Шаг 3. Планирование развертывания кластера с балансировкой нагрузки

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Следующим шагом является планирование конфигурации балансировки нагрузки и развертывания кластера.

3.1 Планирование балансировки нагрузки

Удаленный доступ можно развернуть на одном сервере или в кластере серверов удаленного доступа. Трафик к кластеру можно сбалансировать, чтобы обеспечить высокий уровень доступности и масштабируемость для клиентов DirectAccess. Существует два варианта балансировки нагрузки:

• NLB-Windows NLB — это компонент Windows Server. Для использования этого не требуется дополнительное оборудование, так как все серверы в кластере отвечают за управление нагрузкой трафика. NLB Windows поддерживает не более восьми серверов в кластере удаленного доступа.

• Для управления нагрузкой между серверами кластера удаленного доступа требуется внешнее оборудование. Кроме того, использование внешней подсистемы балансировки нагрузки поддерживает не более 32 серверов удаленного доступа в кластере. Некоторые моменты следует учитывать при настройке внешней балансировки нагрузки:

  • Администратор должен убедиться, что виртуальные IP-адреса, настроенные с помощью мастера балансировки нагрузки удаленного доступа, используются во внешних подсистемах балансировки нагрузки (например, локальной Диспетчер трафика F5 Big-Ip Local). При включении внешней балансировки нагрузки IP-адреса во внешних и внутренних интерфейсах будут повышены до виртуальных IP-адресов и должны быть подключены к подсистемам балансировки нагрузки. Это делается так, чтобы администратор не должен изменять запись DNS для общедоступного имени развертывания кластера. Кроме того, конечные точки туннеля IPsec являются производными от IP-адресов сервера. Если администратор предоставляет отдельные виртуальные IP-адреса, клиент не сможет подключиться к серверу. Пример настройки DirectAccess с внешней балансировкой нагрузки см. в примере конфигурации внешнего балансировщика нагрузки 3.1.1.

  • Многие внешние подсистемы балансировки нагрузки (включая F5) не поддерживают балансировку нагрузки 6to4 и ISATAP. Если сервер удаленного доступа является маршрутизатором ISATAP, функция ISATAP должна быть перемещена на другой компьютер. Кроме того, если функция ISATAP находится на другом компьютере, серверы DirectAccess должны иметь собственное подключение IPv6 с маршрутизатором ISATAP. Обратите внимание, что это подключение должно присутствовать перед настройкой DirectAccess.

  • Для внешней балансировки нагрузки, если требуется использовать Teredo, все серверы удаленного доступа должны иметь два последовательных общедоступных IPv4-адреса в качестве выделенных IP-адресов. Виртуальные IP-адреса кластера также должны иметь два последовательных общедоступных IPv4-адреса. Это не верно для NLB Windows, где только виртуальные IP-адреса кластера должны иметь два последовательных общедоступных IPv4-адреса. Если Teredo не используется, два последовательных IP-адреса не требуются.

  • Администратор может переключаться с NLB Windows на внешний балансировщик нагрузки и наоборот. Обратите внимание, что администратор не может переключиться с внешней подсистемы балансировки нагрузки на NLB Windows, если у него более 8 серверов во внешнем развертывании подсистемы балансировки нагрузки.

Пример конфигурации внешнего балансировщика нагрузки 3.1.1

В этом разделе описаны шаги по настройке для включения внешней подсистемы балансировки нагрузки в новом развертывании удаленного доступа. При использовании внешней подсистемы балансировки нагрузки кластер удаленного доступа может выглядеть следующим образом, где серверы удаленного доступа подключены к корпоративной сети через подсистему балансировки нагрузки во внутренней сети и через Интернет через подсистему балансировки нагрузки, подключенную к внешней сети:

Информация о планировании

1. Внешние IP-адреса (IP-адреса, которые клиент будет использовать для подключения к удаленному доступу), были определены как 131.107.0.102, 131.107.0.103

2. Подсистема балансировки нагрузки во внешней сети— 131.107.0.245 (Интернет), 131.107.1.245

   Сеть периметра (также известная как демилитаризованная зона и DMZ) находится между подсистемой балансировки нагрузки во внешней сети и сервером удаленного доступа.

3. IP-адреса для сервера удаленного доступа в сети периметра — 131.107.1.102, 131.107.1.103

4. IP-адреса для сервера удаленного доступа в сети ELB (т. е. между сервером удаленного доступа и подсистемой балансировки нагрузки во внутренней сети) — 30.11.101, 2006:2005:11:1:101

5. Подсистема балансировки нагрузки для внутренних ip-адресов сети — 30.11.1.245 2006:2005:11:245 (ELB), 30.1.1.245 2006:2005:1:1:245 (Corpnet)

6. Внутренние IP-адреса (IP-адреса, используемые для веб-пробы клиента и сервера сетевого расположения, если они установлены на серверах удаленного доступа), были определены как 30.1.1.10, 2006:2005:1:1:10

Шаги

1. Настройте внешний сетевой адаптер сервера удаленного доступа (подключенный к сети периметра) с адресами 131.107.0.102, 131.107.0.103. Этот шаг необходим для настройки DirectAccess для обнаружения правильных конечных точек туннеля IPsec.

2. Настройте внутренний сетевой адаптер сервера удаленного доступа (подключенный к сети ELB) с IP-адресами сервера веб-пробы или сетевого расположения (30.1.1.10, 2006:2005:1:1:10). Этот шаг необходим для доступа клиентов к IP-адресу веб-пробы, поэтому сетевое подключение помощник правильно указывает состояние подключения к DirectAccess. Этот шаг также позволяет получить доступ к серверу расположения сети, если он настроен на сервере DirectAccess.

   Примечание.

   Убедитесь, что контроллер домена доступен с сервера удаленного доступа с этой конфигурацией.

3. Настройте отдельный сервер DirectAccess на сервере удаленного доступа.

4. Включите внешнюю балансировку нагрузки в конфигурации DirectAccess. Используйте 131.107.102 как внешний выделенный IP-адрес (DIP) (131.107.1.103 будет выбран автоматически), используйте 30.11.1.101, 2006:2005:11:11:101 в качестве внутренних dips.

5. Настройте внешние виртуальные IP-адреса (VIP) во внешней подсистеме балансировки нагрузки с адресами 131.107.0.102 и 131.107.0.103. Кроме того, настройте внутренние IP-адреса во внешней подсистеме балансировки нагрузки с адресами 30.1.1.10 и 2006:2005:1:1:10.

6. Теперь сервер удаленного доступа будет настроен с запланированными IP-адресами, а внешние и внутренние IP-адреса для кластера будут настроены в соответствии с запланированными IP-адресами.

3.2 План IP-HTTPS

1. Требования к сертификату— во время развертывания одного сервера удаленного доступа, выбранного для использования сертификата IP-HTTPS, выданного общедоступным или внутренним центром сертификации (ЦС), или самозаверяющего сертификата. Для развертывания кластера необходимо использовать идентичный тип сертификата для каждого члена кластера удаленного доступа. То есть, если вы использовали сертификат, выданный общедоступным ЦС (рекомендуется), необходимо установить сертификат, выданный общедоступным ЦС на каждом элементе кластера. Имя субъекта нового сертификата должно совпадать с именем субъекта сертификата IP-HTTPS, используемого в настоящее время в развертывании. Обратите внимание, что при использовании самозаверяющих сертификатов они будут настроены автоматически на каждом сервере во время развертывания кластера.

2. Требования к префиксу — удаленный доступ обеспечивает балансировку нагрузки трафика на основе SSL и трафика DirectAccess. Чтобы сбалансировать весь трафик DirectAccess на основе IPv6, удаленный доступ должен проверить туннелирование IPv4 для всех технологий перехода. Так как трафик IP-HTTPS шифруется, проверка содержимого туннеля IPv4 невозможна. Чтобы включить балансировку нагрузки трафика IP-HTTPS, необходимо выделить достаточно широкий префикс IPv6, чтобы для каждого члена кластера можно назначить другой префикс IPv6 /64. Можно настроить не более 32 серверов в кластере с балансировкой нагрузки; Поэтому необходимо указать префикс /59. Этот префикс должен быть routable для внутреннего IPv6-адреса кластера удаленного доступа и настроен в мастере установки сервера удаленного доступа.

   Примечание.

   Требования к префиксам относятся только к внутренней сети с поддержкой IPv6 (только IPv6 или IPV4+IPv6). В только корпоративной сети IPv4 префикс клиента настраивается автоматически, а администратор не может изменить его.

3.3 Планирование подключений VPN-клиента

Существует ряд рекомендаций по подключению VPN-клиента.

• Трафик VPN-клиента нельзя сбалансировать, если адреса VPN-клиента выделены с помощью DHCP. Требуется пул статических адресов.

• RRAS можно включить в кластере с балансировкой нагрузки, развернутом только для DirectAccess, с помощью включения VPN на панели задач консоли управления удаленным доступом.

• Все изменения VPN, выполненные в консоли управления маршрутизацией и удаленным доступом (rrasmgmt.msc), должны быть реплика вручную на всех серверах удаленного доступа в кластере.

• Чтобы включить балансировку нагрузки трафика клиента VPN IPv6, необходимо указать 59-разрядный префикс IPv6.

3.4 Планирование сервера сетевого расположения

Если вы используете веб-сайт сервера расположения сети на одном сервере удаленного доступа, во время развертывания, выбранного для использования сертификата, выданного внутренним центром сертификации (ЦС), или самозаверяющего сертификата. Обратите внимание на следующее:

1. Каждый член кластера удаленного доступа должен иметь сертификат для сервера сетевого расположения, соответствующего записи DNS для веб-сайта сервера сетевых расположений.

2. Сертификат для каждого сервера кластера должен быть выдан таким же образом, как сертификат на одном сервере удаленного доступа с текущим сертификатом сервера сетевого расположения. Например, если вы использовали сертификат, выданный внутренним ЦС, необходимо установить сертификат, выданный внутренним ЦС на каждом элементе кластера.

3. Если вы использовали самозаверяющий сертификат, самозаверяющий сертификат будет настроен автоматически для каждого сервера во время развертывания кластера.

4. Имя субъекта сертификата не должно совпадать с именем любого из серверов в развертывании удаленного доступа.