Bereitstellen von Remotezugriff in einem Cluster

  • Artikel

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Durch Windows Server 2012 werden DirectAccess und RRAS-VPN (Routing und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst. Der Remotezugriff kann in einer Reihe von Unternehmensszenarios bereitgestellt werden. Diese Übersicht bietet eine Einführung in das Unternehmensszenario für die Bereitstellung mehrerer Remotezugriffsserver in einem Cluster, in dem der Lastenausgleich mithilfe des Windows-Netzwerklastenausgleichs (Network Load Balancing, NLB) bzw. eines externen Lastenausgleichs (External Load Balancer, ELB), z. B. F5 Big-IP, vorgenommen wird.

Beschreibung des Szenarios

Eine Clusterbereitstellung schließt mehrere Remotezugriffsserver zu einer einzigen Einheit zusammen, die dann als zentrale Kontaktstelle für Remoteclientcomputer fungiert, die mithilfe der externen virtuellen IP-Adresse (VIP) des Remotezugriffsclusters über DirectAccess oder VPN eine Verbindung mit dem internen Unternehmensnetzwerk herstellt. Der Lastenausgleich für den Datenverkehr zum Cluster erfolgt mit Windows NLB oder einem externen Lastenausgleich (z. B. F5 Big-IP).

Voraussetzungen

Bevor Sie mit der Bereitstellung dieses Szenarios beginnen, sollten Sie die Liste der wichtigen Anforderungen lesen:

  • Standardlastenausgleich über Windows NLB.
  • Externer Lastenausgleich wird unterstützt.
  • Der Unicast-Modus ist der standardmäßige und empfohlene Modus für den NLB.
  • Das Ändern von Richtlinien außerhalb der DirectAccess-Verwaltungskonsole oder von PowerShell-Cmdlets wird nicht unterstützt.
  • Wenn NLB oder ein externer Lastenausgleich verwendet wird, kann das Präfix IPHTTPS nur in /59 geändert werden.
  • Die Lastenausgleichsknoten müssen sich im gleichen IPv4-Subnetz befinden.
  • Wenn bei ELB-Bereitstellungen Remoteverwaltung erforderlich ist, können DirectAccess-Clients nicht Teredo verwenden. Nur IPHTTPS kann für die End-to-End-Kommunikation verwendet werden.
  • Stellen Sie sicher, dass alle bekannten NLB/ELB-Hotfixes installiert sind.
  • ISATAP wird im Unternehmensnetzwerk nicht unterstützt. Wenn Sie ISATAP verwenden, sollten Sie es entfernen und das systemeigene IPv6 verwenden.

Inhalt dieses Szenarios

Das Clusterbereitstellungsszenario umfasst eine Reihe von Schritten:

  1. Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen – Bevor eine Clusterbereitstellung eingerichtet wird, muss ein einzelner Remotezugriffsserver mit erweiterten Einstellungen bereitgestellt werden.

  2. Planen einer RAS-Clusterbereitstellung – Zum Erstellen eines Clusters aus der Bereitstellung eines einzelnen Servers ist eine Anzahl zusätzlicher Schritte erforderlich, einschließlich der Vorbereitung von Zertifikaten für die Clusterbereitstellung.

  3. Konfigurieren eines RAS-Clusters – Dies umfasst eine Reihe von Konfigurationsschritten, einschließlich der Vorbereitung des einzelnen Servers für Windows NLB oder externen Lastenausgleich, Vorbereitung weiterer Server auf den Beitritt zum Cluster und Aktivieren des Lastenausgleichs.

Praktische Anwendung

Der Zusammenschluss mehrerer Server zu einem Servercluster bietet Folgendes:

  • Skalierbarkeit – Bei einem einzelnen Remotezugriffsserver sind der Serverzuverlässigkeit und der Anpassbarkeit der Leistung bestimmte Grenzen gesetzt. Durch die Gruppierung der Ressourcen von zwei oder mehr Servern zu einem einzigen Cluster können Sie die verfügbare Kapazität für die Benutzer und den Durchsatz erhöhen.

  • Hohe Verfügbarkeit – Ein Cluster bietet hohe Verfügbarkeit für kontinuierlichen Zugriff. Wenn ein Server im Cluster ausfällt, können Remotebenutzer weiterhin über einen anderen Server im Cluster auf das Unternehmensnetzwerk zugreifen. Alle Server im Cluster verfügen über den gleichen Satz an Cluster-VIP-Adressen, während gleichzeitig jedoch eine eindeutige, dedizierte IP-Adresse für jeden Server beibehalten wird.

  • Einfache Verwaltung – Ein Cluster ermöglicht es, mehrere Server wie eine Entität zu verwalten. Gemeinsam genutzte Einstellungen können problemlos clusterserverübergreifend festgelegt werden. Die Remotezugriffseinstellungen können von jedem beliebigen Server im Cluster und – mithilfe der Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) – auch von einem Remotecomputer aus verwaltet werden. Darüber hinaus kann der ganze Cluster über eine einzelne Remotezugriffs-Verwaltungskonsole überwacht werden.

In diesem Szenario enthaltene Rollen und Features

Die folgende Tabelle enthält die für dieses Szenario erforderlichen Rollen und Features:

Rolle/Feature

Auf welche Weise dieses Szenario unterstützt wird

Remotezugriffs-Rolle

Diese Rolle wird mithilfe der Server-Manager-Konsole installiert und deinstalliert. Sie umfasst DirectAccess (zuvor ein Feature unter Windows Server 2008 R2) sowie die Routing- und RAS-Dienste (RRAS, zuvor ein Rollendienst unter der Serverrolle für Netzwerkrichtlinien- und Zugriffsdienste). Die Remotezugriffs-Rolle besteht aus zwei Komponenten:

  • DirectAccess und Routing- und RAS-Dienste (RRAS) VPN – DirectAccess und VPN werden gemeinsam in der Remotezugriffs-Verwaltungskonsole verwaltet.

  • RRAS-Routing – RRAS-Routingfeatures werden in der Vorgängerversion der Routing- und RAS-Konsole verwaltet.

Es bestehen folgende Abhängigkeiten:

  • Internetinformationsdienste-Webserver (Internet Information Services, IIS) – Dieses Feature ist erforderlich, um den Netzwerkadressenserver und den Standardwebtest zu konfigurieren.

  • Interne Windows-Datenbank – Wird zur lokalen Kontoführung auf dem Remotezugriffsserver verwendet.

Feature "Tools für die Remotezugriffsverwaltung"

So installieren Sie dieses Feature:

  • Standardmäßig wird es auf einem RAS-Server zusammen mit der RAS-Rolle installiert. Es unterstützt die Benutzeroberfläche der RAS-Verwaltungskonsole.

  • Es kann optional auf einem Server installiert werden, der die RAS-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt.

Das Feature "Tools für die Remotezugriffsverwaltung" besteht aus den folgenden Komponenten:

  • Benutzeroberfläche für RAS und Befehlszeilentools

  • RAS-Modul für Windows PowerShell

Abhängigkeiten umfassen:

  • Gruppenrichtlinien-Verwaltungskonsole

  • RAS-Verbindungs-Manager-Verwaltungskit (CMAK)

  • Windows PowerShell 3.0

  • Grafische Verwaltungstools und Infrastruktur

Netzwerklastenausgleich

Dieses Feature ermöglicht den Lastenausgleich in einem Cluster mithilfe des Windows-Netzwerklastenausgleichs.

Hardwareanforderungen

Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:

  • Mindestens ein Computer, der die Hardwareanforderungen für Windows Server 2012 erfüllt.

  • Für das Szenario des externen Lastenausgleichs ist dedizierte Hardware erforderlich (d. h. F5 BigIP).

  • Um das Szenario zu testen, ist mindestens ein Computer unter Windows 8 oder Windows 7 erforderlich, der als DirectAccess-Client konfiguriert ist.

Softwareanforderungen

Für dieses Szenario gelten eine Reihe von Anforderungen:

  • Softwareanforderungen für die Bereitstellung auf einem Einzelserver. Weitere Informationen finden Sie unter Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen.

  • Zusätzlich zu den Softwareanforderungen für einen einzelnen Server gibt es eine Reihe von clusterspezifischen Anforderungen:

    • Auf jedem Clusterserver muss der IP-HTTPS-Zertifikatantragstellername der ConnectTo-Adresse entsprechen. Eine Clusterbereitstellung unterstützt eine Mischung aus Zertifikaten mit und ohne Platzhalter auf Clusterservern.

    • Wenn der Netzwerkadressenserver auf dem Remotezugriffsserver installiert ist, muss das Netzwerkadressenserver-Zertifikat auf jedem Clusterserver den gleichen Antragstellernamen aufweisen. Darüber hinaus darf der Name des Netzwerkadressenserver-Zertifikats nicht mit dem Namen eines beliebigen Servers in der DirectAccess-Bereitstellung identisch sein.

    • IP-HTTPS- und Netzwerkadressenserver-Zertifikate müssen mit der gleichen Methoden ausgestellt werden, mit der das Zertifikat für den einzelnen Server ausgestellt wurde. Wenn der einzelne Server beispielsweise eine öffentliche Zertifizierungsstelle verwendet, müssen die Zertifikate aller Server im Cluster ebenfalls von einer öffentlichen Zertifizierungsstelle ausgestellt werden. Und wenn der einzelne Server ein selbstsigniertes Zertifikat für IP-HTTPS verwendet, müssen alle Server im Cluster ebenso verfahren.

    • Das IPv6-Präfix, das DirectAccess-Clientcomputern in Serverclustern zugewiesen wird, muss 59 Bit umfassen. Wenn VPN aktiviert ist, muss das VPN-Präfix ebenfalls 59 Bit umfassen.

Bekannte Probleme

Im Folgenden finden Sie bekannte Probleme beim Konfigurieren eines Clusterszenarios:

  • Nach dem Konfigurieren von DirectAccess in einer ausschließlichen IPv4-Bereitstellung mit einem einzelnen Netzwerkadapter und nach automatischem Konfigurieren von Standard-DNS64 (die IPv6-Adresse mit „:3333::“) auf dem Netzwerkadapter wird der Benutzer bei dem Versuch, den Lastenausgleich über die Remotezugriffs-Verwaltungskonsole zu aktivieren, zur Eingabe einer IPv6-DIP-Adresse aufgefordert. Wenn eine IPv6-DIP-Adresse angegeben wird, tritt nach dem Klicken auf Commit ausführen ein Konfigurationsfehler mit folgender Fehlermeldung auf: Der Parameter ist falsch.

    So beheben Sie dieses Problem

    1. Laden Sie die Sicherung herunter, und stellen Sie Skripts aus Back up and Restore Remote Access Configuration wieder her.

    2. Sichern Sie die Remotezugriffs-GPOs mit dem heruntergeladenen Skript „Backup-RemoteAccess.ps1“.

    3. Versuchen Sie, den Lastenausgleich bis zu dem Schritt zu aktivieren, bei dem ein Fehler auftritt. Erweitern Sie den Detailbereich im Dialogfeld „Lastenausgleich aktivieren“, klicken Sie mit der rechten Maustaste in den Detailbereich, und klicken Sie auf Skript kopieren.

    4. Öffnen Sie Editor, und fügen Sie den Inhalt der Zwischenablage ein. Zum Beispiel:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    5. Schließen Sie alle offenen Remotezugriffs-Dialogfelder und die Remotezugriffs-Verwaltungskonsole.

    6. Bearbeiten Sie den eingefügten Text, und entfernen Sie die IPv6-Adressen. Zum Beispiel:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    7. Führen Sie den Befehl aus dem vorherigen Schritt in einem PowerShell-Fenster mit erhöhten Rechten aus.

    8. Wenn während der Ausführung des Cmdlets ein Fehler auftritt (nicht durch falsche Eingabewerte), führen Sie den Befehl „Restore-RemoteAccess.ps1“ aus, und befolgen Sie die Anweisungen, um sicherzustellen, dass die Integrität der ursprünglichen Konfiguration beibehalten wird.

    9. Nun können Sie die Remotezugriffs-Verwaltungskonsole wieder öffnen.