Etapa 3: configurar um cluster com balanceamento de carga
Depois de preparar os servidores para o cluster, cofigure o balanceamento de carga no servidor único, configure os certificados necessários e implante o cluster.
Tarefa | Descrição |
---|---|
3.1 Configurar o prefixo IPv6 | Se o ambiente corporativo for IPv4+IPv6 ou somente IPv6, no servidor único de Acesso Remoto, confira se o prefixo IPv6 atribuído aos computadores cliente DirectAccess é grande o suficiente para cobrir todos os servidores no cluster. |
3.2 Habilitar o Balanceamento de carga | Habilite o balanceamento de carga no servidor único de Acesso Remoto. |
3.3 Instalar o certificado IP-HTTPS | Cada servidor no cluster requer um certificado de servidor para autenticar conexões IP-HTTPS. Exporte o certificado IP-HTTPS do servidor único de Acesso Remoto e implante-o em cada servidor adicionado ao cluster. Isso só será necessário se você estiver usando certificados não autoassinados. |
3.4 Instalar o certificado de servidor de local de rede | Se o servidor de local de rede foi implantado localmente no servidor único, você precisará implantar o certificado do servidor de local de rede em cada servidor do cluster. Se o servidor de local de rede estiver hospedado em um servidor externo, não é necessário ter um certificado em cada servidor. Isso só será necessário se você estiver usando certificados não autoassinados. |
3.5 Adicionar servidores ao cluster | Adicione todos os servidores ao cluster. O Acesso Remoto não deve ser configurado nos servidores a serem adicionados. |
3.6 Remover um servidor do cluster | Instruções para remover um servidor do cluster. |
3.7 Desabilitar o Balanceamento de carga | Instruções para desabilitar o balanceamento de carga. |
Observação
O endereço IP selecionado para o DIP não deve estar em uso nos adaptadores de rede do primeiro servidor de Acesso Remoto no cluster. Não inicie a implantação do DirectAccess com VIP e DIP adicionados ao adaptador de rede, pois isso resultará em falha.
Observação
Lembre-se: não use um DIP que já esteja presente em outro computador na rede.
3.1 Configurar o prefixo IPv6
Para configurar o prefixo
No servidor de Acesso Remoto, clique em Iniciar e em Gerenciamento do Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
No Console de gerenciamento de acesso remoto, clique em Configuração.
No painel central do console, na área Etapa 2: servidor DirectAccess, clique em Editar.
Clique em Configuração de prefixo. Na página Configuração de Prefixo, em Prefixo IPv6 atribuído a computadores cliente DirectAccess, insira o prefixo IPv6 usado para os computadores cliente DirectAccess com um comprimento de sub-rede de 59, por exemplo, 2001:db8:1:1000::/59. Se a VPN também estiver habilitada com IPv6, um prefixo IPv6 será exibido, e o comprimento da sub-rede precisará ser alterado para 59. Clique em Próximo.
No painel central do console, clique em Concluir.
Na caixa de diálogo Revisão de Acesso Remoto, revise as definições de configuração e clique em Aplicar. Na caixa de diálogo Aplicando Configurações do Assistente de Configuração de Acesso Remoto, clique em Fechar.
3.2 Habilitar o Balanceamento de carga
Para habilitar o Balanceamento de carga
No servidor DirectAcess configurado, clique em Iniciar e em Gerenciamento do Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
No Console de Gerenciamento do Acesso Remoto, no painel esquerdo, clique em Configuraçãoe, no painel Tarefas, clique em Habilitar Balanceamento de carga.
No Assistente de Habilitar Balanceamento de carga, clique em Avançar.
Dependendo do que você escolheu nas etapas de planejamento:
NLB do Windows: na página Método de Balanceamento de carga, clique em Usar NLB (Balanceamento de Carga de Rede do Windows) e em Avançar.
Balanceador de carga externo: na página Método de Balanceamento de carga, clique em Usar Balanceador de carga externo e em Avançar.
Em uma implantação com um único adaptador de rede: na página Endereços IP Dedicados, execute os passos abaixo e clique em Avançar:
Na caixa endereço IPv4, insira o novo endereço IPv4 deste servidor de Acesso Remoto. O endereço IPv4 atual será o endereço IP virtual (VIP) do cluster com balanceamento de carga. Na caixa Máscara de sub-rede, insira a máscara da sub-rede.
Se o ambiente corporativo for IPv6 nativo, na caixa endereço IPv6, insira o novo endereço IPv6 deste servidor de Acesso Remoto. O endereço IPv6 atual será o VIP do cluster com balanceamento de carga. Na caixa Comprimento do prefixo da sub-rede, insira o comprimento do prefixo da sub-rede.
Em uma implantação com dois adaptadores de rede: na página Endereços IP Dedicados Externos, execute os passos abaixo e clique em Avançar:
Na caixa endereço IPv4, insira o novo endereço IPv4 deste servidor de Acesso Remoto. O endereço IPv4 atual será o endereço IP virtual (VIP) do cluster com balanceamento de carga. Na caixa Máscara de sub-rede, insira a máscara da sub-rede.
Se houver endereços IPv6 nativos configurados no adaptador de rede voltado para a Internet do servidor de Acesso Remoto, na caixa endereço IPv6, insira o novo endereço IPv6 externo deste servidor de Acesso Remoto. O endereço IPv6 atual será o VIP do cluster de balanceamento de carga. Na caixa Comprimento do prefixo da sub-rede, insira o comprimento do prefixo da sub-rede.
Em uma implantação com dois adaptadores de rede: na página Endereços IP Dedicados Internos, execute os passos abaixo e clique em Avançar:
Na caixa endereço IPv4, insira o novo endereço IPv4 deste servidor de Acesso Remoto. O endereço IPv4 atual será o endereço IP virtual (VIP) do cluster com balanceamento de carga. Na caixa Máscara de sub-rede, insira a máscara da sub-rede.
Se o ambiente corporativo for IPv6 nativo, na caixa endereço IPv6, insira o novo endereço IPv6 deste servidor de Acesso Remoto. O endereço IPv6 atual será o VIP do cluster com balanceamento de carga. Na caixa Comprimento do prefixo da sub-rede, insira o comprimento do prefixo da sub-rede.
Na página de Resumo, clique em Confirmar.
Na caixa de diálogo Habilitar Balanceamento de carga, clique em Fechar.
No Assistente de Habilitar Balanceamento de carga, clique em Fechar.
Observação
Se o balanceamento de carga externo estiver sendo usado, observe os IPs virtuais e os forneça como os balanceadores de carga externos.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Se você optar por usar o NLB do Windows nas etapas de planejamento, execute:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")
Se você optar por usar um balanceador de carga externo nas etapas de planejamento: execute:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer
Observação
Se você estiver usando GPOs de preparo, recomenda-se não incluir alterações de configurações do balanceador de carga junto com alterações de outras configurações. Qualquer alteração nas configurações do balanceador de carga deve ser aplicada primeiro e, somente depois, as demais alterações de outras configurações. Além disso, depois de configurar o balanceador de carga em um novo servidor DirectAccess, espere um tempo até que as alterações de IP sejam aplicadas e replicadas nos servidores DNS da empresa. Somente depois altere outras configurações do DirectAccess relacionadas ao novo cluster.
3.3 Instalar o certificado IP-HTTPS
A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.
Para instalar o certificado IP-HTTPS
No servidor DirectAccess configurado, clique em Iniciar, digite mmc e pressione ENTER. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
No console do MMC, no menu Arquivo , clique em Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, Adicionar, Conta do computador, Avançar, Concluir e, por fim, em OK.
No painel esquerdo do console, navegue até Certificados (Computador Local)\Pessoal\Certificados. Clique com o botão direito do mouse no certificado IP-HTTPS, aponte para Todas as Tarefas e clique em Exportar.
Na página Bem-vindo ao Assistente para Exportação de Certificados, clique em Próximo.
Na página Exportar Chave Privada, clique em Sim, exportar a chave privada e em Avançar.
Na página Formato do Arquivo de Exportação, clique em Troca de Informações Pessoais - PKCS #12 (.PFX) e em Avançar.
Na página Segurança, marque a caixa de seleção Senha, insira uma senha na caixa Senha, confirme a senha e clique em Avançar.
Na página Arquivo a Exportar, insira um nome para o arquivo de certificado, salve-o na área de trabalho e clique em Avançar.
Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir.
Na caixa de diálogo Assistente de Exportar Certificados, clique em OK.
Copie o certificado em todos os servidores que serão membros do cluster.
No novo servidor DirectAccess, clique em Iniciar, digite mmc e pressione ENTER. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
No console do MMC, no menu Arquivo , clique em Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, Adicionar, Conta do computador, Avançar, Concluir e, por fim, em OK.
No painel esquerdo do console, navegue até Certificados (Computador Local)\Pessoal\Certificados. Clique com o botão direito do mouse no nó Certificados, aponte para Todas as Tarefas e clique em Importar.
Na página Bem-vindo ao Assistente para Importação de Certificados, clique em Avançar.
Na página Arquivo a Importar, clique em Procurar para localizar o certificado. Selecione o certificado e clique em Avançar.
Na página Proteção de chave privada, na caixa Senha, digite a senha e clique em Avançar.
Na página Armazenamento de Certificados, clique em Avançar.
Na página Concluindo o Assistente para Importação de Certificado, clique em Concluir.
Na caixa de diálogo Assistente de Importar Certificados, clique em OK.
Repita as etapas de 13 a 22 em todos os servidores que serão membros do cluster.
3.4 Instalar o certificado de servidor de local de rede
A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.
Para instalar um certificado para local de rede
No servidor de Acesso Remoto, clique em Iniciar, digite mmc e pressione ENTER. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
Clique em Arquivo e em Adicionar/Remover Snap-ins.
Clique em Certificados, Adicionar, Conta de computador, Avançar, Computador local, Concluir e em OK.
Na árvore de console do snap-in Certificados, abra Certificados (Computador Local)\Pessoal\Certificados.
Clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado.
Clique em Avançar duas vezes.
Na página Solicitar Certificados, clique no modelo de certificado do Servidor Web e clique em Mais informações são necessárias para se registrar neste certificado.
Se o modelo de certificado do Servidor Web não aparecer, verifique se a conta de computador do servidor de Acesso Remoto tem permissões de registro para o modelo de certificado do Servidor Web. Para mais informações, confira Configurar permissões no modelo de certificado do servidor Web.
Na guia Entidade da caixa de diálogo Propriedades do Certificado, em Nome da entidade, para o campo Tipo, selecione Nome comum.
Em Valor, digite o FQDN (nome de domínio totalmente qualificado) do servidor de local de rede (por exemplo, nls.corp.contoso.com) e clique em Adicionar.
Clique em OK, Registrar e em Concluir.
No painel de detalhes do snap-in Certificados, confirme se um novo certificado com o FQDN foi registrado com Finalidades de Autenticação do Servidor.
Clique com o botão direito do mouse no certificado e, em seguida, clique em Propriedades.
Em Nome Amigável, digite Certificado de Local de Rede e clique em OK.
Dica
As etapas 12 e 13 são opcionais, mas facilitam a seleção do certificado para o local de rede ao configurar o Acesso Remoto.
Repita este procedimento em todos os servidores que serão membros do cluster.
3.5 Adicionar servidores ao cluster
Para adicionar servidores ao cluster
No servidor DirectAcess configurado, clique em Iniciar e em Gerenciamento do Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
No Console de gerenciamento de acesso remoto, clique em Configuração. No painel Tarefas, em Cluster com Balanceamento de carga, clique em Adicionar ou Remover Servidores.
Na caixa de diálogo Adicionar ou Remover Servidores, clique em Adicionar Servidor.
Na página Selecionar Servidor, caixa de diálogo Adicionar Servidor, insira o nome do servidor de Acesso Remoto adicional e clique em Avançar.
Na página Adaptadores de Rede, execute um destes procedimentos:
Se você estiver implantando uma topologia com dois adaptadores de rede, em Adaptador externo, selecione o adaptador conectado à rede externa. Em Adaptador interno, selecione o adaptador conectado à rede interna.
Se você estiver implantando uma topologia com um único adaptador de rede, no Adaptador de rede, selecione o adaptador conectado à rede interna.
Na página Adaptadores de Rede, em Selecionar certificado usado para autenticar conexões IP-HTTPS, clique em Procurar para localizar e selecione o certificado IP-HTTPS e clique em Avançar.
Na página Servidor de Local de Rede, clique em Procurar para selecionar o certificado do site do servidor de local de rede (em execução no servidor de Acesso Remoto) e clique em Avançar.
Observação
A página Servidor de Local de Rede aparece somente quando o site do servidor de local de rede está em execução no servidor de Acesso Remoto.
Observação
Se a VPN também for configurada no servidor de Acesso Remoto, neste momento, você precisará adicionar as informações do pool de endereços IP da VPN.
Na página Resumo, clique em Avançar.
Na página Conclusão, clique em Fechar.
Repita este procedimento para todos os servidores de Acesso Remoto adicionados ao cluster.
Na caixa de diálogo Adicionar ou Remover Servidores, clique em Aplicar.
Na caixa de diálogo Adicionar e Remover Servidores, clique em Fechar.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>
Observação
Se a VPN não foi habilitada em um cluster com balanceamento de carga, ao usar cmdlets do Windows PowerShell para adicionar um novo servidor ao cluster, você não precisará fornecer nenhum intervalo de endereços VPN. Se você fizer isso por engano, remova o servidor do cluster e adicione-o novamente sem especificar os intervalos de endereços VPN.
3.6 Remover um servidor do cluster
Para remover um servidor do cluster
No servidor de Acesso Remoto configurado, clique em Iniciar e em Gerenciamento do Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
No Console de gerenciamento de acesso remoto, clique em Configuração. No painel Tarefas, em Cluster com Balanceamento de carga, clique em Adicionar ou Remover Servidores.
Na caixa de diálogo Adicionar ou Remover Servidores, selecione o servidor de Acesso Remoto que você quer remover e clique em Remover Servidor.
Na caixa de diálogo Remover Aviso do Servidor, confira se você escolheu o servidor certo e clique em OK.
Repita este procedimento para todos os servidores de Acesso Remoto adicionados ao cluster.
Na caixa de diálogo Adicionar ou Remover Servidores, clique em Aplicar.
Na caixa de diálogo Adicionar e Remover Servidores, clique em Fechar.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>
3.7 Desabilitar o Balanceamento de carga
Execute essa etapa usando o Windows PowerShell
Para desabilitar o Balanceamento de carga
No servidor DirectAcess configurado, clique em Iniciar e em Gerenciamento do Acesso Remoto. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
No Console de gerenciamento de acesso remoto, clique em Configuração. No painel Tarefas, em Cluster com Balanceamento de carga, clique em Desabilitar Balanceamento de carga.
Na caixa de diálogo Desabilitar Balanceamento de carga, clique em Ok.
Na caixa de diálogo Desabilitar Balanceamento de carga, clique em Fechar.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
set-RemoteAccessLoadBalancer -disable
Se você desabilitar o balanceamento de carga, as configurações de Acesso Remoto e as configurações de NLB (se definidas) de todos os servidores serão removidas, exceto do servidor no qual ele está sendo executado. Neste servidor de Acesso Remoto, as configurações de NLB serão removidas (se foram definidas), mas as configurações de Acesso Remoto permanecerão.
Se você clicar em Remover definições de configuração, o Acesso Remoto e o NLB (se configurado) de todos os servidores na implantação serão removidos.
Observação
- Se o Acesso Remoto for desinstalado quando o balanceamento de carga for implantado, todos os servidores ficarão com os DIPs. Os VIPs serão removidos. Isso faz com que todas as rotas na rede corporativa direcionadas aos endereços VIPs falhem. Isso também afeta as entradas DNS que foram resolvidas dos VIPs, como por exemplo, o nome da entidade do certificado do servidor de local de rede. Para evitar esse problema, desabilite o balanceamento de carga, que deixa os VIPs no último servidor de Acesso Remoto e, depois, desinstale o Acesso Remoto.
- Depois de usar o cmdlet Set-RemoteAccessLoadBalancer para desabilitar o balanceamento de carga, aguarde dois minutos antes de executar outro cmdlet. O mesmo se aplica a qualquer script que execute outro cmdlet após o cmdlet Set-RemoteAccessLoadBalancer -disable.
- Desabilitar o balanceamento de carga muda o endereço IP virtual do cluster para um endereço IP dedicado. Como resultado, qualquer operação que consulte o nome do servidor falhará, até que a entrada DNS armazenada em cache no servidor expire. Lembre-se de não executar nenhum cmdlet do PowerShell de Acesso Remoto depois de desabilitar o balanceamento de carga até que o cache no servidor expire. Esse problema ocorre com mais frequência se você tentar desabilitar o balanceamento de carga em um computador usando outro computador que esteja em outro domínio. Isso também ocorre se você desabilitar o balanceamento de carga no console do Gerenciamento de Acesso Remoto, o que pode impedir que a configuração seja carregada. A configuração será carregada depois que o cache expirar ou for liberado.