Meerdere RAS-Servers implementeren in een meerdere locaties-implementatie

Artikel
06/12/2016

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012DirectAccess en Routing and Remote Access-Service (RRAS) VPN combineert in één rol is externe toegang. Externe toegang kan worden geïmplementeerd in een aantal enterprise scenario's. Dit overzicht bevat een inleiding tot het enterprise scenario voor het implementeren van RAS-servers in een configuratie voor meerdere locaties.

Scenario beschrijving

In een meerdere locaties implementatie twee of meer RAS-servers of serverclusters geïmplementeerd en geconfigureerd als andere toegangspunten in één locatie, of in bevindt geografische locaties. Implementatie van meerdere binnenkomst op één locatie kan voor redundantie server of voor de uitlijning van RAS-servers met bestaande netwerkarchitectuur. Implementatie op geografische locatie, zorgt u ervoor efficiënt gebruik van bronnen, zoals externe clientcomputers verbinding kunnen maken met interne netwerkbronnen met een beginpunt dichtstbijzijnde toe. Verkeer via een implementatie van meerdere locaties kan worden gedistribueerd en houdt met een externe globale load balancer.

Client-computers waarop biedt ondersteuning voor meerdere locaties-implementatieWindows 8ofWindows 7. Client-computers waaropWindows 8automatisch identificeren een beginpunt of de gebruiker kan een beginpunt handmatig selecteren. Automatische toewijzing vindt plaats in de volgende volgorde van prioriteit:

Gebruik een beginpunt handmatig door de gebruiker is geselecteerd.
Gebruik een beginpunt dat wordt aangeduid met een externe globale load balancer als een wordt geïmplementeerd.
Gebruik de dichtstbijzijnde beginpunt geïdentificeerd door de clientcomputer met een mechanisme voor automatische test.

Ondersteuning voor clients met Windows 7 moet handmatig worden ingeschakeld op elke beginpunt en selectie van een beginpunt door deze clients wordt niet ondersteund.

Vereisten

Voordat u dit scenario implementeren, Controleer deze lijst belangrijke vereisten:

Eén DirectAccess-server implementeren met geavanceerde instellingenvoordat u een implementatie van meerdere locaties moet worden geïmplementeerd.

Windows 7 clients wordt altijd verbinding gemaakt met een specifieke site. Ze is niet mogelijk verbinding maken met de dichtstbijzijnde site op basis van de locatie van de client (in tegenstelling tot de Windows 8, windows 8.1-clients).

Beleid buiten de DirectAccess-beheerconsole of het PowerShell-cmdlets wijzigen wordt niet ondersteund.

Een infrastructuur voor openbare sleutel moet worden geïmplementeerd.

Zie voor meer informatie: Testlab Guide Mini-Module: Basic PKI voor Windows Server 2012.

Het bedrijfsnetwerk moet IPv6 ingeschakeld. Als u ISATAP gebruikt, moet u deze verwijderen en systeemeigen IPv6 gebruiken.

In dit scenario

Het implementatiescenario voor op meerdere locaties bevat een aantal stappen uit:

Eén DirectAccess-server implementeren met geavanceerde instellingen— Één RAS-server met geavanceerde instellingen moet worden geïmplementeerd voordat u een implementatie van meerdere locaties instelt.
**Meerdere locaties-implementatie plannen**Stappen zijn vereist, met inbegrip van naleving van meerdere locaties vereisten en planning voor Active Directory-beveiligingsgroepen, Group Policy Objects (GPO), DNS- en clientinstellingen voor het ontwikkelen van een meerdere locaties implementatie van één server een aantal aanvullende planning.
Configureren van meerdere locaties-implementatie— Dit bestaat uit een aantal configuratiestappen, waaronder voorbereiding van de Active Directory-infrastructuur, de configuratie van de bestaande RAS-server en de toevoeging van meerdere RAS-servers als ingang voor de implementatie van meerdere locaties.
Problemen met een implementatie op meerdere locaties oplossen— Met deze sectie Probleemoplossing beschrijft een aantal van de meest voorkomende fouten optreden bij het implementeren van externe toegang in een implementatie van meerdere locaties.

Praktische toepassingen

Een meerdere locaties implementatie biedt de volgende:

Verbeterde prestaties, een implementatie van meerdere locaties kan clientcomputers toegang tot interne bronnen met externe toegang verbinding maken met de dichtstbijzijnde en meest geschikte beginpunt. Client efficiënt toegang krijgen tot interne bronnen en de snelheid van client die Internet aanvragen via de DirectAccess gestuurd is verbeterd. Verkeer via toegangspunten kan worden afgewogen met een externe globale load balancer.
Beheer van vereenvoudigen: meerdere locaties kan beheerders de implementatie van de externe toegang voor de implementatie van een Active Directory-sites uitlijnen bieden een vereenvoudigde architectuur. Gedeelde instellingen kunnen gemakkelijk worden ingesteld via post beheerpuntservers of clusters. Instellingen voor externe toegang kunnen worden beheerd vanaf een van de servers in de implementatie of extern met externe Server Administration Tools (RSAT). Bovendien kan de implementatie van de gehele meerdere locaties worden bewaakt vanaf één Remote Access Management console.

Functies en onderdelen opgenomen in dit scenario

De volgende tabel worden de rollen en functies die worden gebruikt in dit scenario.

Rol/functie	Ondersteuning voor dit scenario
Externe toegang rol	De rol is geïnstalleerd en verwijderd met behulp van de Server Manager-console. Het omvat zowel DirectAccess die eerder een functie in Windows Server 2008 R2 en Routing and Remote Access Services (RRAS is) die eerder is een functieservice onder de serverrol netwerkbeleid en -toegang tot Services (NPAS). De RAS-rol bestaat uit twee onderdelen: DirectAccess en Routing and Remote Access Services (RRAS) VPN – DirectAccess en VPN samen in de beheerconsole voor externe toegang worden beheerd. RRAS routering — RRAS functies in de verouderde Routing and Remote Access-console worden beheerd. Afhankelijkheden zijn als volgt: Internet Information Services (IIS)-webserver – deze functie is vereist voor de locatie van netwerkserver en standaard web test configureren. Interne Database van Windows, die wordt gebruikt voor lokale accounting op de RAS-server.
Functie voor externe toegang-beheerhulpprogramma 's	Deze functie is als volgt geïnstalleerd: Dit is standaard geïnstalleerd op een RAS-server als de RAS-rol is geïnstalleerd en biedt ondersteuning voor de gebruikersinterface van Remote Management console. Dit kan desgewenst worden geïnstalleerd op een server niet met de functie RAS-server. In dit geval wordt het gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN. De functie Externe toegang-beheerhulpprogramma's bestaat uit het volgende: RAS-GUI en opdrachtregelprogramma 's RAS-module voor Windows PowerShell Afhankelijkheden zijn: Console Groepsbeleidsbeheer RAS-Administration Kit voor Verbindingsbeheer (Administration Kit voor Verbindingsbeheer) Windows PowerShell 3.0 Hulpprogramma's voor grafisch beheer en infrastructuur

Externe toegang rol

De rol is geïnstalleerd en verwijderd met behulp van de Server Manager-console. Het omvat zowel DirectAccess die eerder een functie in Windows Server 2008 R2 en Routing and Remote Access Services (RRAS is) die eerder is een functieservice onder de serverrol netwerkbeleid en -toegang tot Services (NPAS). De RAS-rol bestaat uit twee onderdelen:

DirectAccess en Routing and Remote Access Services (RRAS) VPN – DirectAccess en VPN samen in de beheerconsole voor externe toegang worden beheerd.
RRAS routering — RRAS functies in de verouderde Routing and Remote Access-console worden beheerd.

Afhankelijkheden zijn als volgt:

Internet Information Services (IIS)-webserver – deze functie is vereist voor de locatie van netwerkserver en standaard web test configureren.
Interne Database van Windows, die wordt gebruikt voor lokale accounting op de RAS-server.

Functie voor externe toegang-beheerhulpprogramma 's

Deze functie is als volgt geïnstalleerd:

Dit is standaard geïnstalleerd op een RAS-server als de RAS-rol is geïnstalleerd en biedt ondersteuning voor de gebruikersinterface van Remote Management console.
Dit kan desgewenst worden geïnstalleerd op een server niet met de functie RAS-server. In dit geval wordt het gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN.

De functie Externe toegang-beheerhulpprogramma's bestaat uit het volgende:

RAS-GUI en opdrachtregelprogramma 's
RAS-module voor Windows PowerShell

Afhankelijkheden zijn:

Console Groepsbeleidsbeheer
RAS-Administration Kit voor Verbindingsbeheer (Administration Kit voor Verbindingsbeheer)
Windows PowerShell 3.0
Hulpprogramma's voor grafisch beheer en infrastructuur

Hardwarevereisten

Hardwarevereisten voor dit scenario zijn de volgende:

Ten minste twee RAS-computers in een implementatie van meerdere locaties worden verzameld. Hardwarevereisten voor deze computers worden beschreven inEén DirectAccess-server implementeren met geavanceerde instellingen.
Om te testen van het scenario voor ten minste één computer metWindows 8en geconfigureerd als een DirectAccess-client vereist is. Als u wilt testen van het scenario voor clients met Windows 7 is ten minste één computer met Windows 7 vereist.
Als u wilt laden saldo verkeer via post point-servers, is een derde partij externe globale load balancer vereist.

Softwarevereisten

Softwarevereisten voor dit scenario zijn:

Softwarevereisten voor single server-implementatie. Zie voor meer informatieEén DirectAccess-server implementeren met geavanceerde instellingen.
Er zijn een aantal multisite-specifieke vereisten naast softwarevereisten voor één server:
- IPSec-verificatievereisten — machine In een meerdere locaties implementatie DirectAccess moeten worden geïmplementeerd met IPsec-verificatie. De optie voor het uitvoeren van IPSec-verificatie met de RAS-server als Kerberos-proxy wordt niet ondersteund. Een interne CA is vereist voor het implementeren van het IPSec-certificaten.
- IP-HTTPS en netwerk Locatievereisten — certificaten vereist voor de IP-HTTPS en de locatie netwerkserver moet worden uitgegeven door een Certificeringsinstantie. De optie voor het gebruik van certificaten die automatisch worden uitgegeven en zelf ondertekend door de RAS-server wordt niet ondersteund. Certificaten kunnen worden uitgegeven door een interne Certificeringsinstantie of door een externe Certificeringsinstantie van derden.
- Vereisten voor Active Directory, ten minste één Active Directory-site is vereist. De RAS-server moet zich bevinden in de site. Voor snellere update doet, wordt u aangeraden dat elke site een beschrijfbare domeincontroller heeft hoewel dit niet verplicht.
- Vereisten, zijn de volgende vereisten:
  - Een enkele beveiligingsgroep is vereist voor alleWindows 8clientcomputers in alle domeinen. Het verdient aanbeveling een unieke beveiligingsgroep van deze clients voor elk domein maken.
  - Een unieke beveiligingsgroep met Windows 7-computers is vereist voor elke beginpunt geconfigureerd voor ondersteuning van Windows 7-clients. Aangeraden wordt om een unieke beveiligingsgroep voor elke beginpunt in elk domein.
  - Computers moeten niet worden opgenomen in meer dan een beveiligingsgroep met DirectAccess-clients. Als clients zijn opgenomen in meerdere groepen, werkt naamomzetting voor clientaanvragen niet zoals verwacht.
- Vereisten voor GPO — groepsbeleidsobjecten kunnen worden handmatig gemaakt voor externe toegang configureren, of automatisch gemaakt tijdens de implementatie van de externe toegang. Vereisten zijn:
  - Een unieke client GPO is vereist voor elk domein.
  - Een server GPO is vereist voor elke beginpunt in het domein waarin de beginpunt zich bevindt. Dus als meerdere toegangspunten zich in hetzelfde domein bevinden, zal er meerdere server groepsbeleidsobjecten (één voor elke beginpunt) in het domein.
  - Een unieke Windows 7 client GPO is vereist voor elke beginpunt ingeschakeld voor Windows 7 clientondersteuning voor elk domein.

Bekende problemen

De volgende zijn bekende problemen bij het configureren van een scenario voor meerdere locaties:

Meerdere toegangspunten in hetzelfde subnet IPv4— toe te voegen meerdere toegangspunten in hetzelfde subnet IPv4 resulteert in een IP-adresconflict bericht en het adres DNS64 voor het beginpunt wordt niet geconfigureerd zoals verwacht. Dit probleem treedt op wanneer het IPv6-adres is niet geïmplementeerd op de interne interfaces van de servers in het bedrijfsnetwerk. Om te voorkomen dat dit probleem met de volgende Windows PowerShell-opdracht uitvoeren op alle huidige en toekomstige RAS-servers:
```
Set-NetIPInterface –InterfaceAlias <InternalInterfaceName> –AddressFamily IPv6 –DadTransmits 0
```
Als het openbare adres opgegeven voor DirectAccess-clients verbinding maken met de RAS-server een achtervoegsel opgenomen in de NRPT heeft, werken DirectAccess mogelijk niet zoals verwacht. Zorg ervoor dat de NRPT een uitzondering voor de openbare naam heeft. In een implementatie meerdere locaties moeten uitzonderingen voor de openbare namen van alle post-punten worden toegevoegd. Opmerking Als afdwingen tunneling is ingeschakeld deze uitzonderingen worden automatisch toegevoegd. Ze worden verwijderd als forceren tunneling is uitgeschakeld.
Bij gebruik van de Windows PowerShell-cmdletDisable-DAMultiSitede parameters WhatIf en Bevestig hebben geen effect en meerdere locaties wordt uitgeschakeld enWindows 7groepsbeleidsobjecten worden verwijderd.
WanneerWindows 7clients DCA gebruiken in een implementatie van meerdere locaties worden bijgewerkt naarWindows 8het netwerk verbinding-assistent niet functioneren. Dit probleem kan worden omgezet vóór de clientupgrade doordat deWindows 7met de volgende Windows PowerShell-cmdlets groepsbeleidsobjecten:
```
Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" 
```
Verplaats de clientcomputer in het geval dat de client al bijgewerkt is, deWindows 8beveiligingsgroep.
Wanneer u wilt wijzigen met behulp van de Windows PowerShell-cmdlet domeincontrollerinstellingenSet-DAEntryPointDCals de parameter ComputerName RAS-server in een beginpunt dan de laatste toegevoegd aan de implementatie van de meerdere locaties een waarschuwing wordt weergegeven die aangeeft opgegeven dat de opgegeven server niet worden bijgewerkt tot beleid wordt vernieuwd. De werkelijke (s) die niet is bijgewerkt weergegeven met deConfiguratiestatusin deDASHBOARDvan debeheerconsole voor externe toegang. Hierdoor wordt niet functioneel problemen, kunt u echter uitvoerengpupdate /forceop de server (s) die niet bijgewerkt is als u de status van de configuratie onmiddellijk bijgewerkt.

Wanneer meerdere locaties is geïmplementeerd in een alleen IPv4 bedrijfsnetwerk, wijzigen van de interne netwerkadres IPv6-voorvoegsel ook wijzigingen de DNS64, maar het adres op de firewall-regels waarmee DNS-query's naar de service DNS64 niet bijgewerkt. Voer de volgende Windows PowerShell-opdrachten na het wijzigen van het voorvoegsel intern netwerk IPv6 dit probleem op te lossen:

$dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} |  Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSession

Als DirectAccess is geïmplementeerd als een bestaande ISATAP-infrastructuur is bij het verwijderen van een toegangspunt dat een host ISATAP is aanwezig wordt het IPv6-adres van de service DNS64 verwijderd uit de DNS-serveradressen van alle DNS-achtervoegsels in de NRPT.

Dit probleem oplossen deinfrastructuur Server Setupwizard op deDNSpagina, verwijdert u de DNS-achtervoegsels die zijn gewijzigd en deze opnieuw toevoegen met de juiste DNS-serveradressen door te klikken opanalyseop deDNS-serveradressenin het dialoogvenster.