Dela via

Distribuera fjärråtkomst i ett kluster

Windows Server 2016 och Windows Server 2012 kombinerar DIRECTAccess- och RAS-VPN (Remote Access Service) till en enda fjärråtkomstroll. Du kan distribuera fjärråtkomst i ett antal företagsscenarier. Den här översikten ger en introduktion till företagsscenariot för distribution av flera fjärråtkomstservrar i ett kluster med belastningsutjämning med Windows Nätverksbelastningsutjämning (NLB) eller med en extern lastbalanserare (ELB), till exempel F5 Big-IP.

Scenariobeskrivning

En klusterdistribution samlar in flera fjärråtkomstservrar i en enda enhet, som sedan fungerar som en enda kontaktpunkt för fjärrklientdatorer som ansluter via DirectAccess eller VPN till det interna företagsnätverket med hjälp av den externa virtuella IP-adressen (VIP) för fjärråtkomstklustret. Trafik till klustret lastbalanseras med Windows NLB eller med en extern lastbalanserare (till exempel F5 Big-IP).

Prerequisites

Innan du börjar distribuera det här scenariot bör du granska den här listan efter viktiga krav:

  • Standardbelastningsutjämning via Windows NLB.

  • Externa lastbalanserare stöds.

  • Unicast-läge är standardläget och rekommenderat läge för NLB.

  • Det går inte att ändra principer utanför DirectAccess-hanteringskonsolen eller PowerShell-cmdletar.

  • När NLB eller en extern lastbalanserare används kan INTE IPHTTPS-prefixet ändras till något annat än /59.

  • De lastbalanserade noderna måste finnas i samma IPv4-undernät.

  • I ELB-distributioner, om hantering utifrån behövs, kan DirectAccess-klienter inte använda Teredo. Endast IPHTTPS kan användas för kommunikation från slutpunkt till slutpunkt.

  • Kontrollera att alla kända NLB/ELB-snabbkorrigeringar är installerade.

  • ISATAP i företagsnätverket stöds inte. Om du använder ISATAP bör du ta bort det och använda intern IPv6.

I det här scenariot

Scenariot för klusterdistribution innehåller ett antal steg:

  1. Distribuera en Always on VPN-server med avancerade alternativ. En enda fjärråtkomstserver med avancerade inställningar måste distribueras innan du konfigurerar en klusterdistribution.

  2. Planera en distribution av fjärråtkomstkluster. För att skapa ett kluster från en enskild serverdistribution krävs ett antal ytterligare steg, inklusive att förbereda certifikat för klusterdistributionen.

  3. Konfigurera ett fjärråtkomstkluster. Detta består av ett antal konfigurationssteg, inklusive att förbereda den enskilda servern för Windows NLB eller den externa lastbalanseraren, förbereda ytterligare servrar för att ansluta till klustret och aktivera belastningsutjämning.

Praktiska tillämpningar

Om du samlar in flera servrar i ett serverkluster får du följande:

  • Scalability. En enda fjärråtkomstserver ger en begränsad nivå av servertillförlitlighet och skalbar prestanda. Genom att gruppera resurser för två eller flera servrar i ett enda kluster ökar du kapaciteten för antalet användare och dataflöde.

  • Hög tillgänglighet. Ett kluster ger hög tillgänglighet för always-on-åtkomst. Om en server i klustret misslyckas kan fjärranvändare fortsätta att komma åt företagsnätverket via en annan server i klustret. Alla servrar i klustret har samma uppsättning virtuella IP-adresser (VIP) för klustret, samtidigt som de har en unik, dedikerad IP-adress för varje server.

  • Ease-of-management. Ett kluster tillåter hantering av flera servrar som en enda entitet. Delade inställningar kan enkelt ställas in över klusterservern. Inställningar för fjärråtkomst kan hanteras från någon av servrarna i klustret eller via fjärranslutning med hjälp av RSAT (Remote Server Administration Tools). Dessutom kan hela klustret övervakas från en enda fjärråtkomsthanteringskonsol.

Roller och funktioner som ingår i det här scenariot

I följande tabell visas de roller och funktioner som krävs för scenariot:

Role/feature Hur det stöder det här scenariot
Fjärråtkomstroll Rollen installeras och avinstalleras med hjälp av Serverhanteraren-konsolen. Det omfattar både DirectAccess, som tidigare var en funktion i Windows Server 2008 R2, och Routning och fjärråtkomsttjänster (RRAS), som tidigare var en rolltjänst under serverrollen Nätverksprincip och åtkomsttjänster (NPAS). Fjärråtkomstrollen består av två komponenter:

– Always On VPN och Routning och Fjärråtkomsttjänster (RRAS) VPN-DirectAccess och VPN hanteras tillsammans i konsolen för hantering av fjärråtkomst.
– RRAS-Routing-RRAS routningsfunktioner hanteras i den äldre routnings- och fjärråtkomstkonsolen.

Beroenden är följande:

– Webbserver för Internet Information Services (IIS) – Den här funktionen krävs för att konfigurera nätverksplatsservern och standardwebbavsökningen.
– Windows intern funktion Database-Used för lokal redovisning på fjärråtkomstservern.
Funktionen Verktyg för fjärråtkomsthantering Den här funktionen installeras på följande sätt:

– Den installeras som standard på en fjärråtkomstserver när fjärråtkomstrollen är installerad och stöder användargränssnittet för fjärrhanteringskonsolen.
– Det kan installeras på en server som inte kör fjärråtkomstserverrollen. I det här fallet används den för fjärrhantering av en fjärråtkomstdator som kör DirectAccess och VPN.

Funktionen Verktyg för fjärråtkomsthantering består av följande:

– Gui för fjärråtkomst och kommandoradsverktyg
– Fjärråtkomstmodul för Windows PowerShell

Beroenden omfattar:

– Konsolen för grupprinciphantering
– Administrationspaket för RAS Connection Manager (CMAK)
– Windows PowerShell 3.0
– Grafiska hanteringsverktyg och infrastruktur
Belastningsutjämning för nätverk Den här funktionen ger belastningsutjämning i ett kluster med windows NLB.

Maskinvarukrav

Maskinvarukrav för det här scenariot omfattar följande:

  • Minst två datorer som uppfyller maskinvarukraven för Windows Server 2012.

  • För scenariot extern lastbalanserare krävs dedikerad maskinvara (t.ex. F5 BigIP).

  • För att kunna testa scenariot måste du ha minst en dator som kör Windows 10 konfigurerad som en AlwaysOn VPN-klient.

Programvarukrav

Det finns ett antal krav för det här scenariot:

  • Programvarukrav för distribution av en enskild server. Mer information finns i Distribuera en enskild DirectAccess-server med avancerade inställningar. En enda fjärråtkomst).

  • Utöver programvarukraven för en enskild server finns det ett antal klusterspecifika krav:

    • På varje klusterserver måste IP-HTTPS certifikatmottagarens namn matcha ConnectTo-adressen. En klusterdistribution stöder en blandning av jokertecken- och icke-jokerteckencertifikat på klusterservrar.

    • Om nätverksplatsservern är installerad på fjärråtkomstservern måste certifikatet för nätverksplatsservern ha samma ämnesnamn på varje klusterserver. Dessutom får namnet på nätverksplatsservercertifikatet inte ha samma namn som någon server i DirectAccess-distributionen.

    • IP-HTTPS- och nätverksplatsservercertifikat måste utfärdas med samma metod som certifikatet till den enskilda servern utfärdades. Om den enskilda servern till exempel använder en offentlig certifikatutfärdare måste alla servrar i klustret ha ett certifikat utfärdat av en offentlig certifikatutfärdare. Eller om den enskilda servern använder ett självsignerat certifikat för IP-HTTPS måste alla servrar i klustret göra detsamma.

    • IPv6-prefixet som tilldelats DirectAccess-klientdatorer på serverkluster måste vara 59 bitar. Om VPN är aktiverat måste VPN-prefixet också vara 59 bitar.

Kända problemområden

Följande är kända problem när du konfigurerar ett klusterscenario:

  • När du har konfigurerat DirectAccess i en IPv4-distribution med ett enda nätverkskort och efter standard-DNS64 (IPv6-adressen som innehåller ":3333::") konfigureras automatiskt på nätverkskortet, orsakar försök att aktivera belastningsutjämning via konsolen för hantering av fjärråtkomst en uppmaning till användaren att ange en IPv6 DIP. Om en IPv6 DIP har angetts misslyckas konfigurationen efter att du klickat på Commit med felmeddelandet: Parametern är felaktig.

    Så här löser du problemet:

    1. Ladda ned skripten för säkerhetskopiering och återställning från Säkerhetskopiera och återställa konfiguration av fjärråtkomst.

    2. Säkerhetskopiera dina grupprincipobjekt för fjärråtkomst med hjälp av det nedladdade skriptet Backup-RemoteAccess.ps1

    3. Försök att aktivera belastningsutjämning tills det misslyckas. I dialogrutan Aktivera belastningsutjämning expanderar du informationsområdet, högerklickar i informationsområdet och klickar sedan på Kopiera skript.

    4. Öppna Notepad, och klistra in innehållet i urklipp. Till exempel:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    5. Stäng alla öppna dialogrutor för fjärråtkomst och stäng konsolen för hantering av fjärråtkomst.

    6. Redigera den inklistrade texten och ta bort IPv6-adresserna. Till exempel:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    7. I ett upphöjt PowerShell-fönster kör du kommandot från föregående steg.

    8. Om cmdleten misslyckas när den körs (inte på grund av felaktiga indatavärden) kör du kommandot Restore-RemoteAccess.ps1 och följer anvisningarna för att se till att integriteten för den ursprungliga konfigurationen bibehålls.

    9. Nu kan du öppna konsolen för hantering av fjärråtkomst igen.