Compartir a través de

Paso 3 Planear una implementación de clúster con equilibrio de carga

El siguiente paso es planear la configuración de equilibrio de carga y la implementación del clúster.

Tarea Descripción
3.1 Planear el equilibrio de carga Decida si va a usar el equilibrio de carga de red de Windows (NLB) o un equilibrador de carga externo (ELB).
3.2 Planear IP-HTTPS Si no se usa un certificado autofirmado, el servidor de acceso remoto necesita un certificado SSL en cada servidor del clúster para autenticar las conexiones IP-HTTPS.
3.3 Planear conexiones de cliente VPN Tenga en cuenta los requisitos para las conexiones de cliente VPN.
3.4 Planear el servidor de ubicación de red Si el sitio web del servidor de ubicación de red se hospeda en el servidor de acceso remoto y no se usa un certificado autofirmado, asegúrese de que cada servidor del clúster tenga un certificado de servidor para autenticar la conexión al sitio web.

3.1 Planear el equilibrio de carga

El acceso remoto se puede implementar en un solo servidor o en un clúster de servidores de acceso remoto. El tráfico al clúster puede estar equilibrado en carga para proporcionar alta disponibilidad y escalabilidad para los clientes de DirectAccess. Hay dos opciones de equilibrio de carga:

  • NLB de Windows: NLB de Windows es una característica de Windows Server. Para usarlo, no necesita hardware adicional porque todos los servidores del clúster son responsables de administrar la carga del tráfico. NLB de Windows admite un máximo de ocho servidores en un clúster de acceso remoto.

  • Equilibrador de carga externo: el uso de un equilibrador de carga externo requiere hardware externo para administrar la carga de tráfico entre los servidores de clúster de acceso remoto. Además, el uso de un equilibrador de carga externo admite un máximo de 32 servidores de acceso remoto en un clúster. Algunos puntos que se deben tener en cuenta al configurar el equilibrio de carga externo son:

    • El administrador debe asegurarse de que las direcciones IP virtuales configuradas a través del Asistente para equilibrio de carga de acceso remoto se usan en los equilibradores de carga externos (como F5 Big-Ip sistema Local Traffic Manager). Cuando se habilita el equilibrio de carga externo, las direcciones IP de las interfaces externas e internas se promoverán a direcciones IP virtuales y tendrán que rellenarse en los equilibradores de carga. Esto se hace para que el administrador no tenga que cambiar la entrada DNS para el nombre público de la implementación del clúster. Además, los puntos de conexión del túnel IPsec se derivan de las direcciones IP del servidor. Si el administrador proporciona direcciones IP virtuales independientes, el cliente no podrá conectarse al servidor. Vea el ejemplo para configurar DirectAccess con equilibrio de carga externo en 3.1.1 Ejemplo de configuración del equilibrador de carga externo.

    • Muchos equilibradores de carga externos (incluido F5) no admiten el equilibrio de carga de 6to4 e ISATAP. Si el servidor de acceso remoto es un enrutador ISATAP, la función ISATAP debe moverse a otro equipo. Además, cuando la función ISATAP está en otro equipo, los servidores de DirectAccess deben tener conectividad IPv6 nativa con el enrutador ISATAP. Tenga en cuenta que esta conectividad debe estar presente antes de configurar DirectAccess.

    • Para el equilibrio de carga externo, si se debe usar Teredo, todos los servidores de acceso remoto deben tener dos direcciones IPv4 públicas consecutivas como direcciones IP dedicadas. Las direcciones IP virtuales del clúster también deben tener dos direcciones IPv4 públicas consecutivas. Esto no es cierto para Windows NLB, donde solo las direcciones IP virtuales del clúster deben tener dos direcciones IPv4 públicas consecutivas. Si no se usa Teredo, no se requieren dos direcciones IP consecutivas.

    • El administrador puede cambiar de NLB de Windows a un equilibrador de carga externo y viceversa. Tenga en cuenta que el administrador no puede cambiar del equilibrador de carga externo a NLB de Windows si tiene más de 8 servidores en la implementación del equilibrador de carga externo.

3.1.1 Ejemplo de configuración del equilibrador de carga externo

En esta sección se describen los pasos de configuración para habilitar un equilibrador de carga externo en una nueva implementación de acceso remoto. Cuando se usa un equilibrador de carga externo, el clúster de acceso remoto puede ser similar a la ilustración siguiente, en la que los servidores de acceso remoto están conectados a la red corporativa a través de un equilibrador de carga en la red interna y a Internet a través de un equilibrador de carga conectado a la red externa:

Ejemplo de configuración del equilibrador de carga externo

Información de planeación

  1. Se decidió que las VIP externas (IP que el cliente usará para conectarse al acceso remoto) fueran 131.107.0.102, 131.107.0.103

  2. Equilibrador de carga en direcciones IP automáticas de red externa: 131.107.0.245 (Internet), 131.107.1.245

    La red perimetral (también conocida como zona desmilitarizada y DMZ) está entre el equilibrador de carga de la red externa y el servidor de acceso remoto.

  3. Direcciones IP del servidor de acceso remoto en la red perimetral: 131.107.1.102, 131.107.1.103

  4. Direcciones IP del servidor de acceso remoto en la red ELB (es decir, entre el servidor de acceso remoto y el equilibrador de carga en la red interna): 30.11.1.101, 2006:2005:11:1::101

  5. Equilibrador de carga en direcciones IP automáticas de red interna: 30.11.1.245 2006:2005:11:1::245 (ELB), 30.1.1.245 2006:2005:1:1::245 (red corporativa)

  6. Se decidió que las VIP internas (direcciones IP usadas para el sondeo web de cliente y para el servidor de ubicación de red, si están instaladas en los servidores de acceso remoto) fueran 30.1.1.10, 2006:2005:1:1::10

Pasos

  1. Configure el adaptador de red externo del servidor de acceso remoto (conectado a la red perimetral) con las direcciones 131.107.0.102, 131.107.0.103. Este paso es necesario para que la configuración de DirectAccess detecte los puntos de conexión de túnel IPsec correctos.

  2. Configure el adaptador de red interno del servidor de acceso remoto (conectado a la red ELB) con las direcciones IP del servidor de ubicación de red o sondeo web (30.1.1.10, 2006:2005:1:1::10). Este paso es necesario para permitir que los clientes accedan a la dirección IP de sondeo web, de modo que el asistente de conectividad de red indique correctamente el estado de conexión a DirectAccess. Este paso también permite el acceso al servidor de ubicación de red, si está configurado en el servidor de DirectAccess.

    Nota

    Asegúrese de que el controlador de dominio sea accesible desde el servidor de acceso remoto con esta configuración.

  3. Configure DirectAccess en el servidor único de acceso remoto.

  4. Habilite el equilibrio de carga externo en la configuración de DirectAccess. Use 131.107.1.102 como dirección IP dedicada externa (DIP) (131.107.1.103 se seleccionará automáticamente), use 30.11.1.101, 2006:2005:11:1::101 como DIP internos.

  5. Configure las direcciones IP virtuales externas (VIP) en el equilibrador de carga externo con las direcciones 131.107.0.102 y 131.107.0.103. Además, configure las VIP internas en el equilibrador de carga externo con las direcciones 30.1.1.10 y 2006:2005:1::1::10.

  6. El servidor de acceso remoto se configurará ahora con las direcciones IP planeadas y las direcciones IP externas e internas del clúster se configurarán según las direcciones IP planeadas.

3.2 Planear IP-HTTPS

  1. Requisitos de certificado: durante la implementación del único servidor de acceso remoto, se eligió usar un certificado IP-HTTPS emitido por una entidad de certificación (CA) pública o interna o un certificado autofirmado. Para la implementación del clúster, debe usar un tipo idéntico de certificado en cada miembro del clúster de acceso remoto. Es decir, si ha usado un certificado emitido por una entidad de certificación (CA) pública (recomendado), debe instalar un certificado emitido por una CA pública en cada miembro del clúster. El nombre del firmante del nuevo certificado debe ser idéntico al nombre del firmante del certificado IP-HTTPS que se usa actualmente en la implementación. Tenga en cuenta que si usa certificados autofirmados, estos se configurarán automáticamente en cada servidor durante la implementación del clúster.

  2. Requisitos de prefijo: el acceso remoto permite el equilibrio de carga tanto del tráfico basado en SSL como del tráfico de DirectAccess. Para equilibrar la carga de todo el tráfico de DirectAccess basado en IPv6, el acceso remoto debe examinar el túnel IPv4 para todas las tecnologías de transición. Dado que el tráfico IP-HTTPS está cifrado, no es posible examinar el contenido del túnel IPv4. Para permitir que el tráfico IP-HTTPS tenga equilibrio de carga, debe asignar un prefijo IPv6 suficientemente amplio para que se pueda asignar un prefijo IPv6 /64 diferente a todos los miembros del clúster. Puede configurar un máximo de 32 servidores en un clúster con equilibrio de carga; por lo tanto, debe especificar un prefijo /59. Este prefijo debe ser enrutable a la dirección IPv6 interna del clúster de acceso remoto y se configura en el Asistente para instalación del servidor de acceso remoto.

    Nota

    Los requisitos de prefijo solo son relevantes en una red interna habilitada para IPv6 (solo IPv6 o IPV4+IPv6). En una red corporativa solo IPv4, el prefijo de cliente se configura automáticamente y el administrador no puede cambiarlo.

3.3 Planear conexiones de cliente VPN

Hay una serie de consideraciones para las conexiones de cliente VPN:

  • No se puede equilibrar la carga del tráfico del cliente VPN si se asignan direcciones de cliente VPN mediante DHCP. Se requiere un grupo de direcciones estáticas.

  • RRAS se puede habilitar en un clúster con equilibrio de carga que se ha implementado solo para DirectAccess, mediante Habilitar VPN en el panel de tareas de la consola de administración de acceso remoto.

  • Cualquier cambio de VPN completado en la consola de administración de enrutamiento y acceso remoto (rrasmgmt.msc) tendrá que replicarse manualmente en todos los servidores de acceso remoto del clúster.

  • Para permitir que el tráfico de cliente VPN IPv6 tenga equilibrio de carga, debe especificar un prefijo IPv6 de 59 bits.

3.4 Planear el servidor de ubicación de red

Si está ejecutando el sitio web del servidor de ubicación de red en el único servidor de acceso remoto, durante la implementación seleccionó usar un certificado emitido por una entidad de certificación (CA) interna o un certificado autofirmado. Tenga en cuenta lo siguiente:

  1. Cada miembro del clúster de acceso remoto debe tener un certificado para el servidor de ubicación de red que corresponda a la entrada DNS del sitio web del servidor de ubicación de red.

  2. El certificado de cada servidor de clúster debe emitirse de la misma manera que el certificado en el único certificado de servidor de ubicación de red actual del servidor de acceso remoto. Por ejemplo, si ha usado un certificado emitido por una entidad de certificación (CA) interna, debe instalar un certificado emitido por la CA interna en cada miembro del clúster.

  3. Si ha usado un certificado autofirmado, se configurará automáticamente un certificado autofirmado para cada servidor durante la implementación del clúster.

  4. El nombre del firmante del certificado no debe ser idéntico al nombre de ninguno de los servidores de la implementación de acceso remoto.