Развертывание удаленного доступа в кластере

Windows Server 2016 и Windows Server 2012 объединяют VPN DirectAccess и службу удаленного доступа (RAS) в одну роль удаленного доступа. Удаленный доступ можно развернуть в нескольких корпоративных сценариях. Данный обзор представляет собой введение в корпоративный сценарий развертывания нескольких серверов удаленного доступа в кластере с балансировкой нагрузки при помощи компонента балансировки сетевой нагрузки Windows (NLB) или внешней подсистемы балансировки нагрузки, например F5 Big-IP.

Описание сценария

Развертывание в кластере объединяет несколько серверов удаленного доступа в единый блок, который действует как единая точка контакта для удаленных клиентских компьютеров, подключающихся к внутренней корпоративной сети через DirectAccess или VPN с помощью внешнего виртуального IP-адреса кластера удаленного доступа. Трафик в кластер балансируется по нагрузке с помощью Windows NLB Windows или внешней подсистемы балансировки нагрузки (такой как F5 Big-IP).

Необходимые компоненты

Перед началом развертывания этого сценария ознакомьтесь со списком важных требований.

  • Балансировка нагрузки по умолчанию с помощью Windows NLB.

  • Поддерживаются внешние подсистемы балансировки нагрузки.

  • Одноадресный режим установлен по умолчанию и рекомендуется для NLB.

  • Изменение политик вне консоли управления DirectAccess или без помощи командлетов Windows PowerShell не поддерживается.

  • При использовании NLB или внешней подсистемы балансировки нагрузки префикс IPHTTPS нельзя изменить на какое-либо значение, отличное от /59.

  • Узлы с балансировкой нагрузки узлы должны находиться в той же подсети IPv4.

  • Если в развертываниях ELB требуется управление извне, то клиенты DirectAccess не могут использовать Teredo. При сквозных взаимодействиях может использоваться только IPHTTPS.

  • Убедитесь, что все известные исправления NLB/ELB установлены.

  • ISATAP в корпоративной сети не поддерживается. Если вы используете протокол ISATAP, необходимо удалить его и перейти на собственный IPv6.

Содержание сценария

Сценарий развертывания в кластере включает несколько этапов.

  1. Разверните VPN-сервер Always on с дополнительными параметрами. Перед настройкой развертывания кластера необходимо развернуть один сервер удаленного доступа с расширенными параметрами.

  2. Планирование развертывания кластера удаленного доступа. Чтобы создать кластер из одного сервера, необходимо выполнить ряд дополнительных шагов, включая подготовку сертификатов для развертывания кластера.

  3. Настройка кластера удаленного доступа. Это состоит из нескольких шагов конфигурации, включая подготовку одного сервера для NLB Windows или внешней подсистемы балансировки нагрузки, подготовку дополнительных серверов для присоединения к кластеру и включение балансировки нагрузки.

Практическое применение

Объединение нескольких серверов в кластер серверов предоставляет следующие преимущества.

  • Масштабируемость. Один сервер удаленного доступа обеспечивает ограниченный уровень надежности сервера и масштабируемой производительности. Посредством объединения ресурсов двух или более серверов в единый кластер вы увеличиваете емкость для количества пользователей и пропускную способность.

  • обеспечение высокой доступности; Каждый набор масштабирования помещает свои виртуальные машины в группу доступности с 5 доменами сбоя (FD) и 5 доменами обновления (UD) для обеспечения доступности (дополнительные сведения о доменах сбоя и обновления см. Кластер обеспечивает высокий уровень доступности для постоянного доступа. Если происходит отказ одного из серверов в кластере, то удаленные пользователи могут сохранить доступ к корпоративной сети через другой сервер в кластере. Все серверы в кластере имеют одинаковые наборы виртуальных IP-адресов кластера, сохраняя при этом уникальный выделенный IP-адрес для каждого сервера.

  • Простота управления. Кластер позволяет управлять несколькими серверами в виде одной сущности. На всех серверах кластера можно легко установить общие параметры. Управление параметрами удаленного доступа можно осуществлять только с использованием одного из серверов в кластере или удаленно при помощи средств удаленного администрирования сервера. Кроме того, наблюдение за всем кластером можно осуществлять с одной консоли управления удаленным доступом.

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, необходимые для сценария.

Роль/компонент Способ поддержки сценария
Роль удаленного доступа Эта роль устанавливается и удаляется с помощью консоли Диспетчера серверов. В эту роль входят и DirectAccess, служивший ранее компонентом Windows Server 2008 R2, и службы маршрутизации и удаленного доступа (RRAS), которые ранее представляли собой службу в составе роли сервера служб политики сети и доступа. Роль удаленного доступа включает два компонента.

— Always On VPN и маршрутизация и удаленные службы Access (RRAS) VPN-DirectAccess и VPN управляются вместе в консоли управления удаленным доступом.
— Функции маршрутизации RRAS-RRAS управляются в устаревшей консоли маршрутизации и удаленного доступа.

Существуют следующие зависимости.

— веб-сервер службы IIS (IIS) — эта функция необходима для настройки сервера сетевого расположения и веб-пробы по умолчанию.
— внутренняя база данных Windows используется для локального учета на сервере удаленного доступа.

Средства управления удаленным доступом Этот компонент устанавливается описанным ниже образом.

— Он устанавливается по умолчанию на сервер удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления.
— Его можно установить на сервере, не на котором запущена роль сервера удаленного доступа. В этом случае компонент используется для удаленного управления компьютером с возможностью удаленного доступа, на котором установлены DirectAccess и VPN.

Средства управления удаленным доступом включают следующие элементы:

— графический интерфейс удаленного доступа и средства командной строки
— модуль удаленного доступа для Windows PowerShell

Зависимости включают следующее:

— консоль управления групповыми политиками
— набор администрирования диспетчер подключений RAS (CMAK)
— Windows PowerShell 3.0
— графические средства управления и инфраструктура

Балансировка сетевой нагрузки Данный компонент обеспечивает балансировку нагрузки в кластере при помощи компонента балансировки сетевой нагрузки Windows.

Требования к аппаратному обеспечению

Для этого сценария действуют следующие требования к оборудованию.

  • По крайней мере два компьютера, отвечающие требованиям к оборудованию для Windows Server 2012.

  • Для сценария внешней подсистемы балансировки нагрузки требуется выделенное оборудование (например F5 BigIP).

  • Чтобы протестировать сценарий, необходимо иметь по крайней мере один компьютер под управлением Windows 10, настроенный как VPN-клиент AlwaysOn.

Требования к программному обеспечению

Для этого сценария действуют следующие требования.

  • Требования к программному обеспечению для развертывания на одном сервере. Дополнительные сведения см. в статье "Развертывание одного сервера DirectAccess с дополнительными параметрами". Один удаленный доступ).

  • Кроме требований к программному обеспечению для одного сервера, действуют особые требования для кластера.

    • На каждом кластерном сервере имя субъекта сертификата IP-HTTPS должно соответствовать адресу ConnectTo. Кластерное развертывание поддерживает сочетание групповых и индивидуальных сертификатов на кластерных серверах.

    • Если на сервере удаленного доступа установлен сервер сетевых расположений, то на каждом сервере кластера сертификат сервера сетевых расположений должен иметь одно и то же имя субъекта. Кроме того, имя сертификата сервера сетевых расположений не должно совпадать с именем какого-либо сервера в развертывании DirectAccess.

    • Сертификаты IP-HTTPS и сервера сетевых расположений должны быть выданы с использованием того же метода, который применялся при выдаче сертификата одному серверу. Например, если один сервер использует общедоступный центр сертификации, то все серверы в кластере должны иметь сертификаты, выданные общедоступным центром сертификации. Или если один сервер использует самозаверяющий сертификат для IP-HTTPS, то все серверы в кластере должны иметь такие же сертификаты.

    • Префикс IPv6, назначенный клиентскому компьютеру DirectAccess в кластере сервера, должен иметь длину 59 бит. Если включена VPN, то префикс VPN тоже должен быть длиной 59 бит.

Известные проблемы

Ниже приводятся известные проблемы, возникающие при настройке сценария кластера.

  • После настройки DirectAccess в развертывании с поддержкой только IPv4 с одним сетевым адаптером и после автоматической настройки в сетевом адаптере DNS64 по умолчанию (IPv6-адрес, который содержит «: 3333::») попытка включить балансировку нагрузки в консоли управления удаленным доступом приводит к запросу на ввод DIP IPv6. Если указать DIP IPv6, после нажатия кнопки Зафиксировать возникает ошибка: "Неправильный параметр".

    Для разрешения этой проблемы:

    1. Скачайте сценарии резервного копирования и восстановления из раздела Настройка резервного копирования и восстановления конфигурации удаленного доступа.

    2. Резервное копирование объектов групповой политики удаленного доступа с помощью загруженного сценария Backup-RemoteAccess.ps1

    3. Попытайтесь включить балансировку нагрузки, пока не возникнет ошибка. В диалоговом окне "Включение балансировки нагрузки" разверните область сведений, щелкните ее правой кнопкой мыши и выберите команду Копировать сценарий.

    4. Откройте Блокнот и вставьте содержимое буфера обмена. Например:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose
      
    5. Закройте все открытые диалоговые окна удаленного доступа и закройте консоль управления удаленным доступом.

    6. Измените вставленный текст и удалите IPv6-адреса. Например:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose
      
    7. В окне PowerShell с повышенными привилегиями выполните команду из предыдущего шага.

    8. Если командлет завершается с ошибкой (ошибка при выполнении, а не из-за неправильных входных значений), выполните команду Restore-RemoteAccess.ps1 и следуйте инструкциям, чтобы убедиться, что целостность исходной конфигурации не нарушена.

    9. Теперь снова откройте консоль управления удаленным доступом.