Externe toegang implementeren in een cluster

Artikel
06/12/2016

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 combineert DirectAccess en RRAS-VPN (Routing and Remote Access Service) in één rol voor externe toegang. Externe toegang kan worden geïmplementeerd in diverse bedrijfsscenario's. Dit overzicht bevat een inleiding tot het bedrijfsscenario voor de implementatie van meerdere RAS-servers in een cluster met gelijke taakverdeling met behulp van Windows Network Load Balancing (NLB) of met een externe load balancer (ELB), zoals F5 Big-IP.

Scenariobeschrijving

Met een clusterimplementatie worden meerdere RAS-servers in één eenheid ondergebracht, die vervolgens dienst doet als het communicatiepunt voor externe clientcomputers die via DirectAccess of VPN verbinding maken met het interne bedrijfsnetwerk met behulp van het externe VIP-adres (virtuele IP) van het externe RAS-cluster. Het verkeer naar het cluster wordt evenredig verdeeld met behulp van Windows NLB of met een externe load balancer (zoals F5 Big-IP).

Vereisten

Controleer voordat u aan dit implementatiescenario begint deze lijst met belangrijke vereisten:

Standaardtaakverdeling via Windows NLB.

Externe load balancers worden ondersteund.

Unicastmodus is de standaard- en aanbevolen modus voor NLB.

Beleidswijzigingen buiten de DirectAccess-beheerconsole of met PowerShell-cmdlets worden niet ondersteund.

Als NLB of een externe load balancer wordt gebruikt, kan het IPHTTPS-voorvoegsel alleen worden gewijzigd in /59.

De knooppunten met gelijke taakverdeling moeten zich in hetzelfde IPv4-subnet bevinden.

In ELB-implementaties kunnen DirectAccess-clients geen gebruikmaken van Teredo als manage-out is vereist. Alleen IPHTTPS kan worden gebruikt voor end-to-end communicatie.

Zorg ervoor dat alle bekende NLB-/ELB-hotfixes zijn geïnstalleerd.

ISATAP in het bedrijfsnetwerk wordt niet ondersteund. Als u ISATAP gebruikt, moet u dat verwijderen en systeemeigen IPv6 gebruiken.

In dit scenario

Het clusterimplementatiescenario bestaat uit een aantal stappen:

Eén DirectAccess-server implementeren met geavanceerde instellingen: voordat u een clusterimplementatie instelt, moet u één RAS-server met geavanceerde instellingen implementeren.
Een Cluster RAS-implementatie plannen: als u een cluster wilt maken op basis van een implementatie met één server, is een aantal aanvullende stappen vereist, waaronder het voorbereiden van certificaten voor de clusterimplementatie.
Configureren van een Cluster RAS: dit proces bestaat uit een aantal configuratiestappen, waaronder het voorbereiden van de server voor Windows NLB of de externe load balancer, het voorbereiden van extra servers om te worden toegevoegd aan het cluster en het inschakelen van taakverdeling.

Praktische toepassingen

Het verzamelen van meerdere servers in een servercluster biedt de volgende voordelen:

Schaalbaarheid: één enkele RAS-server biedt een beperkte mate van serverbetrouwbaarheid en beperkt schaalbare prestaties. Door de bronnen van twee of meer servers in één cluster te groeperen, verhoogt u de capaciteit voor meerdere gebruikers en voor de doorvoer.
Hoge beschikbaarheid: een cluster biedt maximale beschikbaarheid voor permanente toegang. Als een server in het cluster te maken krijgt met een storing, kunnen externe gebruikers toegang tot het bedrijfsnetwerk blijven behouden via een andere server in het cluster. Alle servers in het cluster hebben dezelfde set met VIP-adressen voor het cluster, terwijl de unieke, toegewezen IP-adressen voor elke server behouden blijven.
Eenvoudig beheer: met een cluster kunt u meerdere servers als één entiteit beheren. U kunt eenvoudig gedeelde instellingen instellen voor een clusterserver. Instellingen voor externe toegang kunnen worden beheerd vanaf elke server in het cluster of extern met Remote Server Administration Tools (RSAT). Daarnaast kan het hele cluster worden gecontroleerd vanuit één beheerconsole voor externe toegang.

Rollen en functies binnen dit scenario

In de volgende tabel ziet u de benodigde functies en onderdelen voor dit scenario:

Functie/onderdeel	Ondersteuning voor dit scenario
RAS-functie	Deze rol wordt geïnstalleerd en verwijderd met de Serverbeheer-console. Deze functie omvat zowel DirectAccess, voorheen een functie in Windows Server 2008 R2, als Routing and Remote Access Services (RRAS), voorheen een functieservice onder de serverfunctie Services voor netwerkbeleid en -toegang (NPAS). De rol Externe toegang bestaat uit twee onderdelen: DirectAccess en de RRAS (Routing and Remote Access Services)-VPN: DirectAccess en VPN worden samen in de beheerconsole voor externe toegang beheerd. RRAS-routering: routeringsfuncties van RRAS worden beheerd in de oude console Routering en RAS. De afhankelijkheden zijn als volgt: IIS-webserver (Internet Information Services): deze functie is vereist om de netwerklocatieserver en de standaardwebcontrole te configureren. Windows Internal Database: gebruikt voor lokale accounting op de RAS-server.
De functie Programma's voor beheer van externe toegang	Deze functie wordt als volgt geïnstalleerd: De functie wordt standaard geïnstalleerd op een RAS-server wanneer de RAS-rol wordt geïnstalleerd en ondersteunt de gebruikersinterface van de console voor extern beheer. Deze kan desgewenst worden geïnstalleerd op een server die niet de rol van RAS-server vervult. In dat geval wordt deze gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN. De functie Programma’s voor beheer van externe toegang bestaat uit het volgende: GUI en opdrachtregelprogramma's voor externe toegang RAS-module voor Windows PowerShell Afhankelijkheden zijn: Console Groepsbeleidsbeheer CMAK (Administration Kit voor Verbindingsbeheer) van RAS Windows PowerShell 3.0 Grafische beheerprogramma's en infrastructuur
Netwerktaakverdeling	Deze functie zorgt voor taakverdeling in een cluster met Windows NLB.

RAS-functie

Deze rol wordt geïnstalleerd en verwijderd met de Serverbeheer-console. Deze functie omvat zowel DirectAccess, voorheen een functie in Windows Server 2008 R2, als Routing and Remote Access Services (RRAS), voorheen een functieservice onder de serverfunctie Services voor netwerkbeleid en -toegang (NPAS). De rol Externe toegang bestaat uit twee onderdelen:

DirectAccess en de RRAS (Routing and Remote Access Services)-VPN: DirectAccess en VPN worden samen in de beheerconsole voor externe toegang beheerd.
RRAS-routering: routeringsfuncties van RRAS worden beheerd in de oude console Routering en RAS.

De afhankelijkheden zijn als volgt:

IIS-webserver (Internet Information Services): deze functie is vereist om de netwerklocatieserver en de standaardwebcontrole te configureren.
Windows Internal Database: gebruikt voor lokale accounting op de RAS-server.

De functie Programma's voor beheer van externe toegang

Deze functie wordt als volgt geïnstalleerd:

De functie wordt standaard geïnstalleerd op een RAS-server wanneer de RAS-rol wordt geïnstalleerd en ondersteunt de gebruikersinterface van de console voor extern beheer.
Deze kan desgewenst worden geïnstalleerd op een server die niet de rol van RAS-server vervult. In dat geval wordt deze gebruikt voor extern beheer van een RAS-computer met DirectAccess en VPN.

De functie Programma’s voor beheer van externe toegang bestaat uit het volgende:

GUI en opdrachtregelprogramma's voor externe toegang
RAS-module voor Windows PowerShell

Afhankelijkheden zijn:

Console Groepsbeleidsbeheer
CMAK (Administration Kit voor Verbindingsbeheer) van RAS
Windows PowerShell 3.0
Grafische beheerprogramma's en infrastructuur

Netwerktaakverdeling

Deze functie zorgt voor taakverdeling in een cluster met Windows NLB.

Hardwarevereisten

De hardwarevereisten voor dit scenario zijn als volgt:

Ten minste twee computers die voldoen aan de hardwarevereisten voor Windows Server 2012.
Voor het scenario met een externe load balancer is specifieke hardware vereist (F5 BigIP).
Voor het testen van het scenario is ten minste één computer met Windows 8 of Windows 7 nodig die is geconfigureerd als een DirectAccess-client.

Softwarevereisten

Er gelden een aantal vereisten voor dit scenario:

Softwarevereisten voor implementatie met één server. Zie Eén DirectAccess-server implementeren met geavanceerde instellingen voor meer informatie.
Naast de softwarevereisten voor één server zijn er een aantal specifieke vereisten voor het cluster:
- Op elke clusterserver moet de onderwerpnaam van het IP-HTTPS-certificaat overeenkomen met het ConnectTo-adres. Een clusterimplementatie ondersteunt een combinatie van certificaten met jokertekens en niet-jokertekens op clusterservers.
- Als de netwerklocatieserver op de RAS-server is geïnstalleerd, moet het netwerklocatieservercertificaat op elke clusterserver dezelfde onderwerpnaam hebben. Daarnaast mag het netwerklocatieservercertificaat niet dezelfde naam hebben als een server in de DirectAccess-implementatie.
- IP-HTTPS- en netwerklocatieservercertificaten moeten worden uitgegeven met dezelfde methode waarmee het certificaat naar de afzonderlijke server is uitgegeven. Als voor de afzonderlijke server bijvoorbeeld gebruik wordt gemaakt van een openbare certificeringsinstantie (CA), moet voor alle servers in het cluster een certificaat worden gebruikt dat door een openbare certificeringsinstantie is uitgegeven. Of als één server een zelfondertekend certificaat gebruikt voor IP-HTTPS, moet voor alle servers in het cluster een zelfondertekend certificaat worden gebruikt.
- Het IPv6-voorvoegsel dat aan DirectAccess-clientcomputers op serverclusters wordt toegewezen, moet 59 bits zijn. Als VPN is ingeschakeld, moet het VPN-voorvoegsel ook 59 bits zijn.

Bekende problemen

Hier volgen enkele bekende problemen bij het configureren van een clusterscenario:

Nadat u DirectAccess in een IPv4-implementatie met één netwerkadapter hebt geconfigureerd, het standaard-DNS64-adres (het IPv6-adres met :3333::) automatisch is geconfigureerd voor de netwerkadapter en vervolgens via de beheerconsole voor externe toegang wordt geprobeerd taakverdeling in te schakelen, wordt de gebruiker gevraagd een IPv6-DIP op te geven. Als een IPv6-DIP wordt opgegeven en op Commit wordt geklikt, mislukt de configuratie en wordt de fout 'De parameter is onjuist' weergegeven.

U kunt dit probleem als volgt oplossen:
1. Download de back-up- en herstelscripts van Back up and Restore Remote Access Configuration (Engelstalig).
2. Maak een back-up van uw groepsbeleidsobjecten voor externe toegang met behulp van het gedownloade script Backup-RemoteAccess.ps1.
3. Probeer taakverdeling in te schakelen tot aan de stap waar het inschakelen mislukt. Vouw in het dialoogvenster Netwerktaakverdeling inschakelen het gedeelte met details uit, klik met de rechtermuisknop op het gedeelte met details en klik vervolgens op Script kopiëren.
4. Open Kladblok en plak daarin de inhoud van het Klembord. Bijvoorbeeld:
```
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose
```
5. Sluit alle geopende dialoogvensters voor externe toegang en sluit de beheerconsole voor externe toegang.
6. Bewerk de geplakte tekst en verwijder de IPv6-adressen. Bijvoorbeeld:
```
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose
```
7. Voer de opdracht uit de vorige stap uit in een PowerShell-venster met verhoogde bevoegdheid.
8. Als de cmdlet mislukt tijdens het uitvoeren (niet als gevolg van onjuiste invoerwaarden), voert u de opdracht Restore-RemoteAccess.ps1 uit en volgt u de instructies om ervoor te zorgen dat de integriteit van de oorspronkelijke configuratie behouden blijft.
9. U kunt nu de beheerconsole voor externe toegang opnieuw openen.