Delen via

Stap 3 Een Load-Balanced-cluster configureren

Nadat u servers voor het cluster hebt voorbereid, configureert u taakverdeling op de enkele server, configureert u de vereiste certificaten en implementeert u het cluster.

Opdracht Beschrijving
3.1 Het IPv6-voorvoegsel configureren Als het bedrijfsnetwerk IPv4+IPv6 of alleen IPv6 is, moet u op de enkele Remote Access-server controleren of het IPv6-voorvoegsel dat aan DirectAccess-clientcomputers is toegewezen groot genoeg is om alle servers in uw cluster te dekken.
3.2 Taakverdeling inschakelen Schakel taakverdeling in op de enkele RAS-server.
3.3 Installeer het IP-HTTPS-certificaat Voor elke server in het cluster is een servercertificaat vereist om IP-HTTPS verbinding te verifiëren. Exporteer het IP-HTTPS-certificaat van de ene RAS-server en implementeer het op elke server die u aan het cluster toevoegt. Dit is alleen vereist als u niet-zelfondertekende certificaten gebruikt.
3.4 Installeer het certificaat van de netwerklocatieserver Als de netwerklocatieserver lokaal is geïmplementeerd op de enkele server, moet u het certificaat van de netwerklocatieserver implementeren op elke server in het cluster. Als de netwerklocatieserver wordt gehost op een externe server, is er geen certificaat op elke server vereist. Dit is alleen vereist als u niet-zelfondertekende certificaten gebruikt.
3.5 Servers toevoegen aan het cluster Voeg alle servers toe aan het cluster. Externe toegang mag niet worden geconfigureerd op de servers die moeten worden toegevoegd.
3.6 Een server uit het cluster verwijderen Instructies voor het verwijderen van een server uit het cluster.
3.7 Taakverdeling uitschakelen Instructies voor het uitschakelen van taakverdeling.

Opmerking

Het IP-adres dat voor het DIP is geselecteerd, mag niet worden gebruikt op de netwerkadapters van de eerste RAS-server in het cluster. Het starten van de DirectAccess-implementatie met zowel VIP als DIP die aan de netwerkadapter is toegevoegd, leidt tot een storing.

Opmerking

Zorg ervoor dat u geen DIP gebruikt die al aanwezig is op een andere computer in het netwerk.

3.1 Het IPv6-voorvoegsel configureren

Het voorvoegsel configureren

  1. Klik op de RAS-server op Start en klik vervolgens op Beheer van externe toegang. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie de gewenste is en klikt u vervolgens op Ja.

  2. Klik in de beheerconsole voor externe toegang op Configuratie.

  3. Klik in het middelste deelvenster van de console in het gebied DirectAccess-server van stap 2 op Bewerken.

  4. Klik op Configuratie van voorvoegsel. Voer op de pagina Voorvoegselconfiguratie in IPv6-voorvoegsel dat is toegewezen aan DirectAccess-clientcomputers het IPv6-voorvoegsel in dat wordt gebruikt voor DirectAccess-clientcomputers met een subnetlengte van 59, bijvoorbeeld 2001:db8:1:1000::/59. Als VPN ook is ingeschakeld met IPv6, wordt er een IPv6-voorvoegsel weergegeven en moet de lengte van het subnet worden gewijzigd in 59. Klik op Volgende.

  5. Klik in het middelste deelvenster van de console op Voltooien.

  6. Controleer in het dialoogvenster Externe toegangsbeoordeling de configuratie-instellingen en klik vervolgens op Toepassen. Klik in het dialoogvenster Instellingen toepassen van de wizard Externe toegang op Sluiten.

3.2 Taakverdeling inschakelen

Taakverdeling inschakelen

  1. Klik op de geconfigureerde DirectAccess-server op Start en klik vervolgens op Beheer van externe toegang. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie de gewenste is en klikt u vervolgens op Ja.

  2. Klik in de beheerconsole voor externe toegang in het linkerdeelvenster op Configuratie en klik vervolgens in het deelvenster Taken op Taakverdeling inschakelen.

  3. Klik in de wizard Taakverdeling inschakelen op Volgende.

  4. Afhankelijk van wat u hebt gekozen in de planningsstappen:

    1. Windows NLB: Klik op de pagina Taakverdelingsmethode op Windows Network Load Balancing (NLB) gebruiken en klik vervolgens op Volgende.

    2. Externe load balancer: klik op de pagina Taakverdelingsmethode op Een externe load balancer gebruiken en klik vervolgens op Volgende.

  5. Voer in één netwerkadapterimplementatie op de pagina Toegewezen IP-adressen het volgende uit en klik vervolgens op Volgende:

    1. Voer in het IPv4-adresvak het nieuwe IPv4-adres voor deze RAS-server in; het huidige IPv4-adres is het virtuele IP-adres (VIP) van het cluster met gelijke taakverdeling. Voer in het vak Subnetmasker het subnetmasker in.

    2. Als de bedrijfsomgeving systeemeigen IPv6 is, voert u in het IPv6-adresvak het nieuwe IPv6-adres voor deze RAS-server in; het huidige IPv6-adres is het VIP van het cluster met gelijke taakverdeling. Voer in het vak Lengte van het subnetvoorvoegsel de lengte van het subnetvoorvoegsel in.

  6. Voer in een implementatie van twee netwerkadapters op de pagina Externe toegewezen IP-adressen het volgende uit en klik vervolgens op Volgende:

    1. Voer in het IPv4-adresvak het nieuwe externe IPv4-adres voor deze RAS-server in; het huidige IPv4-adres is het virtuele IP-adres (VIP) van het taakverdelingscluster. Voer in het vak Subnetmasker het subnetmasker in.

    2. Als er momenteel systeemeigen IPv6-adressen zijn geconfigureerd op de internetgerichte netwerkadapter van de RAS-server, voert u in het IPv6-adresvak het nieuwe externe IPv6-adres voor deze RAS-server in; het huidige IPv6-adres is het VIP van het taakverdelingscluster. Voer in het vak Lengte van het subnetvoorvoegsel de lengte van het subnetvoorvoegsel in.

  7. Voer in een implementatie van twee netwerkadapters op de pagina Interne toegewezen IP-adressen het volgende uit en klik vervolgens op Volgende:

    1. Voer in het IPv4-adresvak het nieuwe interne IPv4-adres voor deze RAS-server in; het huidige IPv4-adres is het VIP van het taakverdelingscluster. Voer het subnetmasker in het vak Subnetmasker in.

    2. Als de bedrijfsomgeving systeemeigen IPv6 is, voert u in het IPv6-adresvak het nieuwe interne IPv6-adres voor deze RAS-server in; het huidige IPv6-adres is het VIP van het taakverdelingscluster. Voer in het vak Lengte van het subnetvoorvoegsel de lengte van het subnetvoorvoegsel in.

  8. Klik op de pagina Samenvatting op Doorvoeren.

  9. Klik in het dialoogvenster Taakverdeling inschakelen op Sluiten.

  10. Klik in de wizard Taakverdeling inschakelen op Sluiten.

    Opmerking

    Als er externe taakverdeling wordt gebruikt, noteert u de virtuele IP's en geeft u deze op voor de externe load balancers.

Windows PowerShell windows PowerShell-equivalente opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

Als u ervoor kiest windows NLB te gebruiken in de planningsstappen, voert u het volgende uit:

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")

Als u ervoor kiest om een externe load balancer in de planningsstappen te gebruiken, voert u het volgende uit:

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer

Opmerking

Het wordt aanbevolen om geen wijzigingen in load balancer-instellingen op te nemen met wijzigingen in andere instellingen, als u groepsbeleidsobjecten voor fasering gebruikt. Wijzigingen in load balancer-instellingen moeten eerst worden toegepast en vervolgens moeten andere configuratiewijzigingen worden aangebracht. Na het configureren van een load balancer op een nieuwe DirectAccess-server, moet u ook enige tijd toestaan voordat de IP-wijzigingen worden toegepast en gerepliceerd op de DNS-servers in de onderneming, voordat u andere DirectAccess-instellingen wijzigt die betrekking hebben op het nieuwe cluster.

3.3 Installeer het IP-HTTPS-certificaat

Lidmaatschap van de lokale groep Administrators , of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.

Het IP-HTTPS-certificaat installeren

  1. Klik op de geconfigureerde RAS-server op Start, typ mmc en druk op Enter. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie de gewenste is en klikt u vervolgens op Ja.

  2. Klik in de MMC-console in het menu Bestand op Module toevoegen/verwijderen.

  3. Klik in het dialoogvenster Modules toevoegen of verwijderen op Certificaten, klik op Toevoegen, computeraccount, klik op Volgende, klik op Voltooien en klik vervolgens op OK.

  4. Navigeer in het linkerdeelvenster van de console naar Certificaten (lokale computer)\Personal\Certificates. Klik met de rechtermuisknop op het IP-HTTPS-certificaat, wijs Alle taken aan en klik op Exporteren.

  5. Op de pagina Welkom bij de wizard Certificaat Exporteren, klik op Volgende.

  6. Klik op de pagina Persoonlijke sleutel exporteren op Ja, exporteer de persoonlijke sleutel en klik vervolgens op Volgende.

  7. Klik op de pagina Bestandsindeling exporteren op Personal Information Exchange - PKCS #12 (. PFX) en klik vervolgens op Volgende.

  8. Schakel op de pagina Beveiliging het selectievakje Wachtwoord in, voer een wachtwoord in het vak Wachtwoord in en bevestig het wachtwoord en klik op Volgende.

  9. Voer op de pagina Bestand om te exporteren een naam in voor het certificaatbestand en sla het op het bureaublad op en klik op Volgende.

  10. Op de pagina Certificaat exporteren voltooien klikt u op Voltooien.

  11. Klik in het dialoogvenster Wizard Certificaat exporteren op OK.

  12. Kopieer het certificaat naar alle servers die u clusterleden wilt zijn.

  13. Klik op de nieuwe DirectAccess-server op Start, typ mmc en druk op Enter. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie de gewenste is en klikt u vervolgens op Ja.

  14. Klik in de MMC-console in het menu Bestand op Module toevoegen/verwijderen.

  15. Klik in het dialoogvenster Modules toevoegen of verwijderen op Certificaten, klik op Toevoegen, computeraccount, klik op Volgende, klik op Voltooien en klik vervolgens op OK.

  16. Navigeer in het linkerdeelvenster van de console naar Certificaten (lokale computer)\Personal\Certificates. Klik met de rechtermuisknop op het knooppunt Certificaten , wijs Alle taken aan en klik vervolgens op Importeren.

  17. Op de pagina Welkom bij de Wizard Certificaat Importeren, klik op Volgende.

  18. Klik op Bladeren op de pagina Bestand om te importeren om het certificaat te lokaliseren. Selecteer het certificaat en klik vervolgens op Volgende.

  19. Typ op de pagina Persoonlijke sleutelbeveiliging in het vak Wachtwoord het wachtwoord en klik op Volgende.

  20. Klik op de pagina Certificaatarchief op Volgende.

  21. Klik op de pagina Certificaatimport Wizard voltooien op Voltooien.

  22. Klik in het dialoogvenster Wizard Certificaat importeren op OK.

  23. Herhaal stap 13-22 op alle servers die u clusterleden wilt zijn.

3.4 Installeer het certificaat van de netwerklocatieserver

Lidmaatschap van de lokale groep Administrators , of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.

Een certificaat voor netwerklocatie installeren

  1. Klik op de RAS-server op Start, typ mmc en druk vervolgens op Enter. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie de gewenste is en klikt u vervolgens op Ja.

  2. Klik op Bestand en klik vervolgens op Modules toevoegen/verwijderen.

  3. Klik op Certificaten, klik op Toevoegen, computeraccount, klik op Volgende, klik op Lokale computer, klik op Voltooien en klik vervolgens op OK.

  4. Open in de consoleboom van de module Certificaten Certificaten (Lokale computer)\Persoonlijk\Certificaten.

  5. Klik met de rechtermuisknop op Certificaten, wijs Alle takenaan en klik vervolgens op Nieuw certificaat aanvragen.

  6. Klik tweemaal op Volgende.

  7. Klik op de pagina Certificaten aanvragen op de webservercertificaatsjabloon en klik vervolgens op Meer informatie is vereist om u voor dit certificaat in te schrijven.

    Als de webservercertificaatsjabloon niet wordt weergegeven, moet worden gecontroleerd of het computeraccount van de remote access server de machtigingen heeft om de webservercertificaatsjabloon in te schrijven. Zie Machtigingen configureren voor de webservercertificaatsjabloon voor meer informatie.

  8. Selecteer Op het tabblad Onderwerp van het dialoogvenster Certificaateigenschappen bij Onderwerpnaam de optie Algemene naam voor Type.

  9. Typ in Waarde de FQDN (Fully Qualified Domain Name) voor de intranetnaam van de website van de netwerklocatieserver (bijvoorbeeld nls.corp.contoso.com) en klik vervolgens op Toevoegen.

  10. Klik op OK-, klik op inschrijven en klik vervolgens op voltooien.

  11. Controleer in het detailvenster van de module Certificaten of er een nieuw certificaat met de FQDN is aangemeld met Beoogde doeleinden van Serververificatie.

  12. Klik met de rechtermuisknop op het certificaat en klik vervolgens op Eigenschappen.

  13. Typ in Beschrijvende naam: Netwerklocatiecertificaat en klik op OK.

    Hint

    Stap 12 en 13 zijn optioneel, maar maak het voor u gemakkelijker om het certificaat voor netwerklocatie te selecteren bij het configureren van Externe toegang.

  14. Herhaal deze procedure op alle servers die u clusterleden wilt zijn.

3.5 Servers toevoegen aan het cluster

Servers toevoegen aan het cluster

  1. Klik op de geconfigureerde DirectAccess-server op Start en klik vervolgens op Beheer van externe toegang. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie de gewenste is en klikt u vervolgens op Ja.

  2. Klik in de beheerconsole voor externe toegang op Configuratie. Klik in het deelvenster Taken onder Load Balanced Cluster op Servers toevoegen of verwijderen.

  3. Klik in het dialoogvenster Servers toevoegen of verwijderen op Server toevoegen.

  4. Voer in het dialoogvenster Een server toevoegen op de Selecteer de server-pagina de naam van de additionele RAS-server in en klik op Volgende.

  5. Voer op de pagina Netwerkadapters een van de volgende handelingen uit:

    • Als u een topologie met twee netwerkadapters implementeert, selecteert u in externe adapter de adapter die is verbonden met het externe netwerk. Selecteer in interne adapter de adapter die is verbonden met het interne netwerk.

    • Als u een topologie met één netwerkadapter implementeert, selecteert u in de netwerkadapter de adapter die is verbonden met het interne netwerk.

  6. Klik op de pagina Netwerkadapters in Het certificaat selecteren dat wordt gebruikt voor het verifiëren van IP-HTTPS verbindingen op Bladeren om het IP-HTTPS certificaat te zoeken en te selecteren en klik vervolgens op Volgende.

  7. Klik op de pagina Netwerklocatieserver op Bladeren om het certificaat te selecteren voor de website van de netwerklocatieserver die wordt uitgevoerd op de RAS-server en klik vervolgens op Volgende.

    Opmerking

    De pagina Netwerklocatieserver wordt alleen weergegeven wanneer de website van de netwerklocatieserver wordt uitgevoerd op de RAS-server.

    Opmerking

    Als VPN ook is geconfigureerd op de RAS-server, wordt u gevraagd om de gegevens van de IP-adresgroep voor VPN op dit moment toe te voegen.

  8. Klik op de pagina Samenvatting op Toevoegen.

  9. Klik op de pagina Voltooiing op Sluiten.

  10. Herhaal deze procedure voor alle RAS-servers die aan het cluster moeten worden toegevoegd.

  11. Klik in het dialoogvenster Servers toevoegen of verwijderen op Doorvoeren.

  12. Klik in het dialoogvenster Servers toevoegen en verwijderen op Sluiten.

Windows PowerShell windows PowerShell-equivalente opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

Opmerking

Als VPN niet is ingeschakeld in een cluster met gelijke taakverdeling, moet u geen VPN-adresbereiken opgeven bij het toevoegen van een nieuwe server aan het cluster met windows PowerShell-cmdlets. Als u dit per ongeluk hebt gedaan, verwijdert u de server uit het cluster en voegt u deze opnieuw toe aan het cluster zonder de VPN-adresbereiken op te geven.

3.6 Een server uit het cluster verwijderen

Een server verwijderen uit het cluster

  1. Klik op de geconfigureerde RAS-server op Start en klik vervolgens op Beheer van externe toegang. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie de gewenste is en klikt u vervolgens op Ja.

  2. Klik in de beheerconsole voor externe toegang op Configuratie. Klik in het deelvenster Taken onder Laadgebalanceerde cluster op Servers toevoegen of verwijderen.

  3. Selecteer in het dialoogvenster Servers toevoegen of verwijderen de RAS-server die u wilt verwijderen en klik vervolgens op Server verwijderen.

  4. Controleer in het dialoogvenster Serverwaarschuwing verwijderen of u de juiste server hebt gekozen en klik vervolgens op OK.

  5. Herhaal deze procedure voor alle RAS-servers die uit het cluster moeten worden verwijderd.

  6. Klik in het dialoogvenster Servers toevoegen of verwijderen op Doorvoeren.

  7. Klik in het dialoogvenster Servers toevoegen en verwijderen op Sluiten.

Windows PowerShell windows PowerShell-equivalente opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

3.7 Taakverdeling uitschakelen

Deze stap uitvoeren met Windows PowerShell-

Taakverdeling uitschakelen

  1. Klik op de geconfigureerde DirectAccess-server op Start en klik vervolgens op Beheer van externe toegang. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie de gewenste is en klikt u vervolgens op Ja.

  2. Klik in de beheerconsole voor externe toegang op Configuratie. Klik in het deelvenster Taken onder Cluster met taakverdeling op Taakverdeling uitschakelen.

  3. Klik in het dialoogvenster Taakverdeling uitschakelen op OK.

  4. Klik in het dialoogvenster Taakverdeling uitschakelen op Sluiten.

Windows PowerShell windows PowerShell-equivalente opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

set-RemoteAccessLoadBalancer -disable

Als u taakverdeling uitschakelt, worden instellingen voor externe toegang en NLB-instellingen (indien geconfigureerd) van alle servers verwijderd, behalve de server waaruit deze wordt uitgevoerd. Op deze RAS-server worden NLB-instellingen verwijderd (als deze is geconfigureerd) maar blijven instellingen voor externe toegang behouden.

Als u op Configuratie-instellingen verwijderen klikt, worden externe toegang en NLB (indien geconfigureerd) van alle servers in de implementatie verwijderd.

Opmerking

  • Als Remote Access wordt verwijderd tijdens de implementatie van load balancing, blijven alle servers met DIPs achter. De VIP's worden verwijderd. Dit zorgt ervoor dat alle routes in het bedrijfsnetwerk die zijn gericht op de VIP-adressen mislukken. Dit is ook van invloed op DNS-vermeldingen die zijn omgezet naar de VIP's, zoals de onderwerpnaam van het certificaat van de netwerklocatieserver. Om dit probleem te voorkomen, schakelt u load balancing uit, waardoor de VIP's op de laatste RAS-server blijven, en deïnstalleert u vervolgens Remote Access.
  • Nadat u de cmdlet Set-RemoteAccessLoadBalancer hebt gebruikt om taakverdeling uit te schakelen, wacht u 2 minuten voordat u een andere cmdlet uitvoert. Dit moet ook worden gedaan in scripts die een andere cmdlet uitvoeren na de Set-RemoteAccessLoadBalancer -disable cmdlet.
  • Als u taakverdeling uitschakelt, wordt het virtuele IP-adres van het cluster gewijzigd in een toegewezen IP-adres. Als gevolg hiervan zal elke bewerking die de naam van de server opvraagt mislukken totdat de DNS-vermelding in de cache op de server verloopt. Zorg ervoor dat u geen PowerShell-cmdlets voor externe toegang uitvoert nadat u taakverdeling hebt uitgeschakeld totdat de cache op de server is verlopen. Dit probleem komt vaker voor als u taakverdeling op een computer probeert uit te schakelen vanaf een andere computer die zich in een ander domein bevindt. Dit gebeurt ook als u taakverdeling uitschakelt vanuit de beheerconsole voor externe toegang en mogelijk verhindert dat de configuratie wordt geladen. De configuratie wordt geladen nadat de cache is verlopen of is leeggemaakt.