共用方式為

部署多站台部署中的多個遠端存取伺服器

  • 發行項

 

適用於: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 將 DirectAccess 以及「路由及遠端存取服務」(RRAS) VPN 合併成一個遠端存取角色。 在多個企業案例中,我們可以部署「遠端存取」。 本概觀提供部署多站台設定中的遠端存取伺服器的企業案例的簡介。

案例描述

在站台部署中兩個或多個遠端存取伺服器或伺服器叢集部署和設定為在單一位置,或地理位置分散在不同進入點。 部署在單一位置的多個進入點,可讓伺服器備援,或使用現有的網路架構的遠端存取伺服器的對齊方式。 依地理位置確保有效率地使用資源,因為遠端用戶端電腦可以連線到內部網路資源使用最接近它們的進入點。 跨站台部署的流量可以和平衡與外部全域負載平衡器。

站台部署支援用戶端電腦執行 Windows 8 或 Windows 7。 執行用戶端電腦 Windows 8 自動識別進入點,或使用者可以手動選取的進入點。 依下列優先順序,就會發生自動指派︰

  1. 使用由使用者手動選取的進入點。

  2. 使用由外部全域負載平衡器,如果其中一個部署的進入點。

  3. 使用用戶端電腦使用自動探查機制所識別的最接近的進入點。

支援執行 Windows 7 的用戶端必須手動啟用每個進入點,並不支援這些用戶端的進入點的選取。

必要條件

開始部署這個案例之前,請先檢閱這份重要需求清單:

  • Windows 7 用戶端一律都會連線至特定站台。 它們無法連線到最接近的站台的位置 (不同於 Windows 8、 windows 8.1 用戶端) 的用戶端。
  • 不支援在 DirectAccess 管理主控台以外或使用 PowerShell Cmdlet 來變更原則。
  • 公司的網路必須啟用 IPv6。 如果您使用 ISATAP,則應該將它移除,然後使用原生的 IPv6。

在這個案例中

多站台部署案例包含幾個步驟︰

  1. Deploy a Single DirectAccess Server with Advanced Settings-使用進階設定單一遠端存取伺服器必須部署在設定站台部署之前。

  2. 規劃站台部署-若要建立站台從單一伺服器部署一些額外的規劃步驟是必要的包括相容性的多站台的必要條件和規劃 Active Directory 安全性群組、 群組原則物件 (Gpo)、 DNS 及用戶端設定。

  3. 設定站台部署— 這包含數個設定步驟,包括 Active Directory 基礎結構,設定現有的遠端存取伺服器,並加入多個遠端存取伺服器的多站台部署的進入點的準備工作。

  4. 疑難排解多站台部署— 疑難排解本節說明一些最常見的多站台部署中部署遠端存取時可能發生的錯誤。

實際應用

站台部署提供下列功能︰

  • 更佳的效能 — 多站台部署可讓用戶端電腦存取內部資源,使用遠端存取連線使用的最接近且最適合的進入點。 用戶端有效地存取內部資源和用戶端的網際網路要求路由傳送透過 DirectAccess 的速度已獲得改善。 可以使用外部全域負載平衡器平衡傳輸到進入點。

  • 輕鬆管理 — 多站台可讓系統管理員對齊至 Active Directory 站台部署,部署 「 遠端存取提供簡化的架構。 在進入點伺服器或叢集時,可以輕鬆設定共用的設定。 可以從任何部署,或使用遠端伺服器管理工具 (RSAT) 從遠端伺服器管理遠端存取設定。 此外,可以監視整個多站台部署,從單一遠端存取管理主控台。

這個案例包含的角色與功能

下表列出的角色和功能在此案例中使用。

角色/功能

如何支援本案例

遠端存取角色

這個角色是利用伺服器管理員主控台安裝和解除安裝。 它包含 DirectAccess (以前是 Windows Server 2008 R2 的功能)、 路由及遠端存取服務 (RRAS,以前是網路原則與存取服務 (NPAS) 伺服器角色底下的角色服務)。 遠端存取角色包含兩個元件:

  • DirectAccess、路由及遠端存取服務 (RRAS) VPN - 遠端存取管理主控台可以同時管理 DirectAccess 和 VPN。

  • RRAS 路由 - RRAS 路由功能則是在舊版路由及遠端存取主控台中管理。

相依性如下所示:

  • 網際網路資訊服務 (IIS) 網頁伺服器 – 設定網路位置和預設 Web 探查時,需要這個功能。

  • Windows 內部資料庫 - 用於遠端存取伺服器的本機計量。

遠端存取管理工具功能

這個功能的安裝方式如下:

  • 根據預設值,安裝遠端存取角色時,會在遠端存取伺服器安裝這個功能,而且可以支援遠端管理主控台使用者介面。

  • 它可以視情況安裝到不是執行遠端存取伺服器角色的伺服器上。 在這種情況下,它是用於從遠端管理那些執行 DirectAccess 和 VPN 的遠端存取電腦。

遠端存取管理工具功能包含以下各項:

  • 遠端存取 GUI 和命令列工具

  • 適用於 Windows PowerShell 的遠端存取模組

依存項目包括:

  • 群組原則管理主控台

  • RAS 連線管理員系統管理組件 (CMAK)

  • Windows PowerShell 3.0

  • 圖形化管理工具與基礎結構

硬體需求

本案例需要的硬體如下所示:

  • 蒐集到站台部署至少兩部遠端存取電腦。 這些電腦的硬體需求所述 Deploy a Single DirectAccess Server with Advanced Settings

  • 若要測試這個案例中,至少一部電腦執行 Windows 8 並設定為 DirectAccess 用戶端需要。 若要測試案例執行 Windows 7 的用戶端至少一部電腦執行 Windows 7 」。

  • 各進入點伺服器的負載平衡的流量,協力廠商外部全域負載平衡器不需要。

軟體需求

本案例的軟體需求如下:

  • 部署單一伺服器時的軟體需求。 如需詳細資訊,請參閱Deploy a Single DirectAccess Server with Advanced Settings

  • 除了單一伺服器的軟體需求有好幾個 multisite-特定需求︰

    • IPsec 驗證要求,必須使用 IPsec 部署 DirectAccess 多站台部署中的電腦憑證驗證。 不支援的選項來執行 IPsec 驗證,使用遠端存取伺服器當作 Kerberos proxy。 部署 IPsec 憑證所需的內部 CA。

    • IP-HTTPS 和網路位置伺服器的需求,需要 ip-https 的憑證和網路位置伺服器必須由 CA 發行。 不支援使用自動發行並由遠端存取伺服器自我簽署憑證的選項。 憑證可以是內部 ca 或由協力廠商的外部 CA 所發行。

    • Active Directory 需求 — 至少一個 Active Directory 站台是必要。 遠端存取伺服器應該位於站台。 如需更快的更新時間,建議的每個網站的可寫入網域控制站,雖然這不是強制性。

    • 安全性群組的需求,需求如下︰

      • 單一安全性群組做是為了所有 Windows 8 所有網域的用戶端電腦。 建議您建立的每個網域的這些用戶端唯一的安全性群組。

      • 每個進入點設定為支援 Windows 7 用戶端需要唯一的安全性群組,其中包含 Windows 7 電腦。 建議您在每個網域中有唯一的安全性群組的每個進入點。

      • 電腦不可以包含在多個內含 DirectAccess 用戶端的安全性群組中。 如果用戶端是包含在多個群組中,則無法正常為每一個用戶端要求,進行名稱的解析工作。

    • GPO 需求,可以手動建立之前設定遠端存取,或在遠端存取部署期間自動建立 Gpo。 需求如下所示︰

      • 每個網域需要唯一的用戶端 GPO。

      • 伺服器 GPO 需要進入點所在的網域中的每個進入點。 如果多個進入點位於相同網域中,將會有多個伺服器的網域中的 Gpo (一個用於每個進入點)。

      • 唯一的 Windows 7 用戶端 GPO,才能啟用的每個網域的 Windows 7 用戶端支援的每個進入點。

已知問題

下列是已知問題時設定多站台的案例︰

  • 位於相同的 IPv4 子網路的多個進入點— 在相同的 IPv4 子網路中新增多個進入點會在 IP 位址衝突訊息中,並如預期般,將不會設定為進入點的 DNS64 位址。 內部介面上的公司網路上的伺服器尚未部署 IPv6 時,就會發生這個問題。 若要避免此問題,所有目前和未來的遠端存取伺服器上執行下列 Windows PowerShell 命令︰

    Set-NetIPInterface –InterfaceAlias <InternalInterfaceName> –AddressFamily IPv6 –DadTransmits 0

  • 如果指定給 DirectAccess 用戶端連線到遠端存取伺服器的公用位址包含 NRPT 中的尾碼,DirectAccess 可能無法如預期般運作。 請確定 NRPT 具有公用名稱豁免。 在多站台部署中,應該為所有進入點的公用名稱新增豁免。 請注意,如果強制通道啟用自動新增這些豁免。 如果已停用 [強制通道,則會移除。

  • 使用 Windows PowerShell 指令程式時 停用 DAMultiSite, 、 WhatIf 和 Confirm 參數,就不再有效,並將停用多站台和 Windows 7 Gpo 將被移除。

  • 當 Windows 7 DCA 使用站台部署中的用戶端升級為 Windows 8, ,網路連線助理無法運作。 這個問題可以解析用戶端升級之前修改 Windows 7 Gpo,使用下列 Windows PowerShell cmdlet:

    Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1
Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" 

    用戶端已經升級,然後用戶端電腦移到 Windows 8 安全性群組。

  • 修改網域控制站設定使用 Windows PowerShell cmdlet 時 Set-daentrypointdc, ,如果 ComputerName 參數指定在最後一個以外的進入點的遠端存取伺服器加入至多站台部署中,將會顯示一則警告,指出指定的伺服器不會更新直到下次重新整理原則。 未更新的實際伺服器可以使用看到 組態狀態儀表板遠端存取管理主控台。 這不會造成任何功能的問題,不過,您可以在其中執行 gpupdate /force 尚未更新來立即更新的設定狀態的伺服器上。

  • 僅支援 IPv4 的公司網路,變更內部部署多站台時,網路也變更 DNS64 位址、 IPv6 首碼,但不會更新防火牆規則允許 DNS64 服務的 DNS 查詢上的位址。 若要解決此問題,請執行下列 Windows PowerShell 命令之後變更的內部網路 IPv6 首碼︰

    $dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers

$serverGpoName = (Get-RemoteAccess).ServerGpoName

$serverGpoDc = (Get-DAEntryPointDC).DomainControllerName

$gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc

Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} |  Set-NetFirewallRule -LocalAddress $dns64Address

Save-NetGPO -GPOSession $gpoSession

  • 如果已將 DirectAccess 部署時已存在,移除已 ISATAP 主機的進入點時的現有 ISATAP 基礎結構服務 DNS64 的 IPv6 位址會從 NRPT 中的所有 DNS 尾碼的 DNS 伺服器位址。

    若要解決這個問題,請在 基礎結構伺服器安裝 精靈的 DNS 頁面上,移除已修改的 DNS 尾碼,然後將它們加入一次使用正確的 DNS 伺服器位址,依序按一下 偵測DNS 伺服器位址 對話方塊。