Partilhar via

Etapa 3: Configurar um cluster de Load-Balanced

Depois de preparar os servidores para o cluster, configure o balanceamento de carga no servidor único, configure os certificados necessários e implante o cluster.

Tarefa Descrição
3.1 Configurar o prefixo IPv6 Se o ambiente corporativo for IPv4+IPv6 ou somente IPv6, no servidor de Acesso Remoto único, verifique se o prefixo IPv6 atribuído aos computadores cliente DirectAccess é grande o suficiente para cobrir todos os servidores do cluster.
3.2 Ativar balanceamento de carga Habilite o balanceamento de carga no único servidor de Acesso Remoto.
3.3 Instalar o certificado IP-HTTPS Cada servidor no cluster requer um certificado de servidor para autenticar IP-HTTPS conexão. Exporte o certificado de IP-HTTPS do único servidor de Acesso Remoto e implante-o em cada servidor que você adicionará ao cluster. Isso é necessário somente se estiver usando certificados não autoassinados.
3.4 Instalar o certificado do servidor de local de rede Se o servidor único tiver o servidor de local de rede implantado localmente, você precisará implantar o certificado do servidor de local de rede em cada servidor do cluster. Se o servidor de local de rede estiver hospedado em um servidor externo, um certificado em cada servidor não será necessário. Isso é necessário somente se estiver usando certificados não autoassinados.
3.5 Adicionar servidores ao cluster Adicione todos os servidores ao cluster. O Acesso Remoto não deve ser configurado nos servidores a serem adicionados.
3.6 Remover um servidor do cluster Instruções para remover um servidor do cluster.
3.7 Desativar o balanceamento de carga Instruções para desativar o balanceamento de carga.

Observação

O endereço IP selecionado para o DIP não deve estar em uso nos adaptadores de rede do primeiro servidor de Acesso Remoto no cluster. Iniciar a implantação do DirectAccess com VIP e DIP adicionados ao adaptador de rede resultará em falha.

Observação

Certifique-se de não usar um DIP que já está presente em outra máquina na rede.

3.1 Configurar o prefixo IPv6

Para configurar o prefixo

  1. No servidor de Acesso Remoto, clique em Iniciar e, em seguida, clique em Gestão de Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Sim.

  2. No Console de Gerenciamento de Acesso Remoto, clique em Configuração.

  3. No painel central do console, na área Etapa 2 do Servidor DirectAccess , clique em Editar.

  4. Clique em Configuração de prefixo. Na página Configuração de Prefixo , em Prefixo IPv6 atribuído a computadores cliente DirectAccess, insira o prefixo IPv6 usado para computadores cliente DirectAccess com um comprimento de sub-rede de 59, por exemplo, 2001:db8:1:1000::/59. Se a VPN também fosse habilitada com IPv6, um prefixo IPv6 seria exibido e o comprimento da sub-rede precisaria ser alterado para 59. Clique em Next.

  5. No painel central da consola, clique em Concluir.

  6. Na caixa de diálogo Revisão de Acesso Remoto, reveja as definições de configuração e clique em Aplicar. Na caixa de diálogo Configurações do Assistente de Configuração de Acesso Remoto, clique em Fechar.

3.2 Ativar balanceamento de carga

Para habilitar o balanceamento de carga

  1. No servidor DirectAccess configurado, clique em Iniciar e, em seguida, clique em Gerenciamento de Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Sim.

  2. Na consola de Gestão de Acesso Remoto, no painel esquerdo, clique em Configuração e, em seguida, no painel Tarefas , clique em Ativar Balanceamento de Carga.

  3. No Assistente para Habilitar Balanceamento de Carga, clique em Avançar.

  4. Dependendo do que você escolheu nas etapas de planejamento:

    1. NLB do Windows: Na página Método de Balanceamento de Carga , clique em Usar NLB (Balanceamento de Carga de Rede) do Windows e clique em Avançar.

    2. Balanceador de carga externo: na página Método de Balanceamento de Carga , clique em Usar um balanceador de carga externo e clique em Avançar.

  5. Em uma implantação com um único adaptador de rede, na página Endereços IP Dedicados, faça o seguinte e depois clique em Avançar:

    1. Na caixa Endereço IPv4 , introduza o novo endereço IPv4 para este servidor de Acesso Remoto; o endereço IPv4 atual será o endereço IP virtual (VIP) do cluster com balanceamento de carga. Na caixa Máscara de sub-rede, insira a máscara de sub-rede.

    2. Se o ambiente corporativo for IPv6 nativo, na caixa Endereço IPv6 , digite o novo endereço IPv6 para este servidor de Acesso Remoto; o endereço IPv6 atual será o VIP do cluster com balanceamento de carga. Na caixa Comprimento do prefixo da sub-rede, insira o comprimento do prefixo da sub-rede.

  6. Em uma implantação com dois adaptadores de rede, na página Endereços IP Dedicados Externos, proceda da seguinte forma e clique em Avançar:

    1. Na caixa Endereço IPv4 , introduza o novo endereço IPv4 externo para este servidor de Acesso Remoto; o endereço IPv4 atual será o endereço IP virtual (VIP) do cluster de balanceamento de carga. Na caixa Máscara de sub-rede, introduza a máscara de sub-rede.

    2. Se existirem endereços IPv6 nativos configurados no adaptador de rede voltado para a Internet do servidor de Acesso Remoto, na caixa Endereço IPv6 , insira o novo endereço IPv6 externo para este servidor de Acesso Remoto; o endereço IPv6 atual será o VIP do cluster de balanceamento de carga. Na caixa Comprimento do prefixo da sub-rede, insira o comprimento do prefixo da sub-rede.

  7. Em uma implantação de dois adaptadores de rede, na página Endereços IP Dedicados Internos, siga as instruções abaixo e, em seguida, clique em Avançar:

    1. Na caixa Endereço IPv4 , introduza o novo endereço IPv4 interno para este servidor de Acesso Remoto; o endereço IPv4 atual será o VIP do cluster de balanceamento de carga. Na caixa Máscara de sub-rede, insira a máscara de sub-rede.

    2. Se o ambiente corporativo for IPv6 nativo, na caixa Endereço IPv6 , insira o novo endereço IPv6 interno para este servidor de Acesso Remoto; o endereço IPv6 atual será o VIP do cluster de balanceamento de carga. Na caixa Comprimento do prefixo da sub-rede, insira o comprimento do prefixo da sub-rede.

  8. Na página Resumo , clique em Confirmar.

  9. Na caixa de diálogo Ativar Balanceamento de Carga , clique em Fechar.

  10. No Assistente para Habilitar Balanceamento de Carga, clique em Fechar.

    Observação

    Se o balanceamento de carga externo estiver a ser utilizado, anote os IPs virtuais e forneça-os aos balanceadores de carga externos.

Windows PowerShell comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

Se você optar por usar o NLB do Windows nas etapas de planejamento, execute o seguinte:

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")

Se você optar por usar um balanceador de carga externo nas etapas de planejamento: execute o seguinte:

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer

Observação

É recomendável não incluir alterações nas configurações do balanceador de carga com alterações em quaisquer outras configurações, se estiver a usar GPOs de estágio. Quaisquer alterações nas configurações do balanceador de carga devem ser aplicadas primeiro e, em seguida, outras alterações de configuração devem ser feitas. Além disso, depois de configurar o balanceador de carga em um novo servidor DirectAccess, aguarde algum tempo para que as alterações de IP sejam aplicadas e replicadas nos servidores DNS da empresa, antes de alterar outras configurações do DirectAccess relacionadas ao novo cluster.

3.3 Instalar o certificado IP-HTTPS

A associação ao grupo Administradores local, ou equivalente, é o requisito mínimo para concluir este procedimento.

Para instalar o certificado IP-HTTPS

  1. No servidor de Acesso Remoto configurado, clique em Iniciar, digite mmc e pressione ENTER. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Sim.

  2. No console do MMC, no menu Arquivo, clique em Adicionar/Remover Snap-in.

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, clique em Adicionar, clique em Conta de computador, clique em Seguinte, clique em Concluire, em seguida, clique em OK.

  4. No painel esquerdo do console, navegue até Certificados (Computador Local)\Pessoal\Certificados. Clique com o botão direito do rato no certificado IP-HTTPS, aponte para Todas as Tarefas e clique em Exportar.

  5. Na página Bem-vindo ao Assistente para Exportação de Certificados , clique em Avançar.

  6. Na página Exportar Chave Privada , clique em Sim, exportar a chave privada e, em seguida, clique em Seguinte.

  7. Na página Formato de Arquivo de Exportação , clique em Troca de Informações Pessoais - PKCS #12 (. PFX) e, em seguida, clique em Seguinte.

  8. Na página Segurança, marque a caixa de seleção Senha, digite uma senha na caixa Senha, confirme a senha e clique em Avançar.

  9. Na página Arquivo a Exportar , insira um nome para o arquivo de certificado e salve-o na área de trabalho e clique em Avançar.

  10. Na página Concluindo o Assistente para Exportação de Certificados , clique em Concluir.

  11. Na caixa de diálogo Assistente para Exportação de Certificados, clique em OK.

  12. Copie o certificado para todos os servidores que você deseja que sejam membros do cluster.

  13. No novo servidor DirectAccess, clique em Iniciar, digite mmc e pressione ENTER. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Sim.

  14. No console do MMC, no menu Arquivo, clique em Adicionar/Remover Snap-in.

  15. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, clique em Adicionar, clique em Conta de computador, clique em Seguinte, clique em Concluire, em seguida, clique em OK.

  16. No painel esquerdo do console, navegue até Certificados (Computador Local)\Pessoal\Certificados. Clique com o botão direito do mouse no nó Certificados , aponte para Todas as Tarefas e clique em Importar.

  17. Na página Bem-vindo à Assistente para Importação de Certificados, clique em Avançar.

  18. Na página Arquivo a Importar , clique em Procurar para localizar o certificado. Selecione o certificado e clique em Avançar.

  19. Na página Proteção de chave privada , na caixa Senha , digite a senha e clique em Avançar.

  20. Na página Armazenamento de Certificados , clique em Avançar.

  21. Na página Concluindo o Assistente para Importação de Certificados , clique em Concluir.

  22. Na caixa de diálogo Assistente para Importação de Certificados, clique em OK.

  23. Repita as etapas 13 a 22 em todos os servidores que você deseja que sejam membros do cluster.

3.4 Instalar o certificado do servidor de local de rede

A associação ao grupo Administradores local, ou equivalente, é o requisito mínimo para concluir este procedimento.

Para instalar um certificado para localização de rede

  1. No servidor de Acesso Remoto, clique em Iniciar, escreva mmc e, em seguida, prima ENTER. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Sim.

  2. Clique em Ficheiro e, em seguida, clique em Adicionar/Remover Snap-ins.

  3. Clique em Certificados, clique em Adicionar, clique em Conta de computador, clique em Seguinte, clique em Computador local, clique em Concluir e, em seguida, clique em OK.

  4. Na árvore de consolas do complemento Certificados, abra Certificados (Computador Local)\Pessoal\Certificados.

  5. Clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado.

  6. Clique duas vezes em Avançar .

  7. Na página Solicitar Certificados , clique no modelo de certificado do Servidor Web e, em seguida, clique em Mais informações são necessárias para se inscrever para este certificado.

    Se o modelo de certificado do Servidor Web não aparecer, verifique se a conta do computador do servidor de Acesso Remoto tem permissões de registro para o modelo de certificado do Servidor Web. Para obter mais informações, consulte Configurar permissões no modelo de certificado do servidor Web.

  8. Na guia Assunto da caixa de diálogo Propriedades do Certificado, em Nome do Assunto, para Tipo, selecione Nome Comum.

  9. Em Valor, digite o FQDN (nome de domínio totalmente qualificado) para o nome da intranet do site do servidor de local de rede (por exemplo, nls.corp.contoso.com) e clique em Adicionar.

  10. Clique OK, clique em Inscrevere, em seguida, clique em Concluir.

  11. No painel de detalhes do snap-in Certificados, verifique se um novo certificado contendo o FQDN foi inscrito com Finalidades Pretendidas para Autenticação do Servidor.

  12. Clique com o botão direito do rato no certificado e, em seguida, clique em Propriedades.

  13. Em Nome Amigável, digite Certificado de Local de Rede e clique em OK.

    Sugestão

    As etapas 12 e 13 são opcionais, mas facilitam a seleção do certificado para o local de rede ao configurar o Acesso Remoto.

  14. Repita este procedimento em todos os servidores que você deseja que sejam membros do cluster.

3.5 Adicionar servidores ao cluster

Para adicionar servidores ao cluster

  1. No servidor DirectAccess configurado, clique em Iniciar e, em seguida, clique em Gerenciamento de Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Sim.

  2. No Console de Gerenciamento de Acesso Remoto, clique em Configuração. No painel Tarefas , em Cluster com Balanceamento de Carga, clique em Adicionar ou Remover Servidores.

  3. Na caixa de diálogo Adicionar ou Remover Servidores , clique em Adicionar Servidor.

  4. Na caixa de diálogo Adicionar um Servidor , na página Selecionar Servidor , digite o nome do servidor de Acesso Remoto adicional e clique em Avançar.

  5. Na página Adaptadores de Rede , siga um destes procedimentos:

    • Se você estiver implantando uma topologia com dois adaptadores de rede, em Adaptador externo, selecione o adaptador conectado à rede externa. Em Adaptador interno, selecione o adaptador que está conectado à rede interna.

    • Se você estiver implantando uma topologia com um adaptador de rede, em Adaptador de rede, selecione o adaptador conectado à rede interna.

  6. Na página Adaptadores de Rede , em Selecione o certificado usado para autenticar IP-HTTPS conexões, clique em Procurar para localizar e selecionar o certificado IP-HTTPS e clique em Avançar.

  7. Na página Servidor de Local de Rede , clique em Procurar para selecionar o certificado para o site do servidor de local de rede em execução no servidor de Acesso Remoto e clique em Avançar.

    Observação

    A página Servidor de Local de Rede aparece somente quando o site do servidor de local de rede está em execução no servidor de Acesso Remoto.

    Observação

    Se a VPN também estivesse configurada no servidor de Acesso Remoto, você seria solicitado a adicionar as informações do pool de endereços IP da VPN neste momento.

  8. Na página Resumo , clique em Adicionar.

  9. Na página Conclusão , clique em Fechar.

  10. Repita este procedimento para todos os servidores de Acesso Remoto a serem adicionados ao cluster.

  11. Na caixa de diálogo Adicionar ou Remover Servidores , clique em Confirmar.

  12. Na caixa de diálogo Adicionar e Remover Servidores , clique em Fechar.

Windows PowerShell comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

Observação

Se a VPN não tiver sido habilitada em um cluster com balanceamento de carga, você não deverá fornecer nenhum intervalo de endereços VPN ao adicionar um novo servidor ao cluster usando cmdlets do Windows PowerShell. Se você tiver feito isso por engano, remova o servidor do cluster e adicione-o novamente ao cluster sem especificar os intervalos de endereços VPN.

3.6 Remover um servidor do cluster

Para remover um servidor do cluster

  1. No servidor de Acesso Remoto configurado, clique em Iniciar e, em seguida, clique em Gestão de Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Sim.

  2. No Console de Gerenciamento de Acesso Remoto, clique em Configuração. No painel Tarefas , em Cluster com Balanceamento de Carga, clique em Adicionar ou Remover Servidores.

  3. Na caixa de diálogo Adicionar ou Remover Servidores , selecione o servidor de Acesso Remoto que deseja remover e clique em Remover Servidor.

  4. Na caixa de diálogo Remover Aviso do Servidor, certifique-se de que escolheu o servidor certo e, em seguida, clique em OK.

  5. Repita este procedimento para que todos os servidores de Acesso Remoto sejam removidos do cluster.

  6. Na caixa de diálogo Adicionar ou Remover Servidores , clique em Confirmar.

  7. Na caixa de diálogo Adicionar e Remover Servidores , clique em Fechar.

Windows PowerShell comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

3.7 Desativar o balanceamento de carga

Execute esta etapa usando o Windows PowerShell

Para desativar o balanceamento de carga

  1. No servidor DirectAccess configurado, clique em Iniciar e, em seguida, clique em Gerenciamento de Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é a desejada e clique em Sim.

  2. No Console de Gerenciamento de Acesso Remoto, clique em Configuração. No painel Tarefas , em Cluster com Balanceamento de Carga, clique em Desabilitar Balanceamento de Carga.

  3. Na caixa de diálogo Desativar Balanceamento de Carga , clique em Ok.

  4. Na caixa de diálogo Desativar Balanceamento de Carga , clique em Fechar.

Windows PowerShell comandos equivalentes do Windows PowerShell

O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.

set-RemoteAccessLoadBalancer -disable

A desativação do balanceamento de carga removerá as configurações de Acesso Remoto e as configurações de NLB (se configuradas) de todos os servidores, exceto do servidor a partir do qual está sendo executado. Neste servidor de Acesso Remoto, as definições de NLB serão removidas (se tiver sido configurado), mas as definições de Acesso Remoto permanecerão.

Clicar em Remover definições de configuração removerá o Acesso Remoto e o NLB (se configurado) de todos os servidores na implantação.

Observação

  • Se o Acesso Remoto for desinstalado quando o balanceamento de carga for implantado, todos os servidores ficarão com DIPs. Os VIPs são removidos. Isso faz com que todas as rotas na rede corporativa direcionadas para os endereços VIPs falhem. Isso também afeta as entradas DNS que foram resolvidas para os VIPs, como o nome do assunto do certificado do servidor de localização de rede. Para evitar esse problema, desative o balanceamento de carga, que deixa os VIPs no último servidor de Acesso Remoto e, em seguida, desinstale o Acesso Remoto.
  • Depois de usar o cmdlet Set-RemoteAccessLoadBalancer para desabilitar o balanceamento de carga, aguarde 2 minutos antes de executar qualquer outro cmdlet. Isso também deve ser feito em qualquer script que execute outro cmdlet após o cmdlet Set-RemoteAccessLoadBalancer -disable .
  • A desativação do balanceamento de carga altera o endereço IP virtual do cluster em um endereço IP dedicado. Como resultado, qualquer operação que consulta o nome do servidor falhará até que a entrada DNS armazenada em cache no servidor expire. Certifique-se de não executar nenhum cmdlet do PowerShell de Acesso Remoto depois de desabilitar o balanceamento de carga até que o cache no servidor tenha expirado. Esse problema é mais comum se você tentar desativar o balanceamento de carga em uma máquina de outra máquina que está em outro domínio. Isso também ocorre se você desabilitar o balanceamento de carga no console de Gerenciamento de Acesso Remoto e poderá impedir que a configuração seja carregada. A configuração será carregada depois que o cache expirar ou tenha sido esvaziado.