Implementación del acceso remoto en un clúster

  • Artículo

 

Se aplica a: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 combina DirectAccess y VPN de Servicio de enrutamiento y acceso remoto (RRAS) en un solo rol de acceso remoto. El acceso remoto se puede implementar en diversos escenarios de empresas. Esta información general ofrece una introducción al escenario empresarial para implementar varios servidores de acceso remoto en la carga de un clúster equilibrada con el equilibrador de carga de red de Windows (NLB) o con un equilibrador de carga externo (ELB), como F5 Big-IP.

Descripción del escenario

La implementación de un clúster reúne varios servidores de acceso remoto en una sola unidad, la cual luego actúa como un solo punto de contacto para equipos cliente remotos que se conectan a través de DirectAccess o VPN a la red corporativa interna con la dirección IP virtual (VIP) externa del clúster de acceso remoto. La carga del tráfico hacia el clúster se equilibra con Windows NLB o con un equilibrador de carga externo (por ejemplo, F5 Big-IP).

Requisitos previos

Antes de empezar a implementar este escenario, revise esta lista de requisitos importantes:

  • Equilibrio de carga predeterminado mediante Windows NLB.
  • Se admiten los equilibradores de carga externos.
  • El modo de unidifusión es el modo predeterminado y recomendado para NLB.
  • No se admite la opción de cambiar directivas fuera de la consola de administración de DirectAccess o de cmdlets de Windows PowerShell.
  • Cuando se usa NLB o un equilibrador de carga externo, no se puede cambiar el prefijo IPHTTPS a nada que no sea /59.
  • Los nodos de carga equilibrada deben estar en la misma subred IPv4.
  • En las implementaciones de ELB, si se necesita quitar de la administración, los clientes de DirectAccess no pueden usar Teredo. Solo se puede usar IPHTTPS para la comunicación de extremo a extremo.
  • Asegúrese de que se instalan todas las revisiones de NLB/ELB conocidas.
  • ISATAP no es compatible con la red corporativa. Si utilizas ISATAP, debes eliminarlo y usar IPv6 nativo.

En este escenario

El escenario de implementación del clúster incluye varios pasos:

  1. Deploy a Single DirectAccess Server with Advanced Settings: un único servidor de acceso remoto con configuración avanzada se debe implementar antes de configurar la implementación de un clúster.

  2. Planear una implementación de clúster de acceso remoto: para compilar un clúster desde la implementación de un solo servidor, es necesario realizar una serie de pasos, como preparar los certificados para la implementación del clúster.

  3. Configurar un clúster de acceso remoto: consiste en una serie de pasos de configuración, como preparar el servidor único para Windows NLB o el equilibrador de carga externo, preparar servidores adicionales para unirlos al clúster y habilitar el equilibrio de carga.

Aplicaciones prácticas

La recopilación de varios servidores en un clúster de servidores ofrece lo siguiente:

  • Escalabilidad: un único servidor de acceso remoto ofrece un nivel limitado de confiabilidad del servidor y un rendimiento escalable. Al agrupar los recursos de dos o más servidores en un único clúster, se aumenta la capacidad para la cantidad de usuarios y el rendimiento.

  • Alta disponibilidad: un clúster proporciona alta disponibilidad para un acceso permanente. Si se produce un error en un servidor del clúster, los usuarios remotos pueden seguir teniendo acceso a la red corporativa a través de un servidor diferente en el clúster. Todos los servidores en el clúster tienen el mismo conjunto de direcciones IP virtuales (VIP) y al mismo tiempo mantienen una única dirección IP dedicada para cada servidor.

  • Administrabilidad: un clúster permite administrar varios servidores como una sola entidad. La configuración compartida se puede establecer fácilmente en el servidor del clúster. Se puede administrar la configuración de acceso remoto desde cualquiera de los servidores del clúster o de forma remota con las Herramientas de administración remota del servidor (RSAT). Además, se puede supervisar todo el clúster desde una única consola de administración de acceso remoto.

Roles y características que se incluyen en este escenario

En la siguiente tabla, se muestran los roles y características requeridos para el escenario:

Rol/característica

Compatibilidad con este escenario

Rol de acceso remoto

El rol se instala y desinstala mediante la consola del Administrador del servidor. Incluye tanto DirectAccess, que antes era una característica de Windows Server 2008 R2, como los servicios de enrutamiento y acceso remoto (RRAS), que antes eran un servicio de roles de los Servicios de acceso y directivas de redes (NPAS). El rol de acceso remoto consta de dos componentes:

  • VPN de los Servicios de acceso remoto y enrutamiento de DirectAccess (RRAS): DirectAccess y VPN se administran en forma conjunta en la consola de administración de acceso remoto.

  • Enrutamiento RRAS: las características del enrutamiento RRAS se administran en la consola de administración de acceso remoto heredada.

Las dependencias son las siguientes:

  • Servidor web de Internet Information Services (IIS): se requiere esta característica para configurar el servidor de ubicación de la red y el sondeo web predeterminado.

  • Windows Internal Database: se usa para las cuentas locales en el servidor de acceso remoto.

Característica Herramientas de administración de acceso remoto

Esta característica se instala de la siguiente manera:

  • Se instala de forma predeterminada en un servidor de acceso remoto cuando se instala el rol de acceso remoto, y admite la interfaz de usuario de la consola de administración de acceso remoto.

  • Puede instalarse opcionalmente en un servidor que no ejecute el rol de servidor de acceso remoto. En este caso, se usa para la administración remota de un equipo de acceso remoto que ejecuta DirectAccess y VPN.

La característica de herramientas de administración de acceso remoto consiste de los siguientes elementos:

  • Herramientas de la línea de comandos y GUI de acceso remoto

  • Módulo de acceso remoto para Windows PowerShell

Las dependencias incluyen:

  • Consola de administración de directivas de grupo

  • Kit de administración de Connection Manager (CMAK) de RAS

  • Windows PowerShell 3.0

  • Infraestructura y herramientas de administración de gráficos

Equilibrio de carga de red

Esta característica ofrece equilibrio de carga en un clúster con Windows NLB.

Requisitos de hardware

Los requisitos de hardware para este escenario incluyen los siguientes:

  • Al menos dos equipos que cumplan los requisitos de hardware para Windows Server 2012.

  • En el escenario de equilibrador de carga externo, es necesario hardware dedicado (por ejemplo, F5 BigIP).

  • Para probar el escenario, es necesario al menos un equipo que ejecute Windows 8 o Windows 7 y que esté configurado como cliente de DirectAccess.

Requisitos de software

Hay varios requisitos para este escenario:

  • Requisitos de software para la implementación de un solo servidor. Para obtener más información, vea Deploy a Single DirectAccess Server with Advanced Settings.

  • Además de los requisitos de software para un solo servidor, hay varios requisitos específicos para clúster:

    • En cada servidor de clúster el nombre de firmante del certificado IP-HTTPS debe coincidir con la dirección de ConnectTo. Una implementación de clúster admite una combinación de certificados comodín y no comodín en servidores de clústeres.

    • Si el servidor de ubicación de red está instalado en el servidor de acceso remoto, el certificado del servidor de ubicación de red debe tener el mismo nombre de firmante en cada servidor de clúster. Además, el nombre del certificado del servidor de ubicación de red no debe tener el mismo nombre que cualquier otro servidor en la implementación de DirectAccess.

    • Los certificados del servidor de ubicación de red e IP-HTTPS se deben emitir con el mismo método con el cual se emitió el certificado al único servidor. Por ejemplo, si el servidor único usa una entidad de certificación (CA) pública entonces todos los servidores en el clúster deben tener un certificado emitido por una CA pública. O si el servidor único usa un certificado autofirmado para IP-HTTPS, entonces todos los servidores en el clúster deben hacer lo mismo.

    • El prefijo IPv6 asignado a equipos clientes de DirectAccess en clústeres de servidor debe ser de 59 bits. Si VPN está habilitado, el prefijo VPN también debe ser de 59 bits.

Problemas conocidos

Los problemas que se mencionan a continuación son problemas conocidos de la configuración de un escenario de clúster:

  • Después de configurar DirectAccess en una implementación de solo IPv4 con un solo adaptador de red y después de que el valor predeterminado de DNS64 (la dirección IPv6 que contiene ":3333::") se configure automáticamente en el adaptador de red, al intentar habilitar el equilibrio de carga a través de la Consola de administración de acceso remoto se muestra un mensaje al usuario que le indica que proporcione una DIP de IPv6. Si se proporciona una DIP de IPv6, después de hacer clic en Confirmar, se produce el siguiente error de configuración: el parámetro es incorrecto.

    Para resolver este problema:

    1. Descargue la copia de seguridad y restaure los scripts desde Back up and Restore Remote Access Configuration.

    2. Realice una copia de seguridad de los GPO de acceso remoto mediante el script descargado Backup-RemoteAccess.ps1.

    3. Intente habilitar el equilibrio de carga hasta el paso en el que se produce el error. En el cuadro de diálogo Habilitar equilibrio de carga, expanda el área de detalles, haga clic con el botón derecho en esta área y, a continuación, haga clic en Copiar script.

    4. Abra el Bloc de notas y pegue el contenido del Portapapeles. Por ejemplo:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    5. Cierre los cuadros de diálogo de acceso remoto abiertos y la Consola de administración de acceso remoto.

    6. Edite el texto pegado y quite las direcciones IPv6. Por ejemplo:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    7. En una ventana de PowerShell con privilegios elevados, ejecute el comando del paso anterior.

    8. Si se produce un error en el cmdlet mientras se está ejecutando (no debido a valores de entrada incorrectos), ejecute el comando Restore-RemoteAccess.ps1 y siga las instrucciones para asegurarse de que se mantiene la integridad de la configuración original.

    9. Ahora puede volver a abrir la Consola de administración de acceso remoto.