Çoklu Site Dağıtımında Birden Çok Uzaktan Erişim Sunucusu Dağıtma

Windows Server 2016 ve Windows Server 2012, DirectAccess ve Uzaktan Erişim Hizmeti (RAS) VPN'lerini tek bir Uzaktan Erişim rolünde birleştirir. Uzaktan Erişim, çeşitli kurumsal senaryolarda dağıtılabilir. Bu genel bakış, çok siteli bir yapılandırmada Uzaktan Erişim sunucularını dağıtmaya yönelik kurumsal senaryoya giriş sağlar.

Senaryo açıklaması

Çok siteli dağıtımda iki veya daha fazla Uzaktan Erişim sunucusu veya sunucu kümesi tek bir konumda veya dağınık coğrafi konumlarda farklı giriş noktaları olarak dağıtılır ve yapılandırılır. Tek bir konumda birden çok giriş noktası dağıtmak, sunucu yedekliliğine veya Uzaktan Erişim sunucularının mevcut ağ mimarisiyle hizalamasına olanak tanır. Coğrafi konuma göre dağıtım, uzak istemci bilgisayarlar kendilerine en yakın bir giriş noktası kullanarak iç ağ kaynaklarına bağlanaabildiği için kaynakların verimli bir şekilde kullanılmasını sağlar. Çok siteli dağıtım genelindeki trafik, dış genel yük dengeleyici ile dağıtılabilir ve dengelenebilir.

Çoklu site dağıtımı Windows 10, Windows 8 veya Windows 7 çalıştıran istemci bilgisayarları destekler. Windows 10 veya Windows 8 çalıştıran istemci bilgisayarlar bir giriş noktasını otomatik olarak tanımlar veya kullanıcı el ile bir giriş noktası seçebilir. Otomatik atama aşağıdaki öncelik sırasına göre gerçekleşir:

1. Kullanıcı tarafından el ile seçilen bir giriş noktasını kullanın.

2. Dağıtılmışsa, bir dış genel yük dengeleyici tarafından belirlenen bir giriş noktası kullanın.

3. Otomatik bir yoklama mekanizması kullanarak istemci bilgisayar tarafından tanımlanan en yakın giriş noktasını kullanın.

Windows 7 çalıştıran istemciler için destek her giriş noktasında el ile etkinleştirilmelidir ve bu istemciler tarafından bir giriş noktası seçimi desteklenmez.

Önkoşullar

Bu senaryoya dağıtmaya başlamadan önce, önemli gereksinimler için bu listeyi gözden geçirin:

• Gelişmiş Ayarlarla Tek Bir DirectAccess Sunucusu Dağıtma , çok siteli bir dağıtımdan önce dağıtılmalıdır.

• Windows 7 istemcileri her zaman belirli bir siteye bağlanır. İstemcinin konumuna göre (Windows 10, 8 veya 8.1 istemcilerinden farklı olarak) en yakın siteye bağlanamaz.

• İlkelerin DirectAccess yönetim konsolu veya PowerShell cmdlet'leri dışında değiştirilmesi desteklenmez.

• Açık Anahtar Altyapısı dağıtılmalıdır.

  Daha fazla bilgi için bkz. Test Laboratuvarı Kılavuzu Mini Modülü: Windows Server 2012 için Temel PKI.

• Şirket ağının IPv6 etkin olması gerekir. ISATAP kullanıyorsanız, bunu kaldırmanız ve yerel IPv6 kullanmanız gerekir.

Bu senaryoda

Çok siteli dağıtım senaryosu birkaç adım içerir:

1. Gelişmiş ayarlarla tek bir DirectAccess sunucusu dağıtın. Çok siteli dağıtım ayarlamadan önce gelişmiş ayarlara sahip tek bir Uzaktan Erişim sunucusu dağıtılmalıdır.

2. Çok Siteli Dağıtım Planlama. Tek bir sunucudan çok siteli dağıtım oluşturmak için, çok siteli önkoşullarla uyumluluk ve Active Directory güvenlik grupları, Grup İlkesi Nesneleri (GPO'lar), DNS ve istemci ayarları için planlama da dahil olmak üzere bir dizi ek planlama adımı gerekir.

3. Çok Siteli Dağıtımı Yapılandırın. Bu, Active Directory altyapısının hazırlanması, mevcut Uzaktan Erişim sunucusunun yapılandırması ve çoklu site dağıtımına giriş noktası olarak birden çok Uzaktan Erişim sunucusunun eklenmesi dahil olmak üzere bir dizi yapılandırma adımından oluşur.

4. Çoklu Site Dağıtımı sorunlarını giderme. Bu sorun giderme bölümünde, çok siteli bir dağıtımda Uzaktan Erişim dağıtılırken oluşabilecek en yaygın hataların bir kısmı açıklanmaktadır.

Pratik uygulamalar

Çok siteli dağıtım aşağıdakileri sağlar:

• Geliştirilmiş performans-Çok siteli dağıtım, istemci bilgisayarların en yakın ve en uygun giriş noktasını kullanarak uzaktan erişim kullanarak iç kaynaklara erişmesine olanak tanır. İstemci iç kaynaklarına verimli bir şekilde erişilir ve DirectAccess aracılığıyla yönlendirilen istemci İnternet isteklerinin hızı iyileştirilir. Giriş noktaları arasındaki trafik, dış genel yük dengeleyici kullanılarak dengelenebilir.

• Çok Siteli Yönetim Kolaylığı, yöneticilerin Uzaktan Erişim dağıtımını bir Active Directory siteleri dağıtımıyla uyumlu hale getirmesine olanak sağlayarak basitleştirilmiş bir mimari sağlar. Paylaşılan ayarlar giriş noktası sunucuları veya kümeleri arasında kolayca ayarlanabilir. Uzaktan Erişim ayarları, dağıtımdaki sunuculardan herhangi birinden yönetilebilir veya Uzak Sunucu Yönetim Araçları (RSAT) kullanılarak uzaktan yönetilebilir. Ayrıca, çoklu site dağıtımının tamamı tek bir Uzaktan Erişim Yönetimi konsolundan izlenebilir.

Bu senaryoda yer alan roller ve özellikler

Aşağıdaki tabloda bu senaryoda kullanılan roller ve özellikler listelenmiştir.

Rol/özellik	Bu senaryoyu nasıl destekliyor?
Uzaktan Erişim rolü	Rol, Sunucu Yöneticisi konsolu kullanılarak yüklenir ve kaldırılır. Daha önce Windows Server 2008 R2'de bir özellik olan DirectAccess'i ve daha önce Ağ İlkesi ve Erişim Hizmetleri (NPAS) sunucu rolü altında bir rol hizmeti olan Yönlendirme ve Uzaktan Erişim Hizmetleri'ni (RRAS) kapsar. Uzaktan Erişim rolü iki bileşenden oluşur: - DirectAccess ve Yönlendirme ve Uzaktan Erişim Hizmetleri (RRAS) VPN-DirectAccess ve VPN, Uzaktan Erişim Yönetimi konsolunda birlikte yönetilir. - RRAS Routing-RRAS yönlendirme özellikleri eski Yönlendirme ve Uzaktan Erişim konsolunda yönetilir. Bağımlılıklar aşağıdaki gibidir: - Internet Information Services (IIS) Web Sunucusu - Bu özellik, ağ konumu sunucusunu ve varsayılan web araştırmasını yapılandırmak için gereklidir. - Uzaktan Erişim sunucusunda yerel muhasebe için Windows Internal Database-Used.
Uzaktan Erişim Yönetim Araçları özelliği	Bu özellik aşağıdaki gibi yüklenir: - Uzaktan Erişim rolü yüklendiğinde bir Uzaktan Erişim sunucusuna varsayılan olarak yüklenir ve Uzaktan Yönetim konsolu kullanıcı arabirimini destekler. - İsteğe bağlı olarak Uzaktan Erişim sunucusu rolünü çalıştırmayan bir sunucuya yüklenebilir. Bu durumda, DirectAccess ve VPN çalıştıran bir Uzaktan Erişim bilgisayarının uzaktan yönetimi için kullanılır. Uzaktan Erişim Yönetim Araçları özelliği aşağıdakilerden oluşur: - Uzaktan Erişim GUI ve Komut Satırı Araçları - Windows PowerShell için Uzaktan Erişim modülü Bağımlılıklar şunlardır: - Grup İlkesi Yönetim Konsolu - RAS Bağlantı Yöneticisi Yönetim Seti (CMAK) - Windows PowerShell 3.0 - Grafik Yönetim Araçları ve Altyapısı

Donanım gereksinimleri

Bu senaryo için donanım gereksinimleri şunlardır:

• Çok siteli dağıtımda toplanacak en az iki Uzaktan Erişim bilgisayarı.

• Senaryoyu test etmek için, Windows 8 çalıştıran ve DirectAccess istemcisi olarak yapılandırılmış en az bir bilgisayar gereklidir. Windows 7 çalıştıran istemciler için senaryoyu test etmek için Windows 7 çalıştıran en az bir bilgisayar gereklidir.

• Giriş noktası sunucuları arasında trafiğin yükünü dengelemek için üçüncü taraf dış genel yük dengeleyici gerekir.

Yazılım gereksinimleri

Bu senaryo için yazılım gereksinimleri şunlardır:

• Tek sunucu dağıtımı için yazılım gereksinimleri.

• Tek bir sunucu için yazılım gereksinimlerine ek olarak, çok siteye özgü bir dizi gereksinim vardır:

  • IPsec kimlik doğrulaması gereksinimleri-Çok siteli dağıtımda DirectAccess, IPsec makine sertifikası kimlik doğrulaması kullanılarak dağıtılmalıdır. Uzaktan Erişim sunucusunu Kerberos ara sunucusu olarak kullanarak IPsec kimlik doğrulamasını gerçekleştirme seçeneği desteklenmez. IPsec sertifikalarını dağıtmak için bir iç CA gereklidir.

  • IP-HTTPS ve ağ konumu sunucusu gereksinimleri-IP-HTTPS ve ağ konumu sunucusu için gereken sertifikalar bir CA tarafından verilmelidir. Uzaktan Erişim sunucusu tarafından otomatik olarak verilen ve otomatik olarak imzalanan sertifikaları kullanma seçeneği desteklenmez. Sertifikalar bir iç CA veya üçüncü taraf dış CA tarafından yayımlanabilir.

  • Active Directory gereksinimleri-En az bir Active Directory sitesi gereklidir. Uzaktan Erişim sunucusu sitede bulunmalıdır. Daha hızlı güncelleştirme süreleri için, her sitenin yazılabilir bir etki alanı denetleyicisi olması önerilir, ancak bu zorunlu değildir.

  • Güvenlik grubu gereksinimleri-Gereksinimler şunlardır:

    • Tüm etki alanlarındaki tüm Windows 8 istemci bilgisayarları için tek bir güvenlik grubu gereklidir. Her etki alanı için bu istemcilerden benzersiz bir güvenlik grubu oluşturmanız önerilir.

    • Windows 7 istemcilerini desteklemek üzere yapılandırılmış her giriş noktası için Windows 7 bilgisayarları içeren benzersiz bir güvenlik grubu gereklidir. Her etki alanındaki her giriş noktası için benzersiz bir güvenlik grubu olması önerilir.

    • Bilgisayarlar DirectAccess istemcilerini içeren birden çok güvenlik grubuna dahil edilmemelidir. İstemciler birden çok gruba dahil edilirse, istemci istekleri için ad çözümlemesi beklendiği gibi çalışmaz.

  • GPO gereksinimleri-GPO'lar Uzaktan Erişim yapılandırılmadan önce el ile oluşturulabilir veya Uzaktan Erişim dağıtımı sırasında otomatik olarak oluşturulabilir. Gereksinimler şunlardır:

    • Her etki alanı için benzersiz bir istemci GPO'su gerekir.

    • Her giriş noktası için, giriş noktasının bulunduğu etki alanında bir sunucu GPO'sunun olması gerekir. Bu nedenle, aynı etki alanında birden çok giriş noktası bulunuyorsa, etki alanında birden çok sunucu GPO'sunun (her giriş noktası için bir tane) olması gerekir.

    • Her etki alanı için Windows 7 istemci desteği için etkinleştirilen her giriş noktası için benzersiz bir Windows 7 istemci GPO'su gerekir.

Bilinen sorunlar

Çoklu site senaryosu yapılandırılırken karşılaşılan bilinen sorunlar şunlardır:

• Aynı IPv4 alt ağındaki birden çok giriş noktası. Aynı IPv4 alt ağına birden çok giriş noktası eklemek IP adresi çakışma mesajına neden olur ve giriş noktası için DNS64 adresi beklendiği şekilde yapılandırılamaz. Bu sorun, IPv6 şirket ağındaki sunucuların iç arabirimlerine dağıtılmadığında oluşur. Bu sorunu önlemek için tüm geçerli ve gelecekteki Uzaktan Erişim sunucularında aşağıdaki Windows PowerShell komutunu çalıştırın:

  Set-NetIPInterface -InterfaceAlias <InternalInterfaceName> -AddressFamily IPv6 -DadTransmits 0
  

• DirectAccess istemcilerin Uzaktan Erişim sunucusuna bağlanması için belirtilen genel adres NRPT'de bir ek içeriyorsa, DirectAccess beklendiği gibi çalışmayabilir. NRPT'nin ortak ad için bir muafiyeti olduğundan emin olun. Çok siteli dağıtımda, tüm giriş noktalarının ortak adları için muafiyetler eklenmelidir. Zorlamalı tünel etkinleştirilmişse bu muafiyetlerin otomatik olarak eklendiğini unutmayın. Zorlamalı tünel devre dışı bırakılırsa kaldırılırlar.

• Windows PowerShell cmdlet'ini Disable-DAMultiSite kullanırken WhatIf ve Confirm parametrelerinin hiçbir etkisi olmaz ve Çoklu Site devre dışı bırakılır ve Windows 7 GPO'ları kaldırılır.

• Çoklu site dağıtımında DCA kullanan Windows 7 istemcileri Windows 8'e yükseltildiğinde, Ağ Bağlantı Yardımcısı çalışmaz. Bu sorun, aşağıdaki Windows PowerShell cmdlet'leri kullanılarak Windows 7 GPO'ları değiştirilerek istemci yükseltmesi öncesinde çözülebilir:

  Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1
  Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant"
  

  İstemcinin zaten yükseltilmiş olması durumunda, istemci bilgisayarı Windows 8 güvenlik grubuna taşıyın.

• Etki alanı denetleyicisi ayarlarını Windows PowerShell cmdlet'i Set-DAEntryPointDC kullanarak değiştirirken, belirtilen ComputerName parametresi Multisite dağıtımına son eklenenden başka bir giriş noktasındaki bir Uzaktan Erişim sunucusuysa, belirtilen sunucunun bir sonraki ilke yenilemesine kadar güncelleştirilmeyecek olduğunu belirten bir uyarı görüntülenir. Güncelleştirilmemiş gerçek sunucular, Yapılandırma Durumu kullanılarak DASHBOARD'daki Uzaktan Erişim Yönetim Konsolu üzerinden görülebilir. Bu herhangi bir işlevsel soruna neden olmaz, ancak yapılandırma durumunun hemen güncelleştirilmesi için güncelleştirilmemiş sunucularda gpupdate /force komutunu çalıştırabilirsiniz.

• Çoklu site yalnızca IPv4 şirket ağına dağıtıldığında, iç ağ IPv6 ön ekinin değiştirilmesi DNS64 adresini de değiştirir, ancak DNS64 hizmetine DNS sorgularına izin veren güvenlik duvarı kurallarındaki adresi güncelleştirmez. Bu sorunu çözmek için iç ağ IPv6 ön ekini değiştirdikten sonra aşağıdaki Windows PowerShell komutlarını çalıştırın:

  $dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers
  
  $serverGpoName = (Get-RemoteAccess).ServerGpoName
  
  $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName
  
  $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc
  
  Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} |  Set-NetFirewallRule -LocalAddress $dns64Address
  
  Save-NetGPO -GPOSession $gpoSession
  

• Mevcut bir ISATAP altyapısı mevcutken DirectAccess yapılandırıldıysa, ISATAP ana bilgisayarı olan bir giriş noktası kaldırılırken, DNS64 hizmetine ait IPv6 adresi NRPT'deki tüm DNS soneklerinin DNS sunucusu adreslerinden kaldırılır.

  Bu sorunu çözmek için, Altyapı Sunucusu Kurulum sihirbazında, DNS sayfasında değiştirilmiş DNS son eklerini kaldırın ve DNS Sunucusu Adresleri iletişim kutusunda Algıla'ya tıklayarak bunları doğru DNS sunucu adresleriyle yeniden ekleyin.