Udostępnij za pośrednictwem

Wdrażanie wielu serwerów dostępu zdalnego w łatwość wdrażania

  • Artykuł

 

Dotyczy: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012łączy DirectAccess i Routing i zdalny dostęp do usługi () sieci VPN w jednej roli dostępu zdalnego. Dostęp zdalny można wdrożyć w wielu scenariuszach dla przedsiębiorstwa. Ten przegląd wprowadzenie do scenariusza enterprise do wdrożenia serwerów dostępu zdalnego łatwość konfiguracji.

Opis scenariusza

W łatwość wdrażania co najmniej dwa serwery dostępu zdalnego lub serwer klastrów są wdrożone i skonfigurowany jako punkty wejścia różnych w jednym miejscu lub w lokalizacji geograficznej rozproszonych. Wdrażanie wielu punkty wejścia w jednej lokalizacji pozwala redundancję serwera lub wyrównanie serwerów dostępu zdalnego z istniejącej architektury sieci. Wdrożenie przez lokalizacji geograficznej zapewnia efektywne wykorzystanie zasobów, zgodnie z komputerów klienckich zdalnego może połączyć się przy użyciu punkt wejścia najbliższego do nich zasoby sieci wewnętrznej. Ruch między łatwość wdrażania może być rozpowszechniany i zrównoważone z zewnętrznego globalne usługą równoważenia obciążenia.

Łatwość wdrażania obsługuje komputery klienckie z systememWindows 8lubWindows 7. Komputery klienckie z systememWindows 8automatycznie identyfikacji punkt wejścia, czy użytkownik może ręcznie wybrać punkt wejścia. Automatyczne przypisanie występuje w następującej kolejności priorytetu:

  1. Użyj punkt wejścia wybrane ręcznie przez użytkownika.

  2. Użyj punkt wejścia identyfikowane przez zewnętrzne globalne usługą równoważenia obciążenia jest wdrożony jeden.

  3. Użyj najbliższego punkt wejścia identyfikowane przez mechanizm automatycznego sondowania komputera klienta.

Pomoc techniczna dla klientów z systemem Windows 7 muszą być włączone ręcznie na każdym punkt wejścia i wybór punkt wejścia przez tych klientów nie jest obsługiwany.

Wymagania wstępne

Przed rozpoczęciem wdrażania tego scenariusza, należy przejrzeć tej listy do ważnych wymagań:

  • Klientów systemu Windows 7 będzie zawsze łączyć się danej witryny. Będą one nie może połączyć się z lokacją najbliższego na podstawie lokalizacji klienta (w przeciwieństwie do systemu Windows 8, windows 8.1 klientów).
  • Zmiana zasad poza Konsola zarządzania DirectAccess lub poleceń cmdlet programu PowerShell nie jest obsługiwana.
  • Sieci firmowej musi być włączony protokół IPv6. Jeśli używasz ISATAP, należy go usunąć i macierzystego protokołu IPv6.

W tym scenariuszu

Scenariusz łatwość wdrażania zawiera kilka kroków:

  1. Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi— Przed skonfigurowaniem łatwość wdrażania należy wdrożyć pojedynczy serwer dostępu zdalnego z ustawienia zaawansowane.

  2. Plan łatwość wdrażania— Do tworzenia łatwość wdrażania z jednym serwerze liczba planowania dodatkowe kroki są wymagane, tym zgodności z łatwość wymagań wstępnych i Planowanie grup zabezpieczeń usługi Active Directory, obiektów zasad grupy (obiektów zasad grupy), DNS i ustawienia klienta.

  3. Skonfiguruj łatwość wdrażania— Składa się z kilku kroków konfiguracji, w tym przygotowania infrastruktury usługi Active Directory, konfiguracji istniejącego serwera dostępu zdalnego i dodawanie wielu serwerów dostępu zdalnego jako punkty wejścia do łatwość wdrażania.

  4. Rozwiązywanie problemów z wdrażaniem w wielu lokacjach— W tej sekcji rozwiązywania problemów opisano wiele typowych błędów, które może wystąpić, gdy Wdrażanie dostępu zdalnego w łatwość wdrażania.

Zastosowania praktyczne

Łatwość wdrażania zapewnia następujące możliwości:

  • Lepsza wydajność — łatwość wdrażania pozwala uzyskać dostęp do zasobów wewnętrznych przy użyciu dostępu zdalnego do nawiązania połączenia przy użyciu punkt wejścia najbliższego i najbardziej odpowiednie komputerom klienckim. Klient efektywne dostęp do zasobów wewnętrznych, a zwiększona szybkość klienta żądania internetowe, rozsyłane za pośrednictwem funkcji DirectAccess. Mogą być zrównoważone ruchu na punkty wejścia za pomocą zewnętrznego globalne usługą równoważenia obciążenia.

  • Łatwość zarządzania — wielooddziałowość umożliwia administratorom Dopasuj Wdrażanie dostępu zdalnego do wdrożenia witryn usługi Active Directory, zapewniając uproszczony architektury. Łatwo można skonfigurować ustawienia udostępnionego na serwerach punktu wejścia lub klastrów. Ustawienia dostępu zdalnego można zarządzać za pomocą wszystkich serwerów w wdrożenia lub zdalnie za pomocą narzędzia administracji zdalnej serwera (RSAT). Ponadto cała łatwość wdrażania może monitorować z poziomu pojedynczej konsoli zarządzania dostępem zdalnym.

Role i funkcje dostępne w tym scenariuszu

W poniższej tabeli przedstawiono role i funkcje w tym scenariuszu.

Funkcja/roli

Jak program obsługuje ten scenariusz

Zdalny dostęp do roli

Rola jest zainstalowana i odinstalowane przy użyciu konsoli Menedżera serwera. Obejmuje zarówno DirectAccess, który został wcześniej funkcji w systemie Windows Server 2008 R2 i Routing i zdalny dostęp do usług (), który został wcześniej usługa roli w roli serwera zasad sieciowych i dostępu do usług (zasad). Rola dostępu zdalnego zawiera dwa składniki:

  • DirectAccess i Routing i zdalny dostęp do usług () VPN — DirectAccess i sieć VPN zarządzanych razem w konsoli zarządzania dostępem zdalnym.

  • Routingu RRAS — funkcje routingu RRAS są zarządzane w starszej wersji konsoli Routing i dostęp zdalny.

Zależności są następujące:

  • Serwer sieci Web Internetowych usług informacyjnych (IIS) — ta funkcja jest wymagany do konfigurowania serwera lokalizacji sieciowej i domyślne sondowania sieci web.

  • Wewnętrzna baza danych systemu Windows — używany do ewidencjonowania lokalnego na serwerze dostępu zdalnego.

Funkcja narzędzia zarządzania dostępem zdalnym

Ta funkcja jest zainstalowany w następujący sposób:

  • Jest zainstalowana domyślnie na serwerze dostępu zdalnego roli dostępu zdalnego jest zainstalowana i obsługuje interfejs użytkownika konsoli zarządzania zdalnego.

  • Opcjonalnie zainstalowaniem na serwerze nie jest uruchomiona rola serwera dostępu zdalnego. W takim przypadku służy do zdalnego zarządzania systemem DirectAccess i sieć VPN dostępu zdalnego komputera.

Funkcja narzędzia zarządzania dostępem zdalnym składa się z następujących czynności:

  • Interfejs GUI dostępu zdalnego i narzędzia wiersza polecenia

  • Moduł dostępu zdalnego dla programu Windows PowerShell

Zależności między innymi:

  • Konsola zarządzania zasadami grupy

  • Zestaw administracyjny Menedżera połączeń RAS (administracyjnego Menedżera połączeń)

  • Środowisko Windows PowerShell 3.0.

  • Infrastruktura i narzędzia zarządzania w trybie graficznym

Wymagania sprzętowe

Wymagania sprzętowe ten scenariusz, należą:

  • Co najmniej dwa komputery dostępu zdalnego jego do łatwość wdrażania. Wymagania sprzętowe dla tych komputerów są opisane wWdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi.

  • W celu przetestowania scenariusz, co najmniej jednego komputera z systememWindows 8i skonfigurowana jako klient funkcji DirectAccess jest wymagany. Aby przetestować ten scenariusz dla klientów z systemem Windows 7 wymagany jest co najmniej jeden komputer z systemem Windows 7.

  • Do równoważenia obciążenia ruchu na serwerach punkt wejścia, usługi równoważenia obciążenia globalne zewnętrznego zewnętrzny jest wymagany.

Wymagania dotyczące oprogramowania

Wymagania dotyczące oprogramowania, w tym scenariuszu są następujące:

  • Wymagania programowe instalacja na pojedynczym serwerze. Aby uzyskać więcej informacji, zobaczWdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi.

  • Oprócz wymagania dotyczące oprogramowania na pojedynczym serwerze jest wiele multisite-specyficznych wymagań:

    • Wymagania dotyczące uwierzytelniania IPsec — w ramach wdrożenia łatwość DirectAccess można wdrożyć przy użyciu protokołu IPsec komputera uwierzytelnianie certyfikatów. Opcja można wykonać uwierzytelnianie IPsec przy użyciu serwera dostępu zdalnego jako serwer proxy protokołu Kerberos nie jest obsługiwana. Wewnętrzny urząd certyfikacji jest wymagane do wdrożenia certyfikatów IPsec.

    • Wymagania dotyczące serwera lokalizacji HTTPS adresów IP i sieci — certyfikaty wymagane dla adresu IP-HTTPS i serwer lokalizacji sieciowej musi być wydany przez urząd certyfikacji. Możliwość użycia certyfikatów, które są automatycznie wystawionych i z podpisem własnym przez serwer dostępu zdalnego nie jest obsługiwane. Certyfikaty mogą być wystawiane przez wewnętrzny urząd certyfikacji lub przez urząd certyfikacji innych firm zewnętrznych.

    • Active Directory wymagania — co najmniej jeden obiekt usługi Active Directory jest wymagana. Serwer dostępu zdalnego powinien znajdować się w witrynie. W sytuacjach, szybciej aktualizacji zaleca się czy każdej z nich jest zapisywalny kontrolera, chociaż nie jest to wymagane.

    • Wymagania dotyczące grupa zabezpieczeń — wymagania są następujące:

      • Pojedyncza grupa zabezpieczeń jest wymagana dla wszystkichWindows 8komputery klienckie z wszystkich domen. Zaleca się tworzenie grupy zabezpieczeń unikatowy tych klientów dla każdej domeny.

      • Grupa zabezpieczeń unikatowy obejmująca komputery z systemem Windows 7 jest wymagana dla każdego punktu wejścia skonfigurowany do obsługi klientów systemu Windows 7. Zaleca się mają grupę zabezpieczeń unikatowy dla każdego punktu wejścia w każdej domenie.

      • Komputery nie powinien być uwzględniony w więcej niż jedną grupę zabezpieczeń, która zawiera DirectAccess klientów. Jeśli klienci są zawarte w wielu grup, rozpoznawanie nazw dla żądań klientów nie będzie działać zgodnie z oczekiwaniami.

    • Wymagania dotyczące zasad grupy — obiektów zasad grupy mogą być utworzone ręcznie przed przystąpieniem do konfigurowania dostępu zdalnego lub tworzony automatycznie podczas wdrażania dostępu zdalnego. Dostępne są następujące wymagania:

      • Obiektu zasad grupy unikatowy klienta jest wymagana dla każdej domeny.

      • Serwer zasad grupy jest wymagane dla każdego punktu wejścia w domenie, w której znajduje się punkt wejścia. Jeśli wiele punkty wejścia znajdują się w tej samej domenie, zostanie serwer wielu obiektów zasad grupy (jeden dla każdego punktu wejścia) w domenie.

      • Unikatowy zasad grupy klientów systemu Windows 7 jest wymagana dla każdego punktu wejścia włączone dla obsługi klienta systemu Windows 7, dla każdej domeny.

Znane problemy

Znane są następujące problemy podczas konfigurowania łatwość scenariusza:

  • Wiele punkty wejścia w tej samej podsieci IPv4— spowoduje dodanie wielu punkty wejścia w tej samej podsieci IPv4 komunikat konflikt adresu IP i adres DNS64 punkt wejścia nie zostanie skonfigurowany zgodnie z oczekiwaniami. Ten problem występuje, gdy IPv6 nie została wdrożona na wewnętrzny interfejsów serwerów w sieci firmowej. Aby uniknąć tego problemu, uruchom następujące polecenie środowiska Windows PowerShell na wszystkich serwerach dostępu zdalnego bieżących i przyszłych:

    Set-NetIPInterface –InterfaceAlias <InternalInterfaceName> –AddressFamily IPv6 –DadTransmits 0

  • Jeśli publiczny adres określony dla funkcji DirectAccess klientom na łączenie się z serwerem dostępu zdalnego ma sufiks uwzględnionych w zasad rozpoznawania nazw, DirectAccess może nie działać zgodnie z oczekiwaniami. Upewnij się, że Rozpoznawania nazw zawiera wykluczenie publiczna nazwa użytkownika. Łatwość wdrażania wyłączenia powinien zostać dodane publiczny nazw wszystkie punkty wejścia. Należy pamiętać, że jeśli wymusić tunelowanie jest włączona wyłączenia te są automatycznie dodawane. Po wyłączeniu tunelowanie życie są usuwane.

  • Korzystając z polecenia cmdlet programu Windows PowerShellDisable-DAMultiSiteparametry WhatIf i Potwierdź nie skutkują i wielooddziałowość zostanie wyłączone iWindows 7obiektów zasad grupy zostaną usunięte.

  • GdyWindows 7klientów przy użyciu DCA w łatwość wdrażania zostaną uaktualnione doWindows 8Assistant łączności sieciowej nie będzie działać. Ten problem może być rozpoznana z odpowiednim wyprzedzeniem Uaktualnianie klienta modyfikującWindows 7obiektów zasad grupy, za pomocą następujących poleceń cmdlet programu Windows PowerShell:

    Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" 

    W przypadku, gdy klient został uaktualniony, następnie przenieś na komputerze klienckimWindows 8grupy zabezpieczeń.

  • Modyfikując ustawienia kontrolera domeny za pomocą polecenia cmdlet programu Windows PowerShellSet-DAEntryPointDCjeśli serwer dostępu zdalnego w punkt wejścia innych niż ostatnią dodawanej do łatwość wdrażania, ostrzeżenie pojawi się wskazujący, że z serwerem wskazanym nie zostanie zaktualizowany do Następne odświeżanie zasad określony przez parametr ComputerName. Zostanie wyświetlona rzeczywiste serwery, który nie został zaktualizowany przy użyciuStan konfiguracjiwpulpitu NAWIGACYJNEGOzKonsola zarządzania dostępem zdalnym. Nie spowoduje to wszelkich problemów, funkcjonalności, jednak można uruchomićgpupdate /forcena serwery zaktualizowaną nie można pobrać stanu Konfiguracja zaktualizować natychmiast.

  • Kiedy wielooddziałowość zostało wdrożone w tylko IPv4 sieci firmowej, zmiana wewnętrznego prefiksu adresu IPv6 również zmiany DNS64 adres sieciowy, ale nie zaktualizować adres na reguły zapory, umożliwiające zapytania DNS do usługi DNS64. Aby rozwiązać ten problem, należy wykonać następujące polecenia programu Windows PowerShell po zmianie prefiksu sieci wewnętrznej IPv6:

    $dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} |  Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSession

  • Jeśli DirectAccess została wdrożona po istniejącej infrastruktury ISATAP był obecny podczas usuwania punkt wejścia, który jest hostem ISATAP adres IPv6 usługi DNS64 zostaną usunięte z adresy serwera DNS wszystkie sufiksy DNS w tabeli zasad rozpoznawania nazw.

    Aby rozwiązać ten problem, wInstalator serwera infrastrukturykreatora naDNSstrony, Usuń sufiksy DNS, które zostały zmodyfikowane i dodaj je ponownie poprawne adresy serwera DNS, klikając przyciskWykryjnaadresy serwera DNSokno dialogowe.