Implantar vários servidores de acesso remoto em uma implantação multissite
Aplica-se a: Windows Server 2012 R2, Windows Server 2012
O Windows Server 2012 combina a VPN do DirectAccess e do RRAS (Serviço de Roteamento e Acesso Remoto) em uma única função de Acesso Remoto. O Acesso Remoto pode ser implantado em diversos cenários corporativos. Esta visão geral fornece uma introdução ao cenário empresarial para implantação de servidores de acesso remoto em uma configuração multissite.
Descrição do cenário
Em uma implantação multissite dois ou mais servidores de acesso remoto ou clusters de servidores são implantados e configurados como pontos de entrada diferentes em um único local ou em locais geograficamente dispersos. Permite que a implantação de vários pontos de entrada em um único local para redundância de servidor ou para o alinhamento dos servidores de acesso remoto com a arquitetura de rede existente. Implantação por localização geográfica garante o uso eficiente de recursos, como computadores cliente remotos podem se conectar aos recursos da rede interna usando um ponto de entrada mais próximo deles. O tráfego em uma implantação multissite pode ser distribuído e balanceado com um balanceador de carga global externo.
Uma implantação multissite oferece suporte a computadores cliente que executamWindows 8ouWindows 7. Computadores cliente que executamWindows 8identificar automaticamente um ponto de entrada ou o usuário pode selecionar manualmente um ponto de entrada. Atribuição automática ocorre na seguinte ordem de prioridade:
Use um ponto de entrada selecionado manualmente pelo usuário.
Use um ponto de entrada identificado por um balanceador de carga global externo se um for implantado.
Use o ponto de entrada mais próximo identificado pelo computador cliente usando um mecanismo de teste automático.
Suporte a clientes executando o Windows 7 deve ser habilitada manualmente em cada ponto de entrada, e não há suporte para a seleção de um ponto de entrada por esses clientes.
Pré-requisitos
Antes de começar a implementar esse cenário, examine esta lista de requisitos importantes:
- Implantar um único servidor DirectAccess com configurações avançadasdeve ser implantado antes de uma implantação multissite.
- Clientes do Windows 7 sempre se conectará a um site específico. Eles não poderão se conectar ao site mais próximo com base na localização do cliente (ao contrário do Windows 8, os clientes windows 8.1).
- Não há suporte para a alteração de políticas fora do console de gerenciamento do DirectAccess ou os cmdlets do PowerShell.
Uma infraestrutura de chave pública deve ser implantada.
Para saber mais, veja os tópicos sobre: Minimódulo do guia de laboratório de teste: PKI básico para o Windows Server 2012.
- Rede corporativa deve ser IPv6 habilitado. Se você estiver usando ISATAP, remova-o e use o IPv6 nativo.
Neste cenário
O cenário de implantação multissite inclui uma série de etapas:
Implantar um único servidor DirectAccess com configurações avançadas— Um único servidor de acesso remoto com configurações avançadas deve ser implantado antes de configurar uma implantação multissite.
Planejar uma implantação multissite— Para criar um número de informações adicionais sobre planejamento de uma implantação de servidor único multissite etapas são necessárias, inclusive conformidade com os pré-requisitos de multissite e Planejando grupos de segurança do Active Directory, objetos de diretiva de grupo (GPOs), DNS e configurações do cliente.
Configurar uma implantação multissite— Isso consiste em uma série de etapas de configuração, incluindo a preparação da infra-estrutura do Active Directory, configuração do servidor de acesso remoto existente e a adição de vários servidores de acesso remoto como pontos de entrada à implantação multissite.
Solução de problemas de uma implantação multissite— Esta seção solução de problemas descreve alguns dos erros mais comuns que podem ocorrer ao implantar o acesso remoto em uma implantação multissite.
Aplicações práticas
Uma implantação multissite fornece o seguinte:
Melhor desempenho — uma implantação multissite permite que computadores cliente acessar recursos internos usando o acesso remoto para se conectar usando o ponto de entrada mais próximo e mais adequada. Cliente acessar recursos internos com eficiência e a velocidade do cliente que Internet solicitações roteada através de DirectAccess é aprimorada. O tráfego nos pontos de entrada pode ser balanceado usando um balanceador de carga global externo.
Facilidade de gerenciamento — multissite permite que os administradores alinhem a implantação do acesso remoto a uma implantação de sites do Active Directory, fornecendo uma arquitetura simplificada. As configurações compartilhadas podem ser facilmente definidas em servidores de ponto de entrada ou clusters. Configurações de acesso remoto podem ser gerenciadas de qualquer um dos servidores na implantação ou remotamente usando as ferramentas de administração de servidor remoto (RSAT). Além disso, toda a implantação multissite pode ser monitorada em um único console de gerenciamento de acesso remoto.
Funções e recursos incluídos neste cenário
A tabela a seguir lista as funções e recursos usados neste cenário.
Função/recurso |
Como este cenário tem suporte |
|---|---|
Função Acesso Remoto |
A função é instalada e desinstalada pelo console Gerenciador do Servidor. Essa função engloba o DirectAccess, que era anteriormente um recurso no Windows Server 2008 R2 e Serviços de Roteamento e Acesso Remoto (RRAS) que eram anteriormente um serviço de função sob a função de servidor de Serviços de Acesso e Política de Rede (NPAS). A função Acesso Remoto consiste em dois componentes:
Dependências são as seguintes:
|
Recurso Ferramentas de Gerenciamento de Acesso Remoto |
Este recurso é instalado da seguinte maneira:
O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em:
As dependências incluem:
|
Requisitos de hardware
Os requisitos de hardware para este cenário incluem o seguinte:
Pelo menos dois computadores de acesso remoto devem ser coletadas em uma implantação multissite. Requisitos de hardware para esses computadores são descritos emImplantar um único servidor DirectAccess com configurações avançadas.
Para testar o cenário, pelo menos um computador que esteja executandoWindows 8e configurado como um cliente DirectAccess é necessário. Para testar o cenário para clientes que executam o Windows 7 é necessário pelo menos um computador executando o Windows 7.
Para carregar balancear o tráfego entre os servidores de ponto de entrada, é necessário um balanceador de carga global externo de terceiros.
Requisitos de software
Os requisitos de software para este cenário incluem:
Requisitos de software para implantação de servidor único. Para obter mais informações, consulte Implantar um único servidor DirectAccess com configurações avançadas.
Além dos requisitos de software para um único servidor, há uma série de requisitos multisite-específicos:
Requisitos de autenticação IPsec — em uma implantação multissite do DirectAccess devem ser implantado com o uso de IPsec autenticação de certificado do computador. Não há suporte para a opção para executar a autenticação IPsec usando o servidor de acesso remoto como um proxy Kerberos. Uma CA interna é necessária para implantar os certificados IPsec.
Requisitos do servidor IP-HTTPS e rede local — certificados necessários para IP-HTTPS e o servidor de local de rede deve ser emitido por uma autoridade de certificação. Não há suporte para a opção de usar os certificados são emitidos automaticamente e assinados automaticamente pelo servidor de acesso remoto. Certificados podem ser emitidos por uma CA interna ou por uma autoridade de certificação externa de terceiros.
Requisitos do Active Directory, é necessário pelo menos um site do Active Directory. O servidor de acesso remoto deve estar localizado no site. Para tempos de atualização, é recomendável que cada site tem um controlador de domínio gravável, embora isso não é obrigatório.
Requisitos de segurança de grupo — requisitos são os seguintes:
Um único grupo de segurança é necessário para todos osWindows 8computadores clientes de todos os domínios. É recomendável criar um grupo de segurança exclusivas desses clientes para cada domínio.
Um grupo de segurança exclusivo que contém computadores com Windows 7 é necessário para cada ponto de entrada configurado para dar suporte a clientes do Windows 7. É recomendável ter um grupo de segurança exclusivo para cada ponto de entrada em cada domínio.
Computadores não devem ser incluídos em mais de um grupo de segurança que inclui os clientes DirectAccess. Se os clientes forem incluídos em vários grupos, resolução de nomes para solicitações de cliente não funcionará conforme o esperado.
Requisitos de GPO — GPOs podem ser criados manualmente antes de configurar o acesso remoto ou criados automaticamente durante a implantação do acesso remoto. Requisitos são os seguintes:
Um GPO de cliente exclusivo é necessário para cada domínio.
Um GPO de servidor é necessária para cada ponto de entrada no domínio em que o ponto de entrada está localizado. Portanto, se vários pontos de entrada estão localizados no mesmo domínio, haverá vários GPOs (uma para cada ponto de entrada) no domínio do servidor.
Um GPO de cliente exclusivo do Windows 7 é necessário para cada ponto de entrada habilitado para suporte de cliente do Windows 7, para cada domínio.
Problemas conhecidos
A seguir é problemas conhecidos ao configurar um cenário multissite:
Vários pontos de entrada na mesma sub-rede IPv4— adicionar vários pontos de entrada na mesma sub-rede IPv4 resultará em uma mensagem de conflito de endereço IP e o endereço do DNS64 do ponto de entrada não será configurado como esperado. Esse problema ocorre quando o IPv6 não foi implantado nas interfaces dos servidores na rede corporativa internas. Para evitar esse problema, execute o seguinte comando do Windows PowerShell em todos os servidores de acesso remoto atuais e futuros:
Set-NetIPInterface –InterfaceAlias <InternalInterfaceName> –AddressFamily IPv6 –DadTransmits 0Se o endereço público especificado para os clientes DirectAccess para se conectar ao servidor de acesso remoto tem um sufixo incluído na NRPT, o DirectAccess pode não funcionar conforme o esperado. Verifique se a NRPT tem uma isenção para o nome público. Em uma implantação multissite, isenções devem ser adicionadas para os públicos nomes de todos os pontos de entrada. Observe que se forçar o encapsulamento estiver habilitada essas isenções são adicionadas automaticamente. Eles serão removidos se túneis à força estiver desabilitado.
Ao usar o cmdlet do Windows PowerShellDisable-DAMultiSiteos parâmetros WhatIf and Confirm não têm nenhum efeito e multissite será desabilitado eWindows 7GPOs serão removidos.
QuandoWindows 7clientes usando o DCA em uma implantação multissite são atualizados paraWindows 8o Assistente de conectividade de rede não funcionará. Esse problema pode ser resolvido antes da atualização do cliente, modificando oWindows 7GPOs usando os seguintes cmdlets do Windows PowerShell:
Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant"Se o cliente já tiver sido atualizado, mova o computador cliente para oWindows 8grupo de segurança.
Ao modificar as configurações de controlador de domínio usando o cmdlet do Windows PowerShellSet-DAEntryPointDCse o parâmetro ComputerName especificada é um servidor de acesso remoto em um ponto de entrada diferente do último adicionado à implantação multissite, será exibido um aviso indicando que o servidor especificado não será atualizado até a próxima atualização de política. Os servidores reais que não foi atualizados podem ser vistos usando oStatus de configuraçãonopaineldoConsole de gerenciamento de acesso remoto. Isso não causará problemas funcionais, no entanto, você pode executargpupdate /forcenos servidores que não foi atualizados para obter o status de configuração atualizado imediatamente.
Quando a funcionalidade multissite é implantado em uma rede somente IPv4 corporativa, alterando interno endereço de rede prefixo IPv6 também alterações o DNS64, mas não atualiza o endereço em regras de firewall que permitem consultas DNS para o serviço DNS64. Para resolver esse problema, execute os seguintes comandos do Windows PowerShell depois de alterar o prefixo IPv6 da rede interna:
$dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} | Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSessionSe tiver sido implantado DirectAccess quando uma infraestrutura ISATAP existente estava presente, ao remover um ponto de entrada foi um host ISATAP, o endereço IPv6 do DNS64 serviço será removido de endereços de servidor DNS de todos os sufixos DNS na NRPT.
Para resolver esse problema, noinstalação do servidor de infraestruturaassistente noDNSpágina, remova os sufixos DNS que foram modificados e adicioná-los novamente com os endereços de servidor DNS corretos, clicando emdetectarnoendereços de servidor DNScaixa de diálogo.