在群集中部署远程访问
Windows Server 2016 和 Windows Server 2012 将 DirectAccess 与远程访问服务 (RAS) VPN 合并到了单个远程访问角色中。 可以在大量的企业方案中部署远程访问。 本概述介绍在使用 Windows 网络负载均衡 (NLB) 或 F5 Big-IP 等外部负载均衡器 (ELB) 均衡负载的群集中部署多台远程访问服务器的企业方案。
方案描述
群集部署将多台远程访问服务器汇总为单个单元,并随之将该单元用作使用远程访问群集的外部虚拟 IP (VIP) 地址通过 DirectAccess 或 VPN 连接到企业内部网络的远程客户端计算机的单一联系点。 到群集的流量使用 Windows NIB 或外部负载均衡器(例如 F5 Big-IP)进行负载均衡。
先决条件
在开始部署此方案之前,请查看此列表以了解重要要求:
默认通过 Windows NLB 进行负载平衡。
支持外部负载平衡器。
NLB 的默认和建议模式为单播模式。
不支持在 DirectAccess 管理控制台或 PowerShell cmdlet 之外更改策略。
使用 NLB 或外部负载均衡器时,IPHTTPS 前缀不能更改为 /59 以外的任何内容。
负载平衡节点必须位于同一 IPv4 子网中。
在 ELB 部署中,如果需要向外管理,那么 DirectAccess 客户端无法使用 Teredo。 仅 IPHTTPS 可用于端到端通信。
确保安装所有已知 NLB/ELB 修补程序。
企业网络中的 ISATAP 不受支持。 如果你使用的是 ISATAP,应该将其删除并使用本机 IPv6。
本方案内容
群集部署方案包含许多步骤:
使用高级选项部署 Always on VPN 服务器。 在设置群集部署之前,必须先部署具有高级设置的单台远程访问服务器。
规划远程访问群集部署。 若要从单个服务器部署生成群集,将需要执行多个其他步骤,包括为群集部署准备证书。
配置远程访问群集。 此过程由多个配置步骤组成,包括让单台服务器为 Windows NLB 或外部负载均衡器做好准确、准备加入群集的其他服务器以及启用负载均衡。
实际的应用程序
将多台服务器收集到服务器群集中可实现以下优势:
可伸缩性。 单台远程访问服务器提供的服务器可靠性和缩放性能有限。 将两台或更多服务器资源组合到单一群集中,可提升吞吐量以及增加用户数目。
高可用性。 群集提供始终可访问的高可用性。 如果群集中的服务器出现故障,远程用户可继续通过群集中的其他服务器访问企业网络。 虽然依然保留每台服务器唯一且专用的 IP 地址,但群集中的所有服务器都带有相同组合的群集虚拟 IP 地址 (VIP)。
易于管理。 群集允许多台服务器当做单一实体加以管理。 可在各个群集服务器之间轻松共享设置。 可从群集中的任何服务器,或远程使用远程服务器管理工具 (RSAT),管理远程访问设置。 此外,可从单个远程访问管理控制台监视整个群集。
本方案所包括的角色和功能
下表列出了本方案所需的角色和功能:
| 角色/功能 | 如何支持本方案 |
|---|---|
| 远程访问角色 | 该角色可使用服务器管理器控制台加以安装和卸载。 它包括 DirectAccess(以前是 Windows Server 2008 R2 中的功能)以及路由和远程访问服务 (RRAS)(以前是网络策略和访问服务 (NPAS) 服务器角色项下的角色服务)。 远程访问角色由以下两个组件组成: - Always On VPN 以及路由和远程访问服务 (RRAS) VPN-DirectAccess 和 VPN 在同一个远程访问管理控制台中加以管理。 依赖关系如下所示: - Internet 信息服务 (IIS) Web 服务器 - 在配置网络位置服务器和默认的 Web 探测时,需要此功能。 |
| 远程访问管理工具功能 | 此功能的安装如下所述: - 默认情况下,当安装远程访问角色时,此功能会安装在远程访问服务器上,并且此功能支持远程管理控制台用户界面。 远程访问管理工具功能包括以下各项: - 远程访问 GUI 和命令行工具 依赖项包括: - 组策略管理控制台 |
| Network Load Balancing | 此功能通过 Windows NLB 提供群集中的负载平衡。 |
硬件要求
本方案的硬件要求包括以下各项:
至少有两台计算机满足 Windows Server 2012 的硬件要求。
外部负载平衡器方案需要专用硬件(即 F5 BigIP)。
若要测试方案,必须将至少一台运行 Windows 10 的计算机配置为 Always On VPN 客户端。
软件要求
存在许多对本方案的要求。
对单台服务器部署的软件要求。 有关详细信息,请参阅使用高级设置部署单个 DirectAccess 服务器。 单个远程访问)。
除对单台服务器的软件要求外,还存在许多针对群集的要求:
在每台群集服务器上,IP-HTTPS 证书使用者名称必须与 ConnectTo 地址匹配。 群集部署支持在群集服务器上混合使用通配符证书和非通配符证书。
如果远程访问服务器上安装了网络位置服务器,则每台群集服务器上的网络位置服务器证书必须拥有相同的使用者名称。 此外,网络位置服务器证书的名称不能与 DirectAccess 部署中任何服务器的名称相同。
必须使用为单台服务器颁发证书时所用的相同方法,颁发 IP-HTTPS 和网络位置服务器证书。 例如,如果单台服务器使用公用证书颁发机构 (CA),则群集中的所有服务器必须拥有公用证书颁发机构颁发的证书。 或者,如果单台服务器使用自签名的 IP-HTTPS 证书,则群集中的所有服务器必须使用相同的证书。
分配给服务器群集上的 DirectAccess 客户端计算机的 IPv6 前缀必须是 59 位。 如果启用了 VPN,则 VPN 前缀必须是 59 位。
已知问题
下面是配置群集方案时的已知问题:
使用单个网络适配器在仅使用 IPv4 的部署中配置 DirectAccess,并在网络适配器上自动配置默认的 DNS64(包含“:3333::”的 IPv6 地址)后,尝试通过远程访问管理控制台启用负载平衡会导致出现要求用户提供 IPv6 DIP 的提示。 如果提供 IPv6 DIP,则单击“提交”后配置将失败,并出现以下错误:参数不正确。
若要解决此问题,请执行下列操作:
从备份和还原远程访问配置中下载备份和还原脚本。
使用下载的脚本 Backup-RemoteAccess.ps1 备份远程访问 GPO
尝试启用负载平衡,直至达到失败的步骤。 在“启用负载平衡”对话框中,展开详细信息区域,在详细信息区域中右键单击,然后单击“复制脚本”。
打开记事本,然后粘贴剪贴板的内容。 例如:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose关闭处于打开状态的所有“远程访问”对话框,并关闭远程访问管理控制台。
编辑所粘贴的文本并删除 IPv6 地址。 例如:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose在提升的 PowerShell 窗口中,运行之前步骤的命令。
如果在运行时该 cmdlet 失败(并非由于输入值错误引起),请运行 Restore-RemoteAccess.ps1 命令,并按照说明进行操作以确保维持原始配置的完整性。
现在可以重新打开远程访问管理控制台。