Развертывание нескольких серверов удаленного доступа в многосайтового развертывания

  • Статья

 

Применимо к:Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 объединяет DirectAccess и VPN службы маршрутизации и удаленного доступа (RRAS) в единую роль удаленного доступа. Развертывание удаленного доступа возможно в нескольких корпоративных сценариях. В этом обзоре введение в корпоративный сценарий развертывания серверов удаленного доступа в конфигурации с несколькими узлами.

Описание сценария

При многосайтовом развертывании двух или более серверов удаленного доступа или кластеры серверов развертывания и настроены как различные точки входа в одном месте или в географически разнесенных расположениях. Развертывание нескольких точек входа в одном месте позволяет избыточности сервера или для выравнивания серверов удаленного доступа с существующей сетевой архитектуры. Развертывание по географическому расположению обеспечивает эффективное использование ресурсов, как удаленные клиентские компьютеры могут подключаться к ресурсам внутренней сети, используя точку входа к ним ближе всего. Трафик между многосайтового развертывания можно распределять и балансировать с внешней глобальной подсистемы балансировки нагрузки.

Поддерживает многосайтового развертывания клиентских компьютеров под управлениемWindows 8илиWindows 7. Клиентские компьютеры под управлениемWindows 8автоматически определить точки входа или пользователь может вручную выбрать точку входа. Автоматическое назначение происходит в следующем порядке приоритета:

  1. Используйте точки входа вручную выбранного пользователем.

  2. Используйте точки входа, идентифицируемый внешней глобальной подсистемы балансировки нагрузки, если развертывается один.

  3. Используйте ближайший точки входа, идентифицируемый клиентский компьютер, используя механизм автоматической проверки.

Поддержка клиентов под управлением Windows 7 необходимо вручную включить на каждой точки входа и Выбор точки входа, эти клиенты не поддерживается.

Необходимые компоненты

Перед началом развертывания этот сценарий, ознакомьтесь со списком важных требований:

  • Клиенты Windows 7 всегда подключается к конкретному сайту. Они не смогут подключиться к ближайший сайт на основе местоположения клиента (в отличие от Windows 8 клиенты windows 8.1).
  • Изменение политик вне консоли управления DirectAccess или командлеты PowerShell не поддерживается.
  • Корпоративной сети должен быть включен протокол IPv6. Если вы используете протокол ISATAP, необходимо удалить его и перейти на собственный IPv6.

Содержание сценария

Сценарий многосайтового развертывания включает несколько этапов.

  1. Развертывание одного сервера DirectAccess с расширенными параметрами— Перед настройкой многосайтового развертывания должны быть развернуты один сервер удаленного доступа с расширенными параметрами.

  2. Планирование многосайтового развертывания— Создание многосайтового развертывания с одного сервера число дополнительное планирование не требуется, включая соответствия с несколькими сайтами предварительные условия и планирование для групп безопасности Active Directory, объекты групповой политики (GPO), DNS и параметры клиента.

  3. Настройка многосайтового развертывания— Это состоит из нескольких этапов настройки, включая подготовку инфраструктуры Active Directory, конфигурации существующего сервера удаленного доступа и добавление нескольких серверов удаленного доступа в качестве точек входа для многосайтового развертывания.

  4. Диагностика многосайтового развертывания— Это советы по устранению неполадок описываются некоторые наиболее распространенные ошибки, которые могут возникать при развертывании многосайтового развертывания удаленного доступа.

Практическое применение

Многосайтового развертывания предоставляет следующие возможности:

  • Улучшенная производительность — многосайтового развертывания позволяет клиентским компьютерам, доступ к внутренним ресурсам при помощи удаленного доступа для подключения с использованием точки входа ближайший и наиболее подходящий. Клиент эффективного доступа к внутренним ресурсам и повысить скорость выполнения клиентских запросов Интернет через DirectAccess. Трафик по точкам входа можно сбалансировать с помощью внешней глобальной подсистемы балансировки нагрузки.

  • Простота управления — Мультисайт позволяет администраторам согласовать развертывания удаленного доступа к развертыванию сайтов Active Directory, создания упрощенной архитектуры. Можно легко установить общие параметры для записи точки серверы или кластеры. Параметры удаленного доступа можно управлять из одного из серверов в развертывании или удаленно с помощью средств удаленного администрирования сервера (RSAT). Кроме того можно отслеживать всю многосайтового развертывания с помощью одной консоли управления удаленным доступом.

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, используемые в этом сценарии.

Роль/компонент

Способ поддержки сценария

Роль удаленного доступа

Эта роль устанавливается и удаляется с помощью консоли Диспетчера серверов. В эту роль входят и DirectAccess, служивший ранее компонентом Windows Server 2008 R2, и службы маршрутизации и удаленного доступа (RRAS), которые ранее представляли собой службу в составе роли сервера служб политики сети и доступа. Роль удаленного доступа включает два компонента.

  • DirectAccess и VPN маршрутизации и удаленного доступа (RRAS) — управление DirectAccess и VPN осуществляется через консоль управления удаленным доступом.

  • Маршрутизация RRAS — управление компонентами маршрутизации RRAS осуществляется через устаревшую консоль маршрутизации и удаленного доступа.

Существуют следующие зависимости.

  • Веб-сервер Internet Information Services (IIS) — этот компонент необходим для настройки сервера сетевых расположений и веб-пробы по умолчанию.

  • Внутренняя база данных Windows — используется для локального учета на сервере удаленного доступа.

Средства управления удаленным доступом

Этот компонент устанавливается описанным ниже образом.

  • Он устанавливается по умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления.

  • При необходимости его также можно установить на сервере, где роль удаленного доступа не установлена. В этом случае компонент используется для удаленного управления компьютером с возможностью удаленного доступа, на котором установлены DirectAccess и VPN.

Средства управления удаленным доступом включают следующие элементы:

  • графический интерфейс пользователя удаленного доступа и программы командной строки;

  • модуль удаленного доступа для Windows PowerShell.

Зависимости включают следующее:

  • Консоль управления групповыми политиками

  • пакет администрирования диспетчера RAS-подключений (CMAK);

  • Windows PowerShell 3.0

  • графические средства управления и инфраструктура.

Требования к оборудованию

Для этого сценария действуют следующие требования к оборудованию.

  • По крайней мере два компьютера удаленного доступа собирать в многосайтового развертывания. Требования к оборудованию для этих компьютеров описаны вРазвертывание одного сервера DirectAccess с расширенными параметрами.

  • Для проверки данного сценария, по крайней мере один компьютер под управлениемWindows 8и настроен как клиент DirectAccess является обязательным. Для тестирования сценария для клиентов под управлением Windows 7 необходим по крайней мере один компьютер под управлением Windows 7.

  • Для балансировки нагрузки трафика между серверами точки входа, сторонние внешней глобальной подсистемы балансировки нагрузки не требуется.

Требования к программному обеспечению

Для этого сценария действуют следующие требования к программному обеспечению.

  • Требования к программному обеспечению для развертывания на одном сервере. Дополнительные сведения см. в разделе Развертывание одного сервера DirectAccess с расширенными параметрами.

  • Помимо требования к программному обеспечению для одного сервера существует ряд multisite-определенные требования.

    • Требования к проверке подлинности IPsec — в многосайтового развертывания DirectAccess должны быть развернуты с помощью IPsec машины сертификат проверки подлинности. Возможность выполнять проверку подлинности IPsec, используя сервер удаленного доступа в качестве прокси-сервера Kerberos не поддерживается. Развертывание сертификатов IPsec необходим внутренний ЦС.

    • Требования к серверу расположение IP-HTTPS и сети — необходимые сертификаты для IP-HTTPS и сервера сетевых расположений должен быть выдан ЦС. Параметр, чтобы использовать сертификаты, которые автоматически выдаются и самостоятельно подписанный сервером удаленного доступа не поддерживается. Сертификаты могут выпускаться внутренний ЦС или внешнего ЦС сторонних производителей.

    • Требования Active Directory — необходим хотя бы один сайт Active Directory. Сервер удаленного доступа должен находиться на узле. Для сократить время обновления рекомендуется, каждый сайт имеет контроллера домена, доступного для записи, хотя это не обязательно.

    • Требования к группе безопасности, применяются следующие требования:

      • Одной группе безопасности является обязательным для всехWindows 8клиентские компьютеры из всех доменов. Рекомендуется создать группу безопасности эти клиенты для каждого домена.

      • Уникальный безопасности группа, содержащая компьютеров Windows 7 является обязательным для каждой точки входа, которые настроены для поддержки клиентов Windows 7. Рекомендуется использовать группу безопасности для каждой точки входа в каждом домене.

      • Компьютеры не включаться в более чем одной группе безопасности, которая включает клиенты DirectAccess. Если клиенты включены в несколько групп, разрешение имен для клиентских запросов не будет работать должным образом.

    • Требования к GPO, объекты групповой политики можно вручную создать перед настройкой удаленного доступа или автоматически создается во время развертывания службы удаленного доступа. Существуют следующие требования.

      • Для каждого домена необходим уникальных клиентских объектов групповой Политики.

      • Объекта групповой Политики сервера является обязательным для каждой точки входа в домен, в котором находится точка входа. Поэтому если несколько точек входа, находятся в одном домене, будет несколько объектов групповой политики сервера (по одному для каждой точки входа) в домене.

      • Уникальный объект групповой Политики Windows 7 клиента является обязательным для каждой точки входа включена поддержка клиента Windows 7, для каждого домена.

Известные проблемы

Ниже перечислены известные проблемы при настройке многосайтового сценария:

  • Несколько точек входа в той же подсети IPv4— Добавление нескольких точек входа в той же подсети IPv4 вызовет сообщение о конфликте IP адрес и адрес DNS64 для точки входа не настроен должным образом. Эта проблема возникает, когда IPv6 не был развернут на внутренних интерфейсов серверов в корпоративной сети. Чтобы избежать этой проблемы, выполните следующую команду Windows PowerShell на все текущие и будущие серверы удаленного доступа:

    Set-NetIPInterface –InterfaceAlias <InternalInterfaceName> –AddressFamily IPv6 –DadTransmits 0

  • Если открытый адрес, указанный для подключения к серверу удаленного доступа клиенты DirectAccess суффикса, включенных в NRPT, DirectAccess может не работать должным образом. Убедитесь в наличии NRPT исключения для общедоступное имя. При многосайтовом развертывании исключения должны быть добавлены для общих имен точек входа. Обратите внимание, что если Принудительное туннелирование включен автоматически добавляются следующие исключения. Они удаляются, если Принудительное туннелирование отключен.

  • При использовании командлета Windows PowerShellDisable-DAMultiSiteне действуют параметры WhatIf и подтверждение и Мультисайт будет отключена иWindows 7объектов групповой политики будут удалены.

  • КогдаWindows 7клиентов, использующих DCA многосайтового развертывания будут обновлены доWindows 8помощник по подключению к сети не будет работать. Эту проблему можно разрешить до обновления клиента, изменивWindows 7объектов групповой политики с помощью следующих командлетов Windows PowerShell:

    Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" 

    В случае, если клиент уже был обновлен, переместить клиентский компьютерWindows 8группы безопасности.

  • При изменении параметров контроллера домена с помощью командлета Windows PowerShellSet-DAEntryPointDCесли указан параметр ComputerName сервера удаленного доступа в точке входа, отличный от последнего добавляется многосайтового развертывания будет отображаться предупреждение, указывающее, что сервер, указанный не будут обновлены только при следующем обновлении политики. Фактическое серверы, который не был обновлен, можно увидеть при помощиСостояние конфигурациивМОНИТОРИНГАизконсоли управления удаленным доступом. Это не вызовет никаких функциональных нарушений, однако можно выполнитьgpupdate /forceна серверах, который не был обновлен, чтобы немедленно обновить состояние конфигурации.

  • При развертывании Мультисайт только для IPv4 корпоративной сети, изменив внутренней сети IPv6-префикс также адрес DNS64 изменения, но не обновляет адреса правил брандмауэра, разрешающих DNS-запросы к службе DNS64. Чтобы устранить эту проблему, выполните следующие команды Windows PowerShell после изменение префикса IPv6 внутренней сети:

    $dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} |  Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSession

  • Если DirectAccess развернут при существующей инфраструктуры ISATAP нет, при удалении точки входа, который был у узла ISATAP IPv6-адрес DNS64 службы будут удалены из адреса DNS-сервера DNS-суффиксов, в таблице NRPT.

    Чтобы устранить эту проблему, вустановки сервера инфраструктурымастераDNSстраницы, удалите DNS-суффиксы, которые были изменены и снова добавить правильные адреса DNS-сервера, щелкнувобнаружитьнаадреса DNS-серверовдиалоговое окно.