Freigeben über


Bereitstellen Sie mehrere RAS-Server in einer Bereitstellung mit mehreren Standorten

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Durch Windows Server 2012 werden DirectAccess und RRAS-VPN (Routing und RAS-Dienst) zu einer einzigen Remotezugriffsrolle zusammengefasst. Der Remotezugriff kann in einer Reihe von Unternehmensszenarios bereitgestellt werden. Diese Übersicht bietet eine Einführung in das Unternehmensszenario für die Bereitstellung von RAS-Servern in einer Konfiguration für mehrere Standorte.

Beschreibung des Szenarios

In einer Bereitstellung mit mehreren Standorten RAS-Server oder Servercluster bereitgestellt und als verschiedene Einstiegspunkte in einem einzigen Standort oder in geografisch verteilten Standorten konfiguriert. Mehrere Einstiegspunkte an einem einzigen Speicherort bereitstellen kann, Serverredundanz oder für die Ausrichtung von RAS-Servern mit bestehender Netzwerkarchitektur. Bereitstellung nach dem geografischen Standort gewährleistet effiziente Nutzung von Ressourcen, wie interne Netzwerkressourcen, die ihnen am nächsten gelegenen Einstiegspunkt mit remote-Clientcomputern herstellen können. Datenverkehr über eine Bereitstellung für mehrere Standorte verteilt und mit einem externen globalen Lastenausgleich verteilt.

Eine Bereitstellung für mehrere Standorte unterstützt Clientcomputer mitWindows 8oderWindows 7. Clientcomputer, auf denenWindows 8automatisch einen Einstiegspunkt zu identifizieren, oder der Benutzer kann einen Einstiegspunkt manuell auswählen. Automatische Zuweisung wird in der folgenden Reihenfolge ihrer Priorität:

  1. Verwenden Sie einen Einstiegspunkt manuell vom Benutzer ausgewählt.

  2. Verwenden Sie einen Einstiegspunkt dar, die von einem externen globalen Lastenausgleich identifiziert werden, wenn eine bereitgestellt wird.

  3. Verwenden Sie den nächstgelegenen Einstiegspunkt identifiziert durch den Clientcomputer mit einer automatischen Prüfpunkt-Mechanismus.

Unterstützung für Clients unter Windows 7 muss manuell aktiviert werden, auf jeden Einstiegspunkt und Auswahl eines Einstiegspunkts von diesen Clients wird nicht unterstützt.

Voraussetzungen

Bevor Sie beginnen, dieses Szenario bereitstellen, wird Überprüfen Sie diese Liste wichtigen Anforderungen:

  • Windows 7-Clients werden immer mit einem bestimmten Standort verbunden. Sie werden nicht für die Verbindung mit dem nächsten Standort basierend auf dem Client (im Gegensatz zu Windows 8, Windows 8.1-Clients) können.
  • Ändern von Richtlinien außerhalb der DirectAccess-Verwaltungskonsole oder die PowerShell-Cmdlets wird nicht unterstützt.
  • Das Unternehmensnetzwerk muss IPv6 aktiviert sein. Wenn Sie ISATAP verwenden, sollten Sie es entfernen und das systemeigene IPv6 verwenden.

Inhalt dieses Szenarios

Das Szenario für die Bereitstellung für mehrere Standorte umfasst eine Reihe von Schritten:

  1. Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen– Eine einzige RAS-Server mit erweiterten Einstellungen muss vor dem Einrichten einer Bereitstellung mit mehreren Standorten bereitgestellt werden.

  2. Planen einer Bereitstellung mit mehreren Standorten– Wenn Sie einer Bereitstellung für mehrere Standorte von einem einzelnen Server etliche zusätzliche Planung erstellen sind Schritte erforderlich sind, einschließlich der Kompatibilität mit mehreren Standorten erforderlichen Komponenten und Planung für Active Directory-Sicherheitsgruppen, die Gruppenrichtlinienobjekte (GPOs), DNS und Clienteinstellungen.

  3. Konfigurieren einer Bereitstellung mit mehreren Standorten– Dies umfasst eine Reihe von Konfigurationsschritte erforderlich, darunter die Vorbereitung des Active Directory-Infrastruktur, die Konfiguration der vorhandenen RAS-Server und das Hinzufügen von mehreren RAS-Servern als Einstiegspunkte für die Bereitstellung für mehrere Standorte.

  4. **Problembehandlung bei einer Bereitstellung für mehrere Standorte**Dieser Abschnitt zur Problembehandlung beschreibt eine Reihe die häufigsten Fehler, die beim Bereitstellen von Remotezugriff in einer Bereitstellung mit mehreren Standorten auftreten können.

Praktische Anwendung

Eine Bereitstellung für mehrere Standorte bietet Folgendes:

  • Verbesserte Leistung – eine Bereitstellung für mehrere Standorte ermöglicht Clientcomputern den Zugriff auf interne Ressourcen über Remotezugriff Herstellen einer Verbindung mit dem nächstgelegenen und am besten geeigneten Einstiegspunkt. Clients Zugriff auf interne Ressourcen effizient und die Geschwindigkeit der Client Internet fordert über DirectAccess weitergeleitet wurde verbessert. Datenverkehr über alle Einstiegspunkte kann mit einem externen globalen Lastenausgleich ausgeglichen werden.

  • Einfache Verwaltung – mehrere Standorte kann Administratoren die Bereitstellung des Remotezugriffs mit Active Directory-Standorte Bereitstellung ausrichten bietet eine vereinfachte Architektur. Gemeinsam genutzte Einstellungen können problemlos über den Eintrag Server oder Cluster festgelegt werden. Remote Access\Settings können von jedem Server in der Bereitstellung oder Remote mit Remote Server Administration Tools (RSAT) verwaltet werden. Darüber hinaus kann die gesamte Bereitstellung aus einer einzigen Remotezugriffs-Verwaltungskonsole überwacht werden.

In diesem Szenario enthaltene Rollen und Features

Die folgende Tabelle listet die Rollen und Features, die in diesem Szenario verwendeten.

Rolle/Feature

Auf welche Weise dieses Szenario unterstützt wird

Remotezugriffs-Rolle

Diese Rolle wird mithilfe der Server-Manager-Konsole installiert und deinstalliert. Sie umfasst DirectAccess (zuvor ein Feature unter Windows Server 2008 R2) sowie die Routing- und RAS-Dienste (RRAS, zuvor ein Rollendienst unter der Serverrolle für Netzwerkrichtlinien- und Zugriffsdienste). Die Remotezugriffs-Rolle besteht aus zwei Komponenten:

  • DirectAccess und Routing- und RAS-Dienste (RRAS) VPN – DirectAccess und VPN werden gemeinsam in der Remotezugriffs-Verwaltungskonsole verwaltet.

  • RRAS-Routing – RRAS-Routingfeatures werden in der Vorgängerversion der Routing- und RAS-Konsole verwaltet.

Abhängigkeiten lauten wie folgt:

  • Internetinformationsdienste-Webserver (Internet Information Services, IIS) – Dieses Feature ist erforderlich, um den Netzwerkadressenserver und den Standardwebtest zu konfigurieren.

  • Interne Windows-Datenbank – Wird zur lokalen Kontoführung auf dem Remotezugriffsserver verwendet.

Feature "Tools für die Remotezugriffsverwaltung"

So installieren Sie dieses Feature:

  • Standardmäßig wird es auf einem RAS-Server zusammen mit der RAS-Rolle installiert. Es unterstützt die Benutzeroberfläche der RAS-Verwaltungskonsole.

  • Es kann optional auf einem Server installiert werden, der die RAS-Serverrolle nicht ausführt. In diesem Fall wird es für die Remoteverwaltung eines RAS-Computers verwendet, der DirectAccess und VPN ausführt.

Das Feature "Tools für die Remotezugriffsverwaltung" besteht aus den folgenden Komponenten:

  • Benutzeroberfläche für RAS und Befehlszeilentools

  • RAS-Modul für Windows PowerShell

Abhängigkeiten umfassen:

  • Gruppenrichtlinien-Verwaltungskonsole

  • RAS-Verbindungs-Manager-Verwaltungskit (CMAK)

  • WindowsPowerShell 3.0

  • Grafische Verwaltungstools und Infrastruktur

Hardwareanforderungen

Für dieses Szenario müssen die folgenden Hardwareanforderungen erfüllt werden:

  • Mindestens zwei RAS-Computern in einer Bereitstellung mit mehreren Standorten gesammelt werden. Hardware-Mindestanforderungen für diese Computer werden in beschriebenBereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen.

  • Um festzustellen, ob das Szenario, mindestens einen Computer mitWindows 8und konfiguriert ein DirectAccess-Client erforderlich ist. Zum Testen des Szenarios für Windows 7-Clients muss auf mindestens einem Computer unter Windows 7.

  • Um Lastenausgleich für Datenverkehr über den Eintrag Server zu laden, ist ein Drittanbieter-externen globalen Lastenausgleich erforderlich.

Softwareanforderungen

Für dieses Szenario müssen die folgenden Softwareanforderungen erfüllt werden:

  • Softwareanforderungen für die Bereitstellung auf einem Einzelserver. Weitere Informationen finden Sie unter Bereitstellen eines einzelnen DirectAccess-Servers mit erweiterten Einstellungen.

  • Es gibt eine Reihe von multisite-bestimmte Anforderungen, zusätzlich zu den softwareanforderungen für einen einzelnen Server:

    • Anforderungen an die IPsec-Authentifizierung – Computer In einer Bereitstellung mit mehreren Standorten DirectAccess bereitgestellt werden muss, mithilfe von IPsec-Zertifikatauthentifizierung. Die Option zum Ausführen von IPSec-Authentifizierung mit dem RAS-Server als Kerberos-Proxy wird nicht unterstützt. Bereitstellen der IPsec-Zertifikate ist eine interne Zertifizierungsstelle erforderlich.

    • IP-HTTPS und Netzwerk-Speicherort-Server-Anforderungen – erforderlichen Zertifikate für IP-HTTPS und der Netzwerkadressenserver muss von einer Zertifizierungsstelle ausgestellt werden. Die Option zum Verwenden von Zertifikaten, die automatisch ausgegeben und selbstsigniert vom RAS-Server wird nicht unterstützt. Zertifikate können von einer internen Zertifizierungsstelle oder von einem Drittanbieter-externen Zertifizierungsstelle ausgestellt werden.

    • Active Directory-Anforderungen – mindestens eine Active Directory-Standort ist erforderlich. Der RAS-Server sollte sich am Standort befinden. Für schnelleres aktualisieren wird empfohlen, dass jeder Standort einen beschreibbaren Domänencontroller hat, obwohl dies nicht erforderlich ist.

    • Anforderungen für die Sicherheitsgruppen, lauten wie folgt:

      • Eine einzelne Sicherheitsgruppe ist erforderlich für alleWindows 8Clientcomputer aus allen Domänen. Es wird empfohlen, um eine eindeutige Sicherheitsgruppe der Clients für jede Domäne zu erstellen.

      • Eine eindeutige Sicherheitsgruppe mit Windows 7-Computern ist erforderlich für jeden Einstiegspunkt für die Unterstützung von Windows 7-Clients konfiguriert. Es wird empfohlen, eine eindeutige Sicherheitsgruppe für jeden Einstiegspunkt in jeder Domäne verfügen.

      • Computer sollte nicht mehr als eine Sicherheitsgruppe aufgenommen werden, die DirectAccess-Clients enthält. Wenn Clients in mehreren Gruppen enthalten sind, funktioniert der Auflösung für Clientanforderungen nicht wie erwartet.

    • GPO-Anforderungen – Gruppenrichtlinienobjekte manuell vor dem Konfigurieren des Remotezugriffs erstellt oder während der Bereitstellung des Remotezugriffs automatisch erstellt. Lauten wie folgt:

      • Eine eindeutige Client-Gruppenrichtlinienobjekt ist für jede Domäne erforderlich.

      • Ein Server-Gruppenrichtlinienobjekt ist erforderlich für jeden Einstiegspunkt, in der Domäne, in der sich der Einstiegspunkt befindet. Wenn mehrere Einstiegspunkte in derselben Domäne befinden, werden mehrere Server Gruppenrichtlinienobjekte (eine für jeden Einstiegspunkt) in der Domäne.

      • Eine eindeutige Client-Gruppenrichtlinienobjekt von Windows 7 ist erforderlich für jeden Einstiegspunkt für Windows 7-Clientunterstützung für jede Domäne aktiviert.

Bekannte Probleme

Im folgenden werden bekannte Probleme bei einem Szenario mit mehreren Standorten zu konfigurieren:

  • Mehrere Einstiegspunkte im gleichen Subnetz IPv4-– mehrere Einstiegspunkte im gleichen IPv4-Subnetz hinzufügen führt dazu, dass eine IP-Adresse Konflikt-Nachricht und die DNS64-Adresse für den Einstiegspunkt wird nicht wie erwartet konfiguriert werden. Dieses Problem tritt auf, wenn IPv6 nicht an den internen Schnittstellen der Server im Unternehmensnetzwerk bereitgestellt wurde. Um zu verhindern, dass dieses Problems führen den folgenden Windows PowerShell-Befehl für alle aktuellen und zukünftigen RAS-Server:

    Set-NetIPInterface –InterfaceAlias <InternalInterfaceName> –AddressFamily IPv6 –DadTransmits 0
    
  • Weist die öffentliche Adresse angegeben für DirectAccess-Clients für die Verbindung mit dem RAS-Server ein Suffix, das in der NRPT enthalten, möglicherweise DirectAccess nicht wie erwartet funktionieren. Stellen Sie sicher, dass die NRPT eine Ausnahme für den öffentlichen Namen verfügt. Bei einer Bereitstellung mit mehreren Standorten sollten Ausnahmen für den öffentlichen Namen aller Einstiegspunkte hinzugefügt werden. Beachten Sie, dass bei des Erzwingens von Tunneln aktiviert ist diese Ausnahmen werden automatisch hinzugefügt. Sie werden entfernt, wenn das Erzwingen von Tunneln deaktiviert ist.

  • Bei Verwendung des Windows PowerShell-CmdletsDisable-DAMultiSiteWhatIf and Confirm-Parameter haben keine Auswirkung und mehrere Standorte deaktiviert undWindows 7Gruppenrichtlinienobjekte entfernt werden.

  • WennWindows 7auf Clients mithilfe der DCA in einer Bereitstellung mit mehreren Standorten aktualisiertWindows 8Network Connectivity Assistant funktioniert nicht. Dieses Problem kann im voraus die Clientaktualisierung aufgelöst werden, durch Ändern derWindows 7GPOs, die mit den folgenden Windows PowerShell-Cmdlets:

    Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" 
    

    Wenn der Client bereits aktualisiert wurde, verschieben Sie die Clientcomputer dieWindows 8Sicherheitsgruppe.

  • Beim Ändern der Einstellungen des Domänencontrollers mithilfe des Windows PowerShell-CmdletsSet-DAEntryPointDCder ComputerName-Parameter angegeben, wird ein RAS-Server in einen Einstiegspunkt als dem letzten hinzugefügt der Bereitstellung für mehrere Standorte eine Warnung angezeigt, die angibt, dass der angegebene Server nicht erst nach der nächsten richtlinienaktualisierung aktualisiert wird. Die tatsächlichen Server, die nicht aktualisiert wurde, sehen Sie mithilfe derKonfigurationsstatusin denDASHBOARDvon derRemotezugriffs-Verwaltungskonsole. Dies bewirkt nicht, dass keine Funktionsprobleme, allerdings können Sie ausführengpupdate /forceauf den Servern, die nicht aktualisiert wurde, zum Abrufen des Konfigurationsstatus sofort aktualisiert.

  • Bei der Bereitstellung für mehrere Standorte in einem nur-IPv4-Unternehmensnetzwerk, ändern das interne Netzwerk IPv6-Präfix auch ändern der DNS64-Adresse, aber die Firewallregeln, mit denen DNS-Abfragen an den Dienst DNS64-Adresse wird nicht aktualisiert. Um dieses Problem zu beheben, führen Sie die folgenden Windows PowerShell-Befehle nach dem Ändern des internen Netzwerk IPv6-Präfix:

    $dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} |  Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSession
    
  • Wenn DirectAccess bereitgestellt wurde, wenn eine ISATAP-Infrastruktur vorhanden ist, wenn einen Einstiegspunkt zu entfernen, der ein ISATAP-Host wurde werden die IPv6-Adresse des DNS64-Diensts aus der DNS-Serveradressen alle DNS-Suffixe in der NRPT entfernt.

    Um dieses Problem zu beheben, in derEinrichten des InfrastrukturserversAssistenten, auf derDNSSeite, entfernen Sie die DNS-Suffixe, die geändert wurden, und fügen sie erneut mit den richtigen DNS-Serveradressen durch Klicken auferkennenauf derDNS-Serveradressen(Dialogfeld).