Udostępnij za pośrednictwem

Wdrażanie dostępu zdalnego w klastrze

  • Artykuł

 

Dotyczy: Windows Server 2012 R2, Windows Server 2012

W systemie Windows Server 2012 funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny zostały połączone w jedną rolę Dostęp zdalny. Dostęp zdalny można wdrożyć w wielu scenariuszach dla przedsiębiorstwa. Ten przegląd zawiera wprowadzenie do scenariusza dla przedsiębiorstwa dotyczącego wdrożenia wielu serwerów dostępu zdalnego w obciążeniu klastra zrównoważonego za pomocą funkcji Równoważenie obciążenia sieciowego systemu Windows (NLB) lub zewnętrznej usługi równoważenia obciążenia (ELB), takiej jak F5 Big-IP.

Opis scenariusza

Wdrożenie klastra powoduje zebranie wielu serwerów dostępu zdalnego w pojedynczą jednostkę, która następnie działa jako pojedynczy punkt kontaktu dla zdalnych komputerów klienckich łączących się z wewnętrzną siecią firmową przez DirectAccess lub VPN za pomocą zewnętrznego wirtualnego adresu IP (VIP) klastra dostępu zdalnego. Obciążenie ruchu do klastra jest równoważone za pomocą usługi Windows NLB lub zewnętrznej usługi równoważenia obciążenia (np. F5 Big-IP).

Wymagania wstępne

Przed rozpoczęciem wdrażania tego scenariusza przejrzyj tę listę pod kątem ważnych wymagań:

  • Domyślne równoważenie obciążenia za pośrednictwem usługi Windows NLB.
  • Obsługiwane są zewnętrzne moduły równoważenia obciążenia.
  • Tryb emisji pojedynczej jest domyślnym i zalecanym trybem równoważenia obciążenia sieciowego.
  • Nie jest obsługiwana zmiana zasad poza konsolą zarządzania funkcji DirectAccess lub poleceniami cmdlet środowiska PowerShell.
  • W przypadku korzystania z usługi NLB lub zewnętrznej usługi równoważenia obciążenia prefiksu IPHTTPS nie można zmienić na inny niż /59.
  • Węzły równoważenia obciążenia muszą należeć do tej samej podsieci IPv4.
  • W przypadku wdrożeń ELB jeśli konieczne jest zarządzanie zewnętrzne, klienci funkcji DirectAccess nie mogą używać Teredo. Do komunikacji typu end-to-end można używać tylko protokołu IPHTTPS.
  • Upewnij się, że są zainstalowane wszystkie znane poprawki usługi NLB/ELB.
  • Nie jest obsługiwany protokół ISATAP w sieci firmowej. Jeśli korzystasz z protokołu ISATAP, usuń go i skorzystaj z natywnego protokołu IPv6.

W tym scenariuszu

Scenariusz wdrażania klastra obejmuje kilka kroków:

  1. Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi — przed skonfigurowaniem wdrożenia klastra należy wdrożyć pojedynczy serwer dostępu zdalnego z ustawieniami zaawansowanymi.

  2. Planowanie wdrożenia klastra dostęp zdalny — w celu zbudowania klastra z wdrożenia pojedynczego serwera należy wykonać kilka dodatkowych kroków, między innymi przygotować certyfikaty dla wdrożenia klastra.

  3. Konfigurowanie klastra dostęp zdalny — ten krok składa się z kilku kroków konfiguracji, w tym przygotowania pojedynczego serwera na potrzeby usługi Windows NLB lub zewnętrznej usługi równoważenia obciążenia, przygotowanie dodatkowych serwerów, które dołączą do klastra, oraz włączenia równoważenia obciążenia.

Zastosowania praktyczne

Zebranie wielu serwerów w klaster serwerów zapewnia następujące możliwości:

  • Skalowalność — pojedynczy serwer dostępu zdalnego zapewnia ograniczony poziom niezawodności i skalowania wydajności. Grupując zasoby lub dwóch lub więcej serwerów w pojedynczym klastrze, można zwiększyć pojemność dla wielu użytkowników oraz przepustowość.

  • Wysoka dostępność — klaster zawsze zapewnia wysoką dostępność. Jeśli jeden serwer w klastrze ulegnie awarii, użytkownicy zdalni nadal mogą korzystać z sieci firmowej za pośrednictwem innego serwera w klastrze. Wszystkie serwery w klastrze mają ten sam zestaw wirtualnych adresów IP (VIP) klastra, zachowując unikatowe, dedykowane adresy IP dla każdego serwera.

  • Łatwość zarządzania — klaster umożliwia zarządzanie wieloma serwerami jak pojedynczą jednostką. Na serwerze klastra można łatwo skonfigurować ustawienia udostępnione. Ustawieniami dostępu zdalnego można zarządzać za pomocą dowolnego serwera w klastrze albo zdalnie za pomocą Narzędzi administracji zdalnej serwera (RSAT). Ponadto cały klaster można monitorować przy użyciu pojedynczej konsoli Zarządzanie dostępem zdalnym.

Role i funkcje zawarte w tym scenariuszu

W poniższej tabeli wymieniono role i funkcje, które są wymagane dla tego scenariusza:

Rola/funkcja

Zadania realizowane w tym scenariuszu

Rola Dostęp zdalny

Ta rola jest instalowana i odinstalowywana przy użyciu konsoli Menedżer serwera. Obejmuje ona zarówno funkcję DirectAccess, która była poprzednio funkcją w systemie Windows Server 2008 R2, jak i usługi Routing i dostęp zdalny (RRAS), będące poprzednio usługą roli w ramach roli serwera Usługi zasad sieciowych i dostępu sieciowego (NPAS). Rola Dostęp zdalny zawiera dwa składniki:

  • Funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny (RRAS) — Funkcja DirectAccess i sieć VPN są zarządzane wspólnie w konsoli zarządzania dostępem zdalnym.

  • Routing RRAS — do zarządzania funkcjami routingu RRAS służy starsza konsola Routingu i dostępu zdalnego.

Zależności są następujące:

  • Serwer sieci Web Internetowych usług informacyjnych (IIS) — ta funkcja jest wymagana do konfigurowania serwera lokalizacji sieciowej i domyślnej funkcji badania sieci Web.

  • Wewnętrzna baza danych systemu Windows — służy do lokalnego ewidencjonowania aktywności na serwerze dostępu zdalnego.

Funkcja narzędzi do zarządzania dostępem zdalnym

Ta funkcja jest instalowana w następujący sposób:

  • Jest instalowana domyślnie na serwerze dostępu zdalnego, gdy instalowana jest rola dostępu zdalnego, i obsługuje interfejs użytkownika konsoli zarządzania zdalnego.

  • Opcjonalnie można ją zainstalować na serwerze, na którym nie jest uruchomiona rola serwera dostępu zdalnego. W takim przypadku jest ona używana do zdalnego zarządzania komputerem dostępu zdalnego z funkcją DirectAccess i siecią VPN.

Funkcja narzędzi do zarządzania dostępem zdalnym zawiera następujące składniki:

  • Graficzny interfejs użytkownika i narzędzia wiersza polecenia dostępu zdalnego

  • Moduł dostępu zdalnego dla programu Windows PowerShell

Występują następujące zależności:

  • Konsola zarządzania zasadami grupy

  • Zestaw administracyjny menedżera połączeń RAS

  • Środowisko Windows PowerShell 3.0.

  • Infrastrukturę i narzędzia zarządzania w trybie graficznym

Równoważenie obciążenia sieciowego

Ta funkcja udostępnia równoważenie obciążenia w klastrze za pomocą usługi Windows NLB.

Wymagania sprzętowe

Wymagania sprzętowe dla tego scenariusza obejmują:

  • Co najmniej dwa komputery, które spełniają wymagania sprzętowe systemu Windows Server 2012.

  • W scenariuszu z zewnętrzną usługą równoważenia obciążenia jest wymagany dedykowany sprzęt (tj. F5 BigIP).

  • Do przetestowania scenariusza jest wymagany co najmniej jeden komputer z systemem Windows 8 lub Windows 7 skonfigurowany jako klient funkcji DirectAccess.

Wymagania dotyczące oprogramowania

Istnieje szereg wymagań dotyczących tego scenariusza:

  • Wymagania dotyczące oprogramowania dla wdrożenia pojedynczego serwera. Aby uzyskać więcej informacji, zobacz temat Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi.

  • Oprócz wymagań dotyczących oprogramowania dla pojedynczego serwera, istnieje wiele wymagań specyficznych dla klastra:

    • Na każdym serwerze klastra nazwa podmiotu certyfikatu IP-HTTPS musi być zgodna z adresem ConnectTo. Wdrożenie klastra obsługuje mieszankę certyfikatów z symbolami wieloznacznymi i niewieloznacznymi na serwerach klastra.

    • Jeśli serwer lokalizacji sieciowej jest zainstalowany na serwerze dostępu zdalnego, na każdym serwerze klastra certyfikat serwera lokalizacji sieciowej musi mieć taką samą nazwę podmiotu. Ponadto nazwa certyfikatu serwera lokalizacji sieciowej nie może mieć takiej samej nazwy jak jakikolwiek serwer we wdrożeniu DirectAccess.

    • Certyfikaty serwerów lokalizacji sieciowej i IP-HTTPS muszą być wystawiane przy użyciu tej samej metody co certyfikat dla pojedynczego serwera. Na przykład jeśli pojedynczy serwer używa publicznego urzędu certyfikacji (CA), wszystkie serwery w klastrze muszą mieć certyfikat wydany przez publiczny urząd certyfikacji. Lub jeśli pojedynczy serwer używa certyfikatu z podpisem własnym dla IP-HTTPS, wszystkie serwery w klastrze muszą postępować podobnie.

    • Prefiks adresu IPv6 przypisany do komputerów klienckich DirectAccess na serwerach klastra musi być 59-bitowy. Po włączeniu sieci VPN prefiks sieci VPN musi być również 59-bitowy.

Znane problemy

Znane są następujące problemy występujące podczas konfigurowania scenariusza klastra:

  • Po skonfigurowaniu funkcji DirectAccess we wdrożeniu, które obsługuje tylko protokół IPv4 i zawiera jedną kartą sieciową, oraz po automatycznej konfiguracji domyślnego adresu DNS64 (adresu IPv6 zawierającego bloki „:3333::”) na tej karcie sieciowej próba włączenia równoważenia obciążenia za pośrednictwem konsoli zarządzania dostępem zdalnym powoduje wyświetlenie monitu o podanie adresu DIP IPv6. Jeśli zostanie podany adres DIP IPv6, po kliknięciu przycisku Zatwierdź konfiguracja zakończy się niepowodzeniem z powodu błędu: Parametr jest nieprawidłowy.

    Aby rozwiązać ten problem:

    1. Pobierz skrypty kopii zapasowych i przywracania ze strony Wykonywanie kopii zapasowej oraz przywracanie konfiguracji dostępu zdalnego.

    2. Wykonaj kopię zapasową obiektów zasad grupy dostępu zdalnego przy użyciu pobranego skryptu Backup-RemoteAccess.ps1.

    3. Wykonaj próbę włączenia równoważenia obciążenia aż do kroku, w którym zakończy się ona niepowodzeniem. W oknie dialogowym Włączanie równoważenia obciążenia rozwiń obszar szczegółów, kliknij ten obszar prawym przyciskiem myszy, a następnie kliknij pozycję Kopiuj skrypt.

    4. Otwórz Notatnik i wklej do niego zawartość schowka. Przykład:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    5. Zamknij wszystkie otwarte okna dialogowe Dostęp zdalny i zamknij konsolę zarządzania dostępem zdalnym.

    6. Zmodyfikuj wklejony tekst, usuwając adresy IPv6. Przykład:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    7. W oknie programu PowerShell z podniesionymi uprawnieniami uruchom polecenie z poprzedniego kroku.

    8. Jeśli polecenie cmdlet nie powiedzie się w trakcie jego działania (nie ze względu na nieprawidłowe wartości wejściowe), uruchom polecenie Restore-RemoteAccess.ps1 i wykonaj instrukcje, aby upewnić się, że integralność oryginalnej konfiguracji została zachowana.

    9. Teraz możesz ponownie otworzyć konsolę zarządzania dostępem zdalnym.