步驟 3:設定負載平衡叢集
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
準備叢集的伺服器之後,在單一伺服器上設定負載平衡、設定必要的憑證,以及部署叢集。
| Task | 描述 |
|---|---|
| 3.1 設定 IPv6 首碼 | 如果公司環境是 IPv4+IPv6 或僅限 IPv6,則在單一遠端存取伺服器上,請確保指派給 DirectAccess 用戶端電腦的 IPv6 首碼足夠大,足以涵蓋叢集中的所有伺服器。 |
| 3.2 啟用負載平衡 | 在單一遠端存取伺服器上啟用負載平衡。 |
| 3.3 安裝 IP-HTTPS 憑證 | 叢集中的每部伺服器都需要伺服器憑證來驗證 IP-HTTPS 連線。 從單一遠端存取伺服器匯出 IP-HTTPS 憑證,並在您將新增至叢集的每個伺服器上部署該憑證。 只有在使用非自我簽署憑證時,才需要此項目。 |
| 3.4 安裝網路位置伺服器憑證 | 如果單一伺服器已在本機部署網路位置伺服器,則必須在叢集中的每部伺服器上部署網路位置伺服器憑證。 如果網路位置伺服器裝載於外部伺服器上,則不需要每個伺服器上的憑證。 只有在使用非自我簽署憑證時,才需要此項目。 |
| 3.5 將伺服器新增至叢集 | 將所有伺服器新增至叢集。 遠端存取不得設定在要新增的伺服器上。 |
| 3.6 從叢集移除伺服器 | 從叢集移除伺服器的指示。 |
| 3.7 停用負載平衡 | 停用負載平衡的指示。 |
注意
選取做為 DIP 的 IP 位址不得於叢集中的第一部遠端存取伺服器的網路介面卡上使用中。 同時將 VIP 和 DIP 新增至網路介面卡的情況下開始 DirectAccess 部署,將會導致失敗。
注意
務必不要使用網路上另一部電腦上已存在的 DIP。
3.1 設定 IPv6 首碼
設定首碼
在遠端存取伺服器上,按一下 [開始],然後按一下 [遠端存取管理]。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
在 [遠端存取管理] 主控台中,按一下 [設定] 。
在主控台中間窗格的 [步驟 2 DirectAccess 伺服器] 區域中,按一下 [編輯]。
按一下 [首碼組態]。 在 [首碼組態] 頁面上,於 [指派給 DirectAccess 用戶端電腦的 IPv6 首碼] 中,輸入用於 DirectAccess 用戶端電腦且子網路長度為 59 的 IPv6 首碼,例如 2001:db8:1:1000::/59。 如果 VPN 也已啟用 IPv6,則會顯示 IPv6 首碼,且子網路長度必須變更為 59。 按一下 [下一步] 。
在主控台中間窗格中,按一下 [完成]。
在 [遠端存取檢閱] 對話方塊中,檢閱組態設定,然後按一下 [套用]。 在 [套用遠端存取安裝精靈設定] 對話方塊上,按一下 [關閉] 。
3.2 啟用負載平衡
啟用負載平衡
在設定的 DirectAccess 伺服器上,按一下 [開始],然後按一下 [遠端存取管理]。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
在遠端存取管理主控台的左窗格中,按一下 [組態],然後在 [工作] 窗格中,按一下 [啟用負載平衡]。
在 [啟用負載平衡精靈] 中,按 [下一步]。
視您在規劃步驟中選擇的內容而定:
Windows NLB:在 [負載平衡方法] 頁面上,按一下 [使用 Windows 網路負載平衡 (NLB)],然後按 [下一步]。
外部負載平衡器:在 [負載平衡方法] 頁面上,按一下 [使用外部負載平衡器],然後按 [下一步]。
在單一網路介面卡部署中,於 [專用 IP 位址] 頁面上,執行下列動作,然後按 [下一步]:
在 [IPv4 位址] 方塊中,輸入此遠端存取伺服器的新 IPv4 位址;目前的 IPv4 位址會是負載平衡叢集的虛擬 IP 位址 (VIP)。 在 [子網路遮罩] 方塊中,輸入子網路遮罩。
如果公司環境是原生 IPv6,請在 [IPv6 位址] 方塊中,輸入此遠端存取伺服器的新 IPv6 位址;目前的 IPv6 位址會是負載平衡叢集的 VIP。 在 [子網路首碼長度] 方塊中,輸入子網路首碼長度。
在兩張網路介面卡部署中,於 [外部專用 IP 位址] 頁面上,執行下列動作,然後按 [下一步]:
在 [IPv4 位址] 方塊中,輸入此遠端存取伺服器的新外部 IPv4 位址;目前的 IPv4 位址會是負載平衡叢集的虛擬 IP 位址 (VIP)。 在 [子網路遮罩] 方塊中,輸入子網路遮罩。
如果目前在遠端存取伺服器的網際網路對向網路介面卡上設定了原生 IPv6 位址,請在 [IPv6 位址] 方塊中,請輸入此遠端存取伺服器的新外部 IPv6 位址;目前的 IPv6 位址將會是負載平衡叢集的 VIP。 在 [子網路首碼長度] 方塊中,輸入子網路首碼長度。
在兩張網路介面卡部署中,於 [內部專用 IP 位址] 頁面上,執行下列動作,然後按 [下一步]:
在 [IPv4 位址] 方塊中,輸入此遠端存取伺服器的新內部 IPv4 位址;目前的 IPv4 位址會是負載平衡叢集的 VIP。 在 [子網路遮罩] 方塊中,輸入子網路遮罩。
如果公司環境是原生 IPv6,請在 [IPv6 位址] 方塊中,輸入此遠端存取伺服器的新內部 IPv6 位址;目前的 IPv6 位址會是負載平衡叢集的 VIP。 在 [子網路首碼長度] 方塊中,輸入子網路首碼長度。
在 [摘要] 頁面上,按一下 [認可]。
在 [啟用負載平衡] 對話方塊上,按一下 [關閉]。
在 [啟用負載平衡精靈] 中,按一下 [關閉]。
注意
如果使用外部負載平衡,請記下虛擬 IP,並在外部負載平衡器上提供它們。
Windows PowerShell 同等的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
如果您在規劃步驟中選擇使用 Windows NLB,則執行下列動作:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")
如果您在規劃步驟中選擇使用外部負載平衡器,則執行下列動作:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer
注意
如果您使用暫存 GPO,建議不要包含對負載平衡器設定的變更,以及對任何其他設定的變更。 必須先套用對負載平衡器設定的任何變更,然後才應該進行其他組態變更。 此外,在新的 DirectAccess 伺服器上設定負載平衡器之後,請允許一些時間,以在企業中的 DNS 伺服器上套用和複寫 IP 變更,之後再變更與新叢集相關的其他 DirectAccess 設定。
3.3 安裝 IP-HTTPS 憑證
您至少必須有本機 Administrators 群組的成員資格或同等權限,才能完成此程序。
安裝 IP-HTTPS 憑證
在設定的遠端存取伺服器上,按一下 [開始],輸入 mmc,然後按 ENTER。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
在 MMC 主控台的 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話方塊中,依序按一下 [憑證]、[新增]、[電腦帳戶]、[下一步]、[完成],然後按一下 [確定]。
在主控台的左窗格中,瀏覽至 [憑證 (本機電腦)\個人\憑證]。 在 IP-HTTPS 憑證上按一下滑鼠右鍵,指向 [所有工作],然後按一下 [匯出]。
在 [歡迎使用憑證匯出精靈] 頁面上,按 [下一步]。
在 [匯出私密金鑰] 頁面上,按一下 [是,匯出私密金鑰],然後按 [下一步]。
在 [匯出檔案格式] 頁面上,按一下 [個人資訊交換 - PKCS #12 (.PFX)],然後按 [下一步]。
在 [安全性] 頁面上,選取 [密碼] 核取方塊,在 [密碼] 方塊中輸入密碼並確認密碼,然後按 [下一步]。
在 [要匯出的檔案] 頁面上,輸入憑證檔案的名稱,並將其儲存至桌面,然後按 [下一步]。
在 [完成憑證匯出精靈] 頁面上,按一下 [完成]。
在 [憑證匯出精靈] 對話方塊上,按一下 [確定]。
將憑證複製到您想要成為叢集成員的所有伺服器。
在新 DirectAccess 伺服器上,按一下 [開始],輸入 mmc,然後按 ENTER。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
在 MMC 主控台的 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話方塊中,依序按一下 [憑證]、[新增]、[電腦帳戶]、[下一步]、[完成],然後按一下 [確定]。
在主控台的左窗格中,瀏覽至 [憑證 (本機電腦)\個人\憑證]。 在 [憑證] 節點上按一下滑鼠右鍵,指向 [所有工作],然後按一下 [匯入]。
在 [歡迎使用憑證匯入精靈] 頁面上,按 [下一步]。
在 [要匯入的檔案] 頁面上,按一下 [瀏覽] 以找出憑證。 選取憑證,然後按 [下一步]。
在 [私密金鑰保護] 頁面上的 [密碼] 方塊中,輸入密碼,然後按 [下一步]。
在 [憑證存放區] 頁面上,按 [下一步]。
在 [完成憑證匯入精靈] 頁面上,按一下 [完成]。
在 [憑證匯入精靈] 對話方塊上,按一下 [確定]。
在您想要成為叢集成員的所有伺服器上重複步驟 13-22。
3.4 安裝網路位置伺服器憑證
您至少必須有本機 Administrators 群組的成員資格或同等權限,才能完成此程序。
安裝網路位置的憑證
在遠端存取伺服器上,按一下 [開始],輸入 mmc,然後按 ENTER。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
按一下 [檔案],然後按一下 [新增/移除嵌入式管理單元]。
依序按一下 [憑證]、[新增]、[電腦帳戶]、[下一步]、[本機電腦] 和 [完成],然後按一下 [確定]。
在 [憑證] 嵌入式管理單元的主控台樹狀目錄中,開啟 [憑證 (本機電腦)\個人\憑證]。
以滑鼠右鍵按一下 [憑證],指向 [所有工作],然後按一下 [要求新憑證]。
按兩次 [下一步] 。
在 [要求憑證] 頁面上,按一下 [Web 伺服器憑證範本],然後按一下 [需要更多資訊才能註冊此憑證]。
如果 Web 伺服器憑證範本未出現,請確保遠端存取伺服器電腦帳戶具有網頁伺服器憑證範本的註冊權限。 如需詳細資訊,請參閱設定網頁伺服器憑證範本的權限。
在 [憑證屬性] 對話方塊的 [主體] 索引標籤上,於 [主體名稱] 中,針對 [類型],選取 [一般名稱]。
在 [值] 中,輸入網路位置伺服器網站內部網站名稱的完整網域名稱 (FQDN) (例如 nls.corp.contoso.com),然後按一下 [新增]。
按一下 [確定],按一下 [註冊],然後按一下 [完成]。
在 [憑證] 嵌入式管理單元的詳細資料窗格中,驗證具有該 FQDN 的新憑證已註冊,且 [使用目的] 為 [伺服器驗證]。
以滑鼠右鍵按一下憑證,然後按一下 [內容]。
在 [自訂名稱] 中,鍵入網路位置憑證,然後按一下 [確定]。
提示
步驟 12 和 13 是選用的,但可讓您在設定遠端存取時,更輕鬆地選取網路位置的憑證。
在您想要成為叢集成員的所有伺服器上重複此程序。
3.5 將伺服器新增至叢集
將伺服器新增至叢集
在設定的 DirectAccess 伺服器上,按一下 [開始],然後按一下 [遠端存取管理]。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
在 [遠端存取管理] 主控台中,按一下 [設定] 。 在 [工作] 窗格的 [負載平衡叢集] 下,按一下 [新增或移除伺服器]。
在 [新增或移除伺服器] 對話方塊上,按一下 [新增伺服器]。
在 [新增伺服器] 對話方塊的 [選取伺服器] 頁面上,輸入其他遠端存取伺服器的名稱,然後按 [下一步]。
在 [網路介面卡] 頁面上,執行下列其中一項動作:
如果您要部署具有兩張網路介面卡的拓撲,請在 [外部介面卡] 中選取連線至外部網路的介面卡。 在 [內部介面卡] 中,選取連線到內部網路的介面卡。
如果您要部署具有一張網路介面卡的拓撲,請在 [網路介面卡] 中選取連線至外部網路的介面卡。
在 [網路介面卡] 頁面上,在 [選取用來驗證 IP-HTTPS 連線的憑證] 中,按一下 [瀏覽] 以找出並選取 IP-HTTPS 憑證,然後按 [下一步]。
在 [網路位置伺服器] 頁面上,按一下 [瀏覽] 以選取在遠端存取伺服器上執行的網路位置伺服器網站的憑證,然後按 [下一步]。
注意
只有在遠端存取伺服器上執行網路位置伺服器網站時,才會顯示 [網路位置伺服器] 頁面。
注意
如果已在遠端存取伺服器上設定 VPN,則此時會要求您新增 VPN IP 位址集區資訊。
在 [摘要] 頁面上,按一下 [新增]。
在 [完成] 頁面中,按一下 [關閉] 。
針對要新增至叢集的所有遠端存取伺服器重複此程序。
在 [新增或移除伺服器] 對話方塊上,按一下 [認可]。
在 [新增和移除伺服器] 對話方塊上,按一下 [關閉]。
Windows PowerShell 同等的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>
注意
如果未在負載平衡叢集中啟用 VPN,則使用 Windows PowerShell Cmdlet 將新伺服器新增至叢集時,您不應該提供任何 VPN 位址範圍。 如果您錯誤地這樣做,請從叢集移除伺服器,然後將它再次新增至叢集,而不要指定 VPN 位址範圍。
3.6 從叢集移除伺服器
從叢集移除伺服器
在設定的遠端存取伺服器上,按一下 [開始],然後按一下 [遠端存取管理]。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
在 [遠端存取管理] 主控台中,按一下 [設定] 。 在 [工作] 窗格的 [負載平衡叢集] 下,按一下 [新增或移除伺服器]。
在 [新增或移除伺服器] 對話方塊中,選取您要移除的遠端存取伺服器,然後按一下 [移除伺服器]。
在 [移除伺服器警告] 對話方塊中,確定您選擇正確的伺服器,然後按一下 [確定]。
針對要從叢集移除的所有遠端存取伺服器重複此程序。
在 [新增或移除伺服器] 對話方塊上,按一下 [認可]。
在 [新增和移除伺服器] 對話方塊上,按一下 [關閉]。
Windows PowerShell 同等的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>
3.7 停用負載平衡
停用負載平衡
在設定的 DirectAccess 伺服器上,按一下 [開始],然後按一下 [遠端存取管理]。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
在 [遠端存取管理] 主控台中,按一下 [設定] 。 在 [工作] 窗格的 [負載平衡叢集] 下,按一下 [停用負載平衡]。
在 [停用負載平衡] 對話方塊上,按一下 [確定]。
在 [停用負載平衡] 對話方塊上,按一下 [關閉]。
Windows PowerShell 同等的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
set-RemoteAccessLoadBalancer -disable
停用負載平衡將會從所有伺服器中移除遠端存取設定和 NLB 設定 (如果已設定),但執行它所在的伺服器除外。 在此遠端存取伺服器上,將會移除 NLB 設定 (如果已設定),但會保留遠端存取設定。
按一下 [移除組態設定] 將會從部署中的所有伺服器移除遠端存取和 NLB (如果已設定)。
注意
- 如果在部署負載平衡時解除安裝遠端存取,則所有伺服器會隨著 DIP 保留。 會移除 VIP。 這會導致目標為 VIP 位址的公司網路中的所有路由失敗。 這也會影響解析為 VIP 的 DNS 項目,例如網路位置伺服器憑證主體名稱。 若要避免此問題,請停用負載平衡,這會將 VIP 保留在最後一部遠端存取伺服器上,然後解除安裝遠端存取。
- 使用 Set-RemoteAccessLoadBalancer Cmdlet 停用負載平衡之後,請等候 2 分鐘,再執行任何其他 Cmdlet。 這也應該在 Set-RemoteAccessLoadBalancer -disable Cmdlet 之後執行另一個 Cmdlet 的任何指令碼中完成。
- 停用負載平衡會將叢集的虛擬 IP 位址變更為專用 IP 位址。 因此,查詢伺服器名稱的任何作業都會失敗,直到伺服器上快取的 DNS 項目到期為止。 停用負載平衡之後,請確定您未執行任何遠端存取 PowerShell Cmdlet,直到伺服器上的快取過期為止。 如果您嘗試從另一個網域中的另一部機器停用機器上的負載平衡,則此問題較常見。 如果您從遠端存取管理主控台停用負載平衡,也會發生這種情況,且可能會防止設定載入。 設定會在快取過期或已排清之後載入。