Table of contents
TOC
折叠目录
展开目录

第 3 步计划负载平衡群集部署

James McIllece|上次更新日期: 2017/3/10
|
1 参与者

适用于: Windows Server 2016

下一步是计划负载平衡配置和群集部署。

任务描述
3.1 计划负载平衡确定是否要使用 Windows 网络负载平衡 (NLB) 或外部负载平衡 (ELB)。
3.2 计划 IP HTTPS如果未使用自签名的证书,则远程访问服务器将需要 SSL 证书在每个服务器在群集,以验证身份 IP HTTPS 连接。
3.3 VPN 客户端连接套餐请注意为 VPN 客户端连接要求。
3.4 计划网络位置服务器如果网络位置服务器网站托管远程访问服务器,而不使用自签名的证书,请确保每个服务器在群集具有服务器证书进行身份验证连接到该网站。

3.1 计划负载平衡

一台服务器或远程访问服务器群集上,可以部署远程访问。 为群集的交通可平衡提供高可用性和可扩展性 DirectAccess 客户端。 有两个负载平衡选项:

  • Windows NLB-Windows NLB 是 Windows server 功能。 若要使用它,你不需要额外的硬件因为所有服务器在群集都负责管理交通加载。 Windows NLB 支持远程访问群集中最多个八服务器。

  • 外部负载平衡-使用外部负载平衡需要外部的硬件来管理之间远程访问群集服务器的交通负载。 此外,使用外部负载平衡支持最多为 32 远程访问服务器在群集。 某些外部负载平衡配置时,需要记住几点:

    • 管理员必须确保虚拟 IPs 远程访问负载平衡向导通过配置(如 F5 大 Ip 当地交通经理系统)包括外部负载平衡上使用。 启用外部负载平衡后,在内部和外部接口上的 IP 地址将升级到虚拟 IP 地址,并且必须负载平衡上进行检测。 此操作完成,以便管理员没有 DNS 条目,群集部署的公用名称的更改。 此外,从服务器 IPs 派生 IPsec 隧道端点。 如果管理员提供了单独的虚拟 IPs,的客户端将无法连接到服务器。 请参阅 3.1.1 中使用外部负载平衡配置 DirectAccess 的示例外部负载平衡配置的示例。

    • (包括 F5)的多个外部负载平衡负载平衡 6to4 和 ISATAP 不支持。 如果远程访问服务器 ISATAP 路由器,ISATAP 函数应将窗口移到另一台计算机。 此外,在另一台计算机上 ISATAP 功能时,DirectAccess 服务器必须 ISATAP 路由器原始 IPv6 连接。 请注意,此连接应之前配置 DirectAccess 存在。

    • 对于外部负载平衡,如果 Teredo 具有,才能使用所有远程访问服务器必须两个连续公共 IPv4 地址作为专用 IP 地址。 群集虚拟 IPs 还必须具有两个连续公共 IPv4 地址。 这不是如此 Windows NLB 仅群集虚拟 IPs 必须两个连续公共 IPv4 地址。 如果未使用 Teredo,则不需要两个连续 IP 地址。

    • 为外部负载平衡反之亦然,可以从 Windows NLB 切换管理员。 请注意,管理员无法从外部负载平衡是否切换到 Windows NLB 他外部负载平衡部署中有超过 8 服务器。

3.1.1 外部负载平衡配置示例

此部分中介绍了启用新远程访问部署上的外部负载平衡配置步骤。 使用外部负载平衡,远程访问群集可能外观如下所示下图远程访问服务器其中向公司负载平衡内部网络通过网络以及连接到外部网络负载平衡通过 Internet 连接:

外部负载平衡配置示例

计划的信息
  1. 已决定将 131.107.0.102,131.107.0.103 外部 VIPs (客户端将使用连接到远程访问 IPs)

  2. 负载平衡上外部网络自行 IPs-131.107.0.245(互联网)、131.107.1.245 器

    外部网络上的负载平衡远程访问服务器之间是外围网络(也称为隔离区和 DMZ)。

  3. 为远程访问服务器外围网络上的 IP 地址 131.107.1.102、131.107.1.103

  4. IP 地址的(即之间远程访问服务器和负载平衡内部网络上的)-ELB 网络上的远程访问服务器 30.11.1.101,2006:2005:11:1::101

  5. 在内部网络自行-IPs-30.11.1.245 2006:2005:11:1::245 (ELB),30.1.1.245 2006:2005:1:1::245(企业网络)负载平衡

  6. 已决定将 30.1.1.10,2006:2005:1:1::10 内部 VIPs(用于客户端的 web 探测和网络位置服务器上,如果安装远程访问服务器上的 IP 地址)

步骤
  1. 配置使用地址 131.107.0.102,131.107.0.103 远程访问服务器外部网络适配器(即连接到周边网络)。 此步骤,才能进行了 DirectAccess 配置检测正确 IPsec 隧道端点。

  2. 使用 web 探测/网络位置 server IP 地址 (30.1.1.10,2006:2005:1:1::10 配置远程访问服务器内部网络适配器(即连接到 ELB 网络))。 此步骤,才能进行允许访问 web 探测 IP,因此网络连接助手正确表示的连接状态到 DirectAccess 客户端。 此步骤还允许访问权限的网络位置服务器上,如果配置 DirectAccess 服务器上。

    注意

    确保使用该配置远程访问服务器能够访问域控制器。

  3. 上远程访问服务器配置 DirectAccess 单个服务器。

  4. 启用外部负载平衡 DirectAccess 配置中。 使用 131.107.1.102 将自动选中外部专用的 IP 地址(冲动)(131.107.1.103),使用 30.11.1.101、作为内部 Dip 2006:2005:11:1::101。

  5. 配置外部虚拟 IPs (VIP) 上的外部负载平衡 131.107.0.102 和 131.107.0.103。 此外,配置在外部负载平衡地址 30.1.1.10 内部 VIPs 和 2006:2005:1:1::10。

  6. 现在会将远程访问服务器配置了计划的 IP 地址,并根据计划的 IP 地址分区会配置为群集的内部和外部 IP 地址。

3.2 计划 IP HTTPS

  1. 证书要求-部署远程访问服务器单个期间您选择使用公用或内部认证颁发机构(加拿大)颁发 IP HTTPS 证书或自签名的证书。 针对群集部署上,必须在每个成员远程访问群集的上使用相同的证书类型。 即如果您使用证书颁发的公共 CA(推荐),必须安装证书颁发的公共上的群集每个成员 CA。 新的证书的对象名称应该能与你部署中当前所使用的 IP HTTPS 证书的对象名称。 请注意,是否你使用的自签名的证书这些将配置自动在每个服务器在群集部署过程。

  2. 前缀要求-远程访问使负载平衡 SSL 基于路况和 DirectAccess 交通。 若要负载平衡所有 IPv6 都基于 DirectAccess 交通、远程访问必须对所有转换技术隧道 IPv4 进行检查。 由于 IP HTTPS 交通已加密,检查 IPv4 隧道的内容不可能。 若要启用 IP HTTPS 交通情况是负载平衡,必须以便不同/IPv6 的 64 前缀即可分配到群集的每个成员分配宽度不足 IPv6 前缀。 你可以在负载平衡群集; 配置最多为 32 服务器因此,你必须指定 /59 前缀。 此前缀必须是可路由到远程访问群集的内部 IPv6 地址和配置在远程访问服务器设置向导。

    注意

    前缀要求将仅在支持 IPv6 内部网络的相关 (仅 IPv6 或 IPV4 + IPv6)。 在 IPv4 只有企业网络,自动配置的客户端前缀并管理员无法更改。

3.3 VPN 客户端连接套餐

有许多客户端的 VPN 连接的因素:

  • 不能负载平衡如果 VPN 客户端地址分配使用 DHCP VPN 客户端交通。 静态地址池是必需的。

  • RRAS 可以通过启用,具有仅,部署了 DirectAccess 负载平衡群集使用启用 VPN远程访问管理控制台任务窗格中。

  • 必须在路由和远程访问管理控制台 (rrasmgmt.msc) 完成任何 VPN 更改所有远程访问服务器在群集上手动复制。

  • 若要启用进行负载平衡 VPN IPv6 客户端通信,您必须指定 59 位 IPv6 前缀。

3.4 计划网络位置服务器

如果运行的网络位置 server 网站上的单个远程访问服务器,期间部署您选择使用证书颁发的内部认证颁发机构或自签名的证书。 请注意以下各项:

  1. 每个成员远程访问群集的都必须具有网络位置服务器网站 DNS 条目相对应的网络位置服务器的证书。

  2. 必须为每个群集服务器证书颁发上单证书的方式相同远程访问服务器当前网络位置 server 证书。 例如,如果你使用证书颁发的内部 CA,你必须安装证书颁发的内部上的群集每个成员 CA。

  3. 如果你使用过自签名的证书,自签名的证书将自动为配置每个服务器在群集部署。

  4. 证书的对象名称不得相同的任何中远程访问部署服务器的名称。

© 2017 Microsoft