Поделиться через

Шаг 3. Настройка кластера с балансировкой нагрузки

После подготовки серверов к кластеру настройте балансировку нагрузки на одном сервере, настройте необходимые сертификаты и разверните кластер.

Задача Description
3.1 Настройка префикса IPv6 Если корпоративная среда — IPv4+IPv6 или только IPv6, то на одном сервере удаленного доступа убедитесь, что префикс IPv6, назначенный клиентским компьютерам DirectAccess, достаточно велик, чтобы покрыть все серверы в кластере.
3.2 Включение балансировки нагрузки Включите балансировку нагрузки на одном сервере удаленного доступа.
3.3. Установка сертификата IP-HTTPS Для каждого сервера в кластере требуется сертификат сервера для проверки подлинности подключения IP-HTTPS. Экспортируйте сертификат IP-HTTPS с одного сервера удаленного доступа и разверните его на каждом сервере, который будет добавлен в кластер. Это необходимо только в том случае, если используются самозаверяемые сертификаты.
3.4. Установка сертификата сервера сетевого расположения Если на одном сервере развернут сервер сетевого расположения локально, необходимо развернуть сертификат сервера сетевого расположения на каждом сервере в кластере. Если сервер расположения сети размещен на внешнем сервере, сертификат на каждом сервере не требуется. Это необходимо только в том случае, если используются самозаверяемые сертификаты.
3.5 Добавление серверов в кластер Добавьте все серверы в кластер. Удаленный доступ не должен быть настроен на серверах, которые нужно добавить.
3.6 Удаление сервера из кластера Инструкции по удалению сервера из кластера.
3.7 Отключение балансировки нагрузки Инструкции по отключению балансировки нагрузки.

Примечание.

IP-адрес, выбранный для DIP, не должен использоваться на сетевых адаптерах первого сервера удаленного доступа в кластере. Начало развертывания DirectAccess с виртуальным IP-адресом и DIP, добавленным в сетевой адаптер, приведет к сбою.

Примечание.

Не используйте DIP, который уже присутствует на другом компьютере в сети.

3.1 Настройка префикса IPv6

Настройка префикса

  1. На сервере удаленного доступа нажмите кнопку "Пуск" и выберите пункт "Управление удаленным доступом". Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  2. В консоли управления удаленным доступом щелкните Конфигурация.

  3. В средней области консоли в области сервера DirectAccess шага 2 нажмите кнопку "Изменить".

  4. Щелкните "Конфигурация префикса". На странице конфигурации префикса IPv6, назначенном клиентским компьютерам DirectAccess, введите префикс IPv6, используемый для клиентских компьютеров DirectAccess с подсетью длиной 59, например 2001:db8:1:1000::/59. Если VPN также включен с помощью IPv6, будет отображаться префикс IPv6, а длина подсети должна быть изменена на 59. Нажмите кнопку Далее.

  5. В средней области консоли нажмите кнопку "Готово".

  6. В диалоговом окне "Проверка удаленного доступа" просмотрите параметры конфигурации и нажмите кнопку "Применить". В диалоговом окне Применение параметров мастера настройки удаленного доступа нажмите кнопку Закрыть.

3.2 Включение балансировки нагрузки

Включение балансировки нагрузки

  1. На настроенном сервере DirectAccess нажмите кнопку "Пуск" и щелкните "Управление удаленным доступом". Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  2. В консоли управления удаленным доступом в левой области щелкните "Конфигурация", а затем в области "Задачи" нажмите кнопку "Включить балансировку нагрузки".

  3. В мастере включения балансировки нагрузки нажмите кнопку "Далее".

  4. В зависимости от того, что вы выбрали в шагах планирования:

    1. NLB Windows: на странице метода балансировки нагрузки нажмите кнопку "Использовать балансировку сетевой нагрузки Windows" (NLB) и нажмите кнопку "Далее".

    2. Внешний балансировщик нагрузки. На странице метода балансировки нагрузки нажмите кнопку "Использовать внешнюю подсистему балансировки нагрузки" и нажмите кнопку "Далее".

  5. В развертывании одного сетевого адаптера на странице выделенных IP-адресов выполните следующие действия и нажмите кнопку "Далее".

    1. В поле IPv4-адреса введите новый IPv4-адрес для этого сервера удаленного доступа. Текущий IPv4-адрес будет виртуальным IP-адресом кластера с балансировкой нагрузки. В поле маски подсети введите маску подсети.

    2. Если корпоративная среда является собственной IPv6, в поле IPv6-адреса введите новый IPv6-адрес для этого сервера удаленного доступа. Текущий IPv6-адрес будет ВИРТУАЛЬНЫМ IP-адресом кластера с балансировкой нагрузки. В поле длины префикса подсети введите длину префикса подсети.

  6. В развертывании двух сетевых адаптеров на странице "Внешние выделенные IP-адреса" выполните следующие действия и нажмите кнопку "Далее".

    1. В поле IPv4-адреса введите новый внешний IPv4-адрес для этого сервера удаленного доступа. Текущий IPv4-адрес будет виртуальным IP-адресом кластера балансировки нагрузки. В поле маски подсети введите маску подсети.

    2. Если на сетевом адаптере сервера удаленного доступа в настоящее время настроены собственные IPv6-адреса, настроенные в интернете, в поле адреса IPv6 введите новый внешний IPv6-адрес для этого сервера удаленного доступа. Текущий IPv6-адрес будет ВИРТУАЛЬНЫМ IP-адресом кластера балансировки нагрузки. В поле длины префикса подсети введите длину префикса подсети.

  7. В развертывании двух сетевых адаптеров на странице "Внутренние выделенные IP-адреса" выполните следующие действия и нажмите кнопку "Далее".

    1. В поле адресов IPv4 введите новый внутренний IPv4-адрес для этого сервера удаленного доступа. Текущий ip-адрес IPv4 будет виртуальным IP-адресом кластера балансировки нагрузки. В поле маски подсети введите маску подсети.

    2. Если корпоративная среда является собственной IPv6, в поле IPv6-адреса введите новый внутренний IPv6-адрес для этого сервера удаленного доступа; текущий IPv6-адрес будет ВИРТУАЛЬНЫМ IP-адресом кластера балансировки нагрузки. В поле длины префикса подсети введите длину префикса подсети.

  8. На странице "Сводка" нажмите кнопку "Зафиксировать".

  9. В диалоговом окне "Включить балансировку нагрузки" нажмите кнопку "Закрыть".

  10. В мастере включения балансировки нагрузки нажмите кнопку "Закрыть".

    Примечание.

    Если используется внешняя балансировка нагрузки, обратите внимание на виртуальные IP-адреса и укажите их как на внешних подсистемах балансировки нагрузки.

Windows PowerShellЭквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Если вы решили использовать NLB Windows на этапах планирования, выполните следующее:

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")

Если вы решили использовать внешнюю подсистему балансировки нагрузки на этапах планирования: выполните следующее:

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer

Примечание.

Рекомендуется не включать изменения в параметры подсистемы балансировки нагрузки с изменениями других параметров, если вы используете промежуточные объекты групповой политики. Любые изменения параметров подсистемы балансировки нагрузки должны применяться сначала, а затем вносить другие изменения конфигурации. Кроме того, после настройки подсистемы балансировки нагрузки на новом сервере DirectAccess предоставьте некоторое время для применения и репликации IP-адресов на DNS-серверах предприятия перед изменением других параметров DirectAccess, связанных с новым кластером.

3.3. Установка сертификата IP-HTTPS

Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.

Установка сертификата IP-HTTPS

  1. На настроенном сервере удаленного доступа нажмите кнопку "Пуск", введите mmc и нажмите клавишу ВВОД. Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  2. В консоли MMC в меню Файл выберите Добавить или удалить оснастку.

  3. В диалоговом окне "Добавить или удалить оснастки" нажмите кнопку "Сертификаты", нажмите кнопку "Добавить", "Учетная запись компьютера", "Далее", "Готово" и нажмите кнопку "ОК".

  4. В левой области консоли перейдите к сертификатам (локальный компьютер)\Personal\Certificates. Щелкните правой кнопкой мыши сертификат IP-HTTPS, наведите указатель на все задачи и нажмите кнопку "Экспорт".

  5. На странице "Добро пожаловать в мастер экспорта сертификатов" нажмите кнопку "Далее".

  6. На странице Экспорт закрытого ключа выберите вариант Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.

  7. На странице "Формат файла экспорта" щелкните "Обмен персональными данными" — PKCS #12 (). PFX), а затем нажмите кнопку "Далее".

  8. На странице "Безопасность" установите флажок "Пароль", введите пароль в поле "Пароль" и подтвердите пароль, а затем нажмите кнопку "Далее".

  9. На странице экспорта файла введите имя файла сертификата и сохраните его на рабочем столе, а затем нажмите кнопку "Далее".

  10. На странице Завершение работы мастера экспорта сертификатов нажмите кнопку Готово.

  11. В диалоговом окне мастера экспорта сертификатов нажмите кнопку "ОК".

  12. Скопируйте сертификат на все серверы, которые вы хотите быть членами кластера.

  13. На новом сервере DirectAccess нажмите кнопку "Пуск", введите mmc и нажмите клавишу ВВОД. Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  14. В консоли MMC в меню Файл выберите Добавить или удалить оснастку.

  15. В диалоговом окне "Добавить или удалить оснастки" нажмите кнопку "Сертификаты", нажмите кнопку "Добавить", "Учетная запись компьютера", "Далее", "Готово" и нажмите кнопку "ОК".

  16. В левой области консоли перейдите к сертификатам (локальный компьютер)\Personal\Certificates. Щелкните правой кнопкой мыши узел "Сертификаты" , наведите указатель мыши на все задачи и нажмите кнопку "Импорт".

  17. На странице "Добро пожаловать в мастер импорта сертификатов" нажмите кнопку "Далее".

  18. На странице "Файл для импорта" нажмите кнопку "Обзор", чтобы найти сертификат. Выберите сертификат и нажмите кнопку "Далее".

  19. На странице защиты закрытых ключей в поле "Пароль" введите пароль и нажмите кнопку "Далее".

  20. На странице хранилища сертификатов нажмите кнопку "Далее".

  21. На странице "Завершение работы мастера импорта сертификатов" нажмите кнопку "Готово".

  22. В диалоговом окне мастера импорта сертификатов нажмите кнопку "ОК".

  23. Повторите шаги 13-22 на всех серверах, которые вы хотите быть членами кластера.

3.4. Установка сертификата сервера сетевого расположения

Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.

Установка сертификата для сетевого расположения

  1. На сервере удаленного доступа нажмите кнопку "Пуск", введите mmc и нажмите клавишу ВВОД. Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  2. Нажмите кнопку " Файл" и нажмите кнопку "Добавить или удалить оснастки".

  3. Щелкните "Сертификаты", нажмите кнопку "Добавить", щелкните "Учетная запись компьютера", нажмите кнопку "Далее", "Локальный компьютер", "Готово" и нажмите кнопку "ОК".

  4. В дереве консоли оснастки "Сертификаты" откройте сертификаты (локальный компьютер)\Personal\Certificates.

  5. Щелкните правой кнопкой мыши сертификаты, наведите указатель на все задачи и нажмите кнопку "Запросить новый сертификат".

  6. Нажмите кнопку Далее дважды.

  7. На странице "Запрос сертификатов" щелкните шаблон сертификата веб-сервера, а затем нажмите кнопку "Дополнительные сведения" для регистрации этого сертификата.

    Если шаблон сертификата веб-сервера не отображается, убедитесь, что учетная запись компьютера сервера удаленного доступа имеет разрешения на регистрацию для шаблона сертификата веб-сервера. Дополнительные сведения см. в разделе "Настройка разрешений" в шаблоне сертификата веб-сервера.

  8. На вкладке "Тема" диалогового окна "Свойства сертификата" в имени субъекта в поле "Тип" выберите общее имя.

  9. В поле Value введите полное доменное имя (FQDN) для имени интрасети веб-сайта сервера расположения сети (например, nls.corp.contoso.com), а затем нажмите кнопку "Добавить".

  10. Нажмите кнопку "ОК", нажмите кнопку "Регистрация" и нажмите кнопку "Готово".

  11. В области сведений оснастки "Сертификаты" убедитесь, что новый сертификат с полным доменным именем был зарегистрирован в целях проверки подлинности сервера.

  12. Щелкните правой кнопкой мыши сертификат и выберите пункт "Свойства".

  13. В поле "Понятное имя" введите сертификат расположения сети и нажмите кнопку "ОК".

    Совет

    Шаги 12 и 13 являются необязательными, но упрощают выбор сертификата для сетевого расположения при настройке удаленного доступа.

  14. Повторите эту процедуру на всех серверах, которые вы хотите быть членами кластера.

3.5 Добавление серверов в кластер

Добавление серверов в кластер

  1. На настроенном сервере DirectAccess нажмите кнопку "Пуск" и щелкните "Управление удаленным доступом". Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  2. В консоли управления удаленным доступом щелкните Конфигурация. В области "Задачи" в разделе "Балансировка нагрузки" щелкните "Добавить или удалить серверы".

  3. В диалоговом окне "Добавление или удаление серверов" нажмите кнопку "Добавить сервер".

  4. В диалоговом окне "Добавление сервера" на странице "Выбор сервера" введите имя дополнительного сервера удаленного доступа и нажмите кнопку "Далее".

  5. На странице сетевых адаптеров выполните одно из следующих действий:

    • При развертывании топологии с двумя сетевыми адаптерами в внешнем адаптере выберите адаптер, подключенный к внешней сети. В внутреннем адаптере выберите адаптер, подключенный к внутренней сети.

    • При развертывании топологии с одним сетевым адаптером в сетевом адаптере выберите адаптер, подключенный к внутренней сети.

  6. На странице сетевых адаптеров в разделе "Выбор сертификата, используемого для проверки подлинности подключений IP-HTTPS", нажмите кнопку "Обзор", чтобы найти и выбрать сертификат IP-HTTPS, а затем нажмите кнопку "Далее".

  7. На странице "Сервер сетевых расположений" нажмите кнопку "Обзор", чтобы выбрать сертификат для веб-сайта сервера расположения сети, работающего на сервере удаленного доступа, и нажмите кнопку "Далее".

    Примечание.

    Страница "Сервер расположения сети" отображается только в том случае, если веб-сайт сервера сетевого расположения работает на сервере удаленного доступа.

    Примечание.

    Если VPN также настроен на сервере удаленного доступа, вам будет предложено добавить сведения о пуле IP-адресов VPN на данный момент.

  8. На странице " Сводка " нажмите кнопку "Добавить".

  9. На странице завершения нажмите кнопку Закрыть.

  10. Повторите эту процедуру для всех серверов удаленного доступа, которые будут добавлены в кластер.

  11. В диалоговом окне "Добавить или удалить серверы" нажмите кнопку "Зафиксировать".

  12. В диалоговом окне "Добавление и удаление серверов" нажмите кнопку "Закрыть".

Windows PowerShellЭквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

Примечание.

Если VPN не включен в кластере с балансировкой нагрузки, при добавлении нового сервера в кластер с помощью командлетов Windows PowerShell не следует предоставлять диапазоны VPN-адресов. Если вы сделали это по ошибке, удалите сервер из кластера и добавьте его еще раз в кластер без указания диапазонов VPN-адресов.

3.6 Удаление сервера из кластера

Удаление сервера из кластера

  1. На настроенном сервере удаленного доступа нажмите кнопку "Пуск" и щелкните " Управление удаленным доступом". Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  2. В консоли управления удаленным доступом щелкните Конфигурация. В области "Задачи" в разделе "Балансировка нагрузки" щелкните "Добавить или удалить серверы".

  3. В диалоговом окне "Добавление или удаление серверов" выберите сервер удаленного доступа, который нужно удалить, и нажмите кнопку "Удалить сервер".

  4. В диалоговом окне "Удалить предупреждение сервера" убедитесь, что выбран правильный сервер, а затем нажмите кнопку "ОК".

  5. Повторите эту процедуру для удаления всех серверов удаленного доступа из кластера.

  6. В диалоговом окне "Добавить или удалить серверы" нажмите кнопку "Зафиксировать".

  7. В диалоговом окне "Добавление и удаление серверов" нажмите кнопку "Закрыть".

Windows PowerShellЭквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

3.7 Отключение балансировки нагрузки

Выполните этот шаг с помощью Windows PowerShell

Отключение балансировки нагрузки

  1. На настроенном сервере DirectAccess нажмите кнопку "Пуск" и щелкните "Управление удаленным доступом". Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  2. В консоли управления удаленным доступом щелкните Конфигурация. В области "Задачи" в разделе "Балансировка нагрузки" щелкните "Отключить балансировку нагрузки".

  3. В диалоговом окне "Отключить балансировку нагрузки" нажмите кнопку "ОК".

  4. В диалоговом окне "Отключить балансировку нагрузки" нажмите кнопку "Закрыть".

Windows PowerShellЭквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

set-RemoteAccessLoadBalancer -disable

Отключение балансировки нагрузки приведет к удалению параметров удаленного доступа и параметров балансировки нагрузки (если настроено) со всех серверов, кроме сервера, с которого он выполняется. На этом сервере удаленного доступа параметры NLB будут удалены (если она настроена), но параметры удаленного доступа останутся.

Нажатие кнопки "Удалить параметры конфигурации" приведет к удалению удаленного доступа и NLB (если настроено) со всех серверов в развертывании.

Примечание.

  • Если удаленный доступ удаляется при развертывании балансировки нагрузки, все серверы остаются с dips. IP-адреса удаляются. Это приводит к сбою всех маршрутов в корпоративной сети, предназначенных для IP-адресов. Это также влияет на записи DNS, которые были разрешены для IP-адресов, таких как имя субъекта сертификата сервера сетевого расположения. Чтобы избежать этой проблемы, отключите балансировку нагрузки, которая оставляет IP-адреса на последнем сервере удаленного доступа, а затем удалите удаленный доступ.
  • После использования командлета Set-RemoteAccessLoadBalancer для отключения балансировки нагрузки подождите 2 минуты, прежде чем выполнять любой другой командлет. Это также следует сделать в любых сценариях, которые выполняют другой командлет после командлета Set-RemoteAccessLoadBalancer -disable .
  • Отключение балансировки нагрузки изменяет виртуальный IP-адрес кластера на выделенный IP-адрес. В результате любая операция, которая запрашивает имя сервера, завершится ошибкой до истечения срока действия кэшированного DNS-записи на сервере. Не выполняйте командлеты PowerShell удаленного доступа после отключения балансировки нагрузки до истечения срока действия кэша на сервере. Эта проблема более распространена, если вы пытаетесь отключить балансировку нагрузки на компьютере с другого компьютера, который находится в другом домене. Это также происходит при отключении балансировки нагрузки из консоли управления удаленным доступом и может препятствовать загрузке конфигурации. Конфигурация будет загружена после истечения срока действия кэша или очистки.