 기능입니다. 를 사용 하려면 수행할 필요가 없는 추가 하드웨어 하기 때문에 클러스터의 모든 서버 트래픽 부하를 관리 합니다. Windows NLB 원격 액세스 클러스터에서 최대 8 명의 서버를 지원 합니다.

• 외부 부하 분산 장치-원격 액세스 클러스터 서버 간에 트래픽 부하를 관리 하는 외부 하드웨어 필요 외부 부하 분산 장치를 사용 합니다. 또한 외부 부하 분산 장치를 사용 하는 클러스터의 최대 32 대 한 원격 액세스 서버를 지원 합니다. 외부 부하 분산을 구성할 때 염두에 몇 가지 점은 다음과 같습니다.

  • 관리자가 가상 Ip 부하 분산 원격 액세스 마법사를 통해 구성에 외부 부하 분산 장치 (예: F5 Big-ip 로컬 트래픽 관리자 시스템)에 사용 되도록 해야 합니다. 외부 부하 분산 기능을 사용 외부 및 내부 인터페이스에 IP 주소는 가상 IP 주소를 하 고 부하 분산 장치에 연결 될 필요가 있습니다. 이 관리자는 클러스터 배포의 공개 이름에 대 한 DNS 항목을 변경 하지 않아도 되도록이 수행 됩니다. 또한 IPsec 터널 엔드포인트 Ip 서버에서 파생 됩니다. 관리자가 별도 가상 Ip를 제공 하는 경우 다음 클라이언트가 됩니다 서버에 연결할 수 있습니다. 3.1.1에서 외부 부하 분산 DirectAccess를 구성 하는 것에 대 한 예제를 참조 하십시오. 외부 부하 분산 장치 구성의 예입니다.

  • (F5) 하는 많은 외부 부하 분산 장치는 6to4 및 ISATAP의 부하 분산을 지원 하지 않습니다. 원격 액세스 서버를 ISATAP 라우터를 ISATAP 함수를 다른 컴퓨터로 옮겨야 합니다. 또한 다른 컴퓨터에서 ISATAP 함수 이면 DirectAccess 서버에 ISATAP 라우터에 기본 IPv6 연결이 있어야 합니다. 참고가이 연결 DirectAccess를 구성 하기 전에 있어야 합니다.

  • 외부 부하 분산에 대 한 Teredo를 사용 해야 하는 경우 모든 원격 액세스 서버는 두 개의 공용 IPv4 주소가 전용 IP 주소로 또한 클러스터의 가상 Ip 두 개의 공용 IPv4 주소가 있어야 합니다. 클러스터의 가상 Ip만 두 개의 공용 IPv4 주소가 있어야 하는 Windows NLB에 대 한 그렇지 않습니다. Teredo를 사용 하지 않는 경우에 두 개의 IP 주소가 필요 하지 않습니다.

  • 관리자는 외부 부하 분산 장치 또는 그 반대로 Windows NLB에서 전환할 수 있습니다. Note는 관리자로 전환할 수 없으며 외부 부하 분산 장치에서 Windows NLB 8 개 이상의 서버 외부 부하 분산 장치 배포에서 보유 하는 경우.

3.1.1 외부 부하 분산 장치 구성 예제

이 섹션에서는 새 원격 액세스 배포에는 외부 부하 분산 장치를 사용 하기 위한 구성 단계를 설명 합니다. 외부 부하 분산 장치를 사용 하는 경우 원격 액세스 클러스터는 아래 그림 처럼 보일 수 있습니다 원격 액세스 서버를 내부 네트워크에 부하 분산 장치를 통해 회사 네트워크 및 외부 네트워크에 연결 하는 부하 분산 장치를 통해 인터넷에 연결 되어 있는:

계획 정보

1. 외부 Vip (원격 액세스에 연결 하는 클라이언트에서 사용할 Ip) 131.107.0.102, 수를 결정 한 131.107.0.103

2. 부하 분산 장치에서 외부 네트워크 자체-Ip-131.107.0.245 (인터넷), 131.107.1.245

   경계 네트워크 (완충 지역 및 DMZ 라고도 함)에 외부 네트워크 부하 분산 장치에서 원격 액세스 서버 사이입니다.

3. 경계 네트워크-원격 액세스 서버에 대 한 131.107.1.102, 131.107.1.103 IP 주소

4. 30.11.1.101, 2006:2005:11:1::101 ELB 사이의 네트워크에 (즉, 원격 액세스 서버와 내부 네트워크에 부하 분산 장치)-원격 액세스 서버에 대 한 IP 주소

5. 부하 분산 장치에서 내부 네트워크 자체-Ip-30.11.1.245 2006:2005:11:1::245 ELB (), 30.1.1.245 2006:2005:1:1::245 (Corpnet)

6. 내부 Vip (원격 액세스 서버에 설치 된 경우 클라이언트 웹 검색 한 네트워크 위치 서버에 사용 되는 IP 주소) 30.1.1.10, 2006:2005:1:1::10 수 하기로 결정 했습니다.

단계

1. 주소 131.107.0.102, 131.107.0.103와 원격 액세스 서버의 외부 네트워크 (연결 된 어댑터를 경계 네트워크)을 구성 합니다. 이 단계는 올바른 IPsec 터널 엔드포인트를 검색 하는 DirectAccess 구성에 필요 합니다.

2. 웹 프로브/네트워크 위치 서버 IP 주소 (30.1.1.10 2006:2005:1:1::10)와 (즉 ELB 네트워크에 연결 된) 원격 액세스 서버의 내부 네트워크 어댑터를 구성 합니다. 이 단계는 클라이언트 네트워크 연결 길잡이 directaccess 연결 상태를 올바르게 표시 웹 프로브 IP 액세스를 허용 하기 위한 필요 합니다. 이 단계에서는 네트워크 위치 서버에 대 한 액세스는 DirectAccess 서버에 구성 된 경우.

   참고 항목

   도메인 컨트롤러인이 구성 사용 하 여 원격 액세스 서버에서 연결할 수 있는지 확인 합니다.

3. 원격 액세스 서버에서 DirectAccess 단일 서버를 구성 합니다.

4. 외부에서 부하 분산 DirectAccess 구성을 사용 하도록 설정 합니다. 외부 전용된 IP 주소 (DIP)와 131.107.1.102를 사용 하 여 (131.107.1.103 자동 선택 됩니다), 30.11.1.101, 2006:2005:11:1::101 내부 Dip로 사용 합니다.

5. 131.107.0.102 및 131.107.0.103 주소와 외부 부하 분산 장치에서 외부 가상 Ip (VIP)를 구성 합니다. 또한 30.1.1.10 주소와 외부 부하 분산 장치에 내부 Vip 및 2006:2005:1:1::10 구성 합니다.

6. 원격 액세스 서버가 이제 계획 된 IP 주소로 구성 되 고 외부 및 내부 IP 주소는 클러스터에 대 한 계획 된 IP 주소에 따라 구성 됩니다.

3.2 IP-HTTPS 계획

1. 인증서 요구 사항은-단일 원격 액세스 서버를 배포 하는 동안 공용 또는 내부 인증 기관 (CA)에서 발급 하는 IP-HTTPS 인증서 또는 자체 서명 된 인증서를 사용 하 여 선택 합니다. 클러스터 배포에 대 한 원격 액세스 클러스터의 각 구성원에서 동일한 유형의 인증서를 사용 해야 합니다. 즉, (권장) 공용 CA에서 발급 한 인증서를 사용 하는 경우 클러스터의 각 구성원에서 공용 CA에서 발급 한 인증서를 설치 해야 합니다. 새 인증서의 주체 이름을 현재 배포에 사용 된 IP-HTTPS 인증서의 주체 이름에 동일 해야 합니다. 자체 서명 된 인증서를 사용 하는 경우 이러한 구성 됩니다 자동으로 각 서버에서 클러스터 배포 시 참고 합니다.

2. 요구 사항 접두사-원격 액세스를 사용 하면 SSL 기반 트래픽과 DirectAccess 트래픽 부하를 분산 합니다. 로드 균형을 모든 IPv6 기반 DirectAccess 트래픽에, 원격 액세스 검사 해야 하는 모든 전환 기술에 대 한 IPv4 터널링 합니다. IP HTTPS 트래픽을 암호화 되어 있으므로 IPv4 터널의 내용 검토 수는 없습니다. 부하 분산 된 트래픽을 IP-HTTPS를 사용 하려면 모든 클러스터 구성원에 다른 IPv6 64 접두사를 지정할 수 있도록 충분 한 공간이 IPv6 접두사를 할당 해야 합니다. 로드 균형 조정된 클러스터;에서 최대 32 서버를 구성할 수 있습니다. 따라서 한 /59를 지정 해야 접두사입니다. 이 접두사는 원격 액세스 클러스터의 내부 IPv6 주소에 라우팅 가능 해야 하며 원격 액세스 서버 설치 마법사에서 구성 됩니다.

   참고 항목

   접두사 요구 사항이 사용 하도록 설정 하는 IPv6 내부 네트워크에만 해당 (IPv6 전용 또는 i p v 4 + IPv6). I p v 4만 회사 네트워크에 클라이언트 접두사는 자동으로 구성 하 고 관리자가이 변경할 수 없습니다.

3.3 VPN 클라이언트 연결에 대 한 계획

VPN 클라이언트 연결에 대 한 고려 사항 많습니다.

• VPN 클라이언트 트래픽 부하를 분산 하는 경우 VPN 클라이언트 주소는 DHCP를 사용 하 여 할당 된 수 없습니다. 고정 주소 풀이 필요 합니다.

• 사용 하 여 directaccess만 배포 된 부하 분산 클러스터에서 RRAS를 사용할 수 있습니다 VPN 사용 원격 액세스 관리 콘솔의 작업 창에 있습니다.

• 클러스터의 모든 원격 액세스 서버에서 수동으로 복제할 VPN 변경한 라우팅 및 원격 액세스 관리 콘솔 (rrasmgmt.msc)에서 완료 해야 합니다.

• VPN IPv6 클라이언트 트래픽을 부하를 분산할 수 있도록 59 비트 IPv6 접두사를 지정 해야 합니다.

3.4 네트워크 위치 서버 계획

단일 원격 액세스 서버의 네트워크 위치 서버 웹 사이트를 실행 하는 경우 배포 중 선택한 내부 인증 기관 (CA)에서 발급 한 인증서 또는 자체 서명 된 인증서를 사용 합니다. 다음을 참고하십시오.

1. 원격 액세스 클러스터의 각 구성원에 네트워크 위치 서버 웹 사이트에 대 한 DNS 항목에 해당 하는 네트워크 위치 서버에 대 한 인증서를 있어야 합니다.

2. 단일 원격 액세스 서버 현재 네트워크 위치 서버 인증서에 있는 인증서와 동일한 방식으로 각 클러스터 서버에 대 한 인증서를 발급 되어야 합니다. 예를 들어 내부 CA에서 발급 한 인증서를 사용 하는 경우에 클러스터의 각 구성원에서 내부 CA에서 발급 한 인증서를 설치 해야 합니다.

3. 자체 서명 된 인증서를 사용 하는 경우 자체 서명 된 인증서 클러스터 배포 시 자동으로 각 서버에 대해 구성할 수 됩니다.

4. 인증서의 주체 이름 서버를 원격 액세스 배포의 모든 이름과 같을 수 없습니다.