Развертывание удаленного доступа в кластере

  • Статья

 

Применимо к:Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 объединяет DirectAccess и VPN службы маршрутизации и удаленного доступа (RRAS) в единую роль удаленного доступа. Развертывание удаленного доступа возможно в нескольких корпоративных сценариях. Данный обзор представляет собой введение в корпоративный сценарий развертывания нескольких серверов удаленного доступа в кластере с балансировкой нагрузки при помощи компонента балансировки сетевой нагрузки Windows (NLB) или внешней подсистемы балансировки нагрузки, например F5 Big-IP.

Описание сценария

Развертывание в кластере объединяет несколько серверов удаленного доступа в единый блок, который действует как единая точка контакта для удаленных клиентских компьютеров, подключающихся к внутренней корпоративной сети через DirectAccess или VPN с помощью внешнего виртуального IP-адреса кластера удаленного доступа. Трафик в кластер балансируется по нагрузке с помощью Windows NLB Windows или внешней подсистемы балансировки нагрузки (такой как F5 Big-IP).

Необходимые компоненты

Перед началом развертывания этого сценария ознакомьтесь со списком важных требований.

  • Балансировка нагрузки по умолчанию с помощью Windows NLB.
  • Поддерживаются внешние подсистемы балансировки нагрузки.
  • Одноадресный режим установлен по умолчанию и рекомендуется для NLB.
  • Изменение политик вне консоли управления DirectAccess или без помощи командлетов Windows PowerShell не поддерживается.
  • При использовании NLB или внешней подсистемы балансировки нагрузки префикс IPHTTPS нельзя изменить на какое-либо значение, отличное от /59.
  • Узлы с балансировкой нагрузки узлы должны находиться в той же подсети IPv4.
  • Если в развертываниях ELB требуется управление извне, то клиенты DirectAccess не могут использовать Teredo. При сквозных взаимодействиях может использоваться только IPHTTPS.
  • Убедитесь, что все известные исправления NLB/ELB установлены.
  • ISATAP в корпоративной сети не поддерживается. Если вы используете протокол ISATAP, необходимо удалить его и перейти на собственный IPv6.

Содержание сценария

Сценарий развертывания в кластере включает несколько этапов.

  1. Развертывание одного сервера DirectAccess с расширенными параметрами— До настройки развертывания в кластере необходимо выполнить развертывание одного сервера удаленного доступа с дополнительными параметрами.

  2. Планирование развертывания удаленного доступа в кластере— Для создания кластера из развертывания одного сервера требуется много дополнительных действий, включая подготовку сертификатов для развертывания кластера.

  3. Настройка кластера удаленного доступа— Сюда входят несколько этапов настройки, в том числе подготовка одного сервера для Windows NLB или внешней подсистемы балансировки нагрузки, подготовка дополнительных серверов для присоединения к кластеру и включение балансировки нагрузки.

Практическое применение

Объединение нескольких серверов в кластер серверов предоставляет следующие преимущества.

  • Масштабируемость. Единственный сервер удаленного доступа обеспечивает ограниченный уровень надежности и масштабируемой производительности. Посредством объединения ресурсов двух или более серверов в единый кластер вы увеличиваете емкость для количества пользователей и пропускную способность.

  • Высокая доступность. Кластер обеспечивает высокую доступность для бесперебойного доступа. Если происходит отказ одного из серверов в кластере, то удаленные пользователи могут сохранить доступ к корпоративной сети через другой сервер в кластере. Все серверы в кластере имеют одинаковые наборы виртуальных IP-адресов кластера, сохраняя при этом уникальный выделенный IP-адрес для каждого сервера.

  • Упрощенное управление. Кластер позволяет управлять несколькими серверами как единым объектом. На всех серверах кластера можно легко установить общие параметры. Управление параметрами удаленного доступа можно осуществлять только с использованием одного из серверов в кластере или удаленно при помощи средств удаленного администрирования сервера. Кроме того, наблюдение за всем кластером можно осуществлять с одной консоли управления удаленным доступом.

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, необходимые для сценария.

Роль/компонент

Способ поддержки сценария

Роль удаленного доступа

Эта роль устанавливается и удаляется с помощью консоли Диспетчера серверов. В эту роль входят и DirectAccess, служивший ранее компонентом Windows Server 2008 R2, и службы маршрутизации и удаленного доступа (RRAS), которые ранее представляли собой службу в составе роли сервера служб политики сети и доступа. Роль удаленного доступа включает два компонента.

  • DirectAccess и VPN маршрутизации и удаленного доступа (RRAS) — управление DirectAccess и VPN осуществляется через консоль управления удаленным доступом.

  • Маршрутизация RRAS — управление компонентами маршрутизации RRAS осуществляется через устаревшую консоль маршрутизации и удаленного доступа.

Существуют следующие зависимости.

  • Веб-сервер Internet Information Services (IIS) — этот компонент необходим для настройки сервера сетевых расположений и веб-пробы по умолчанию.

  • Внутренняя база данных Windows — используется для локального учета на сервере удаленного доступа.

Средства управления удаленным доступом

Этот компонент устанавливается описанным ниже образом.

  • Он устанавливается по умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления.

  • При необходимости его также можно установить на сервере, где роль удаленного доступа не установлена. В этом случае компонент используется для удаленного управления компьютером с возможностью удаленного доступа, на котором установлены DirectAccess и VPN.

Средства управления удаленным доступом включают следующие элементы:

  • графический интерфейс пользователя удаленного доступа и программы командной строки;

  • модуль удаленного доступа для Windows PowerShell.

Зависимости включают следующее:

  • Консоль управления групповыми политиками

  • пакет администрирования диспетчера RAS-подключений (CMAK);

  • Windows PowerShell 3.0

  • графические средства управления и инфраструктура.

Балансировка сетевой нагрузки

Данный компонент обеспечивает балансировку нагрузки в кластере при помощи компонента балансировки сетевой нагрузки Windows.

Требования к оборудованию

Для этого сценария действуют следующие требования к оборудованию.

  • Не менее двух компьютеров, отвечающих требованиям к оборудованию для Windows Server 2012.

  • Для сценария внешней подсистемы балансировки нагрузки требуется выделенное оборудование (например F5 BigIP).

  • Для тестирования данного сценария необходим хотя бы один компьютер под управлением Windows 8 или Windows 7, настроенный в качестве клиента DirectAccess.

Требования к программному обеспечению

Для этого сценария действуют следующие требования.

  • Требования к программному обеспечению для развертывания на одном сервере. Дополнительные сведения см. в разделе Развертывание одного сервера DirectAccess с расширенными параметрами.

  • Кроме требований к программному обеспечению для одного сервера, действуют особые требования для кластера.

    • На каждом кластерном сервере имя субъекта сертификата IP-HTTPS должно соответствовать адресу ConnectTo. Кластерное развертывание поддерживает сочетание групповых и индивидуальных сертификатов на кластерных серверах.

    • Если на сервере удаленного доступа установлен сервер сетевых расположений, то на каждом сервере кластера сертификат сервера сетевых расположений должен иметь одно и то же имя субъекта. Кроме того, имя сертификата сервера сетевых расположений не должно совпадать с именем какого-либо сервера в развертывании DirectAccess.

    • Сертификаты IP-HTTPS и сервера сетевых расположений должны быть выданы с использованием того же метода, который применялся при выдаче сертификата одному серверу. Например, если один сервер использует общедоступный центр сертификации, то все серверы в кластере должны иметь сертификаты, выданные общедоступным центром сертификации. Или если один сервер использует самозаверяющий сертификат для IP-HTTPS, то все серверы в кластере должны иметь такие же сертификаты.

    • Префикс IPv6, назначенный клиентскому компьютеру DirectAccess в кластере сервера, должен иметь длину 59 бит. Если включена VPN, то префикс VPN тоже должен быть длиной 59 бит.

Известные проблемы

Ниже приводятся известные проблемы, возникающие при настройке сценария кластера.

  • После настройки DirectAccess в развертывании с поддержкой только IPv4 с одним сетевым адаптером и после автоматической настройки в сетевом адаптере DNS64 по умолчанию (IPv6-адрес, который содержит «: 3333::») попытка включить балансировку нагрузки в консоли управления удаленным доступом приводит к запросу на ввод DIP IPv6. Если указать DIP IPv6, после нажатия кнопки Зафиксировать возникает ошибка: "Неправильный параметр".

    Чтобы решить эту проблему, выполните указанные ниже действия.

    1. Скачайте сценарии резервного копирования и восстановления из раздела Настройка резервного копирования и восстановления конфигурации удаленного доступа.

    2. Резервное копирование объектов групповой политики удаленного доступа с помощью загруженного сценария Backup-RemoteAccess.ps1

    3. Попытайтесь включить балансировку нагрузки, пока не возникнет ошибка. В диалоговом окне "Включение балансировки нагрузки" разверните область сведений, щелкните ее правой кнопкой мыши и выберите команду Копировать сценарий.

    4. Откройте Блокнот и вставьте содержимое буфера обмена. Например:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    5. Закройте все открытые диалоговые окна удаленного доступа и закройте консоль управления удаленным доступом.

    6. Измените вставленный текст и удалите IPv6-адреса. Например:

      Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose

    7. В окне PowerShell с повышенными привилегиями выполните команду из предыдущего шага.

    8. Если командлет завершается с ошибкой (ошибка при выполнении, а не из-за неправильных входных значений), выполните команду Restore-RemoteAccess.ps1 и следуйте инструкциям, чтобы убедиться, что целостность исходной конфигурации не нарушена.

    9. Теперь снова откройте консоль управления удаленным доступом.