步骤 3：规划负载均衡的群集部署

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

下一步是了解如何规划负载均衡配置和群集部署。

任务	说明
3.1 规划负载均衡	确定是使用 Windows 网络负载均衡 (NLB)，还是使用外部负载均衡器 (ELB)。
3.2 规划 IP-HTTPS	如果未使用自签名证书，则远程访问服务器需要群集中的每个服务器上的 SSL 证书，以便对 IP-HTTPS 连接进行身份验证。
3.3 规划 VPN 客户端连接	请注意 VPN 客户端连接的要求。
3.4 规划网络位置服务器	如果网络位置服务器网站托管在远程访问服务器上，并且未使用自签名证书，请确保群集中的每个服务器都有服务器证书来验证与网站的连接。

3.1 规划负载均衡

远程访问可以部署在单个服务器上，也可以部署在远程访问服务器的群集上。 流向群集的流量可以实现负载均衡，从而为 DirectAccess 客户端提供高可用性和可伸缩性。 有两个负载均衡选项：

• Windows NLB-Windows NLB 是一项 Windows 服务器功能。 使用它不需要额外的硬件，因为群集中的所有服务器均负责管理流量负载。 Windows NLB 在远程访问群集中最多支持 8 个服务器。

• 外部负载均衡器-使用外部负载均衡器需要外部硬件来管理远程访问群集服务器之间的流量负载。 此外，使用外部负载均衡器最多支持群集中的 32 个远程访问服务器。 配置外部负载均衡时要记住的一些要点如下：

  • 管理员必须确保在外部负载均衡器（如 F5 Big-Ip 本地流量管理器系统）上使用通过远程访问负载均衡向导配置的虚拟 IP。 启用外部负载均衡后，外部和内部接口上的 IP 地址将提升为虚拟 IP 地址，并且必须插入到负载均衡器中。 这样做是使管理员不必更改群集部署的公共名称的 DNS 条目。 此外，IPsec 隧道终结点派生自服务器 IP。 如果管理员提供单独的虚拟 IP，则客户端将无法连接到服务器。 请参阅 3.1.1 外部负载均衡器配置示例中使用外部负载均衡配置 DirectAccess 的示例。

  • 许多外部负载均衡器（包括 F5）不支持 6to4 和 ISATAP 的负载均衡。 如果远程访问服务器是 ISATAP 路由器，则应将 ISATAP 函数移动到其他计算机。 此外，当 ISATAP 函数位于其他计算机上时，DirectAccess 服务器必须与 ISATAP 路由器建立本机 IPv6 连接。 请注意，在配置 DirectAccess 之前，此连接应存在。

  • 对于外部负载均衡，如果必须使用 Teredo，则所有远程访问服务器都必须拥有两个连续的公共 IPv4 地址作为专用 IP 地址。 群集的虚拟 IP 还必须拥有两个连续的公共 IPv4 地址。 对于只有群集的虚拟 IP 必须具有两个连续的公共 IPv4 地址的 Windows NLB 则不适用。 如果未使用 Teredo，则不需要两个连续的 IP 地址。

  • 管理员可以从 Windows NLB 切换到外部负载均衡器，反之亦然。 请注意，如果管理员在外部负载均衡器部署中拥有 8 个以上的服务器，则无法从外部负载均衡器切换到 Windows NLB。

3.1.1 外部负载均衡器配置示例

本部分介绍在新的远程访问部署上启用外部负载均衡器的配置步骤。 使用外部负载均衡器时，远程访问群集可能如下图所示，其中远程访问服务器通过内部网络上的负载均衡器连接到公司网络，通过连接到外部网络的负载均衡器连接到 Internet：

计划信息

1. 外部 VIP（客户将用于连接到远程访问的 IP）被确定为 131.107.0.102、131.107.0-103

2. 外部网络自 IP 上的负载均衡器 - 131.107.0.245 (Internet)、131.107.1.245

   外围网络（也称为非管制区域或 DMZ）位于外部网络上的负载均衡器和远程访问服务器之间。

3. 外围网络上远程访问服务器的 IP 地址 - 131.107.1.102、131.107.1.103

4. ELB 网络上远程访问服务器的 IP 地址（即远程访问服务器与内部网络上的负载均衡器之间）- 30.11.1.101, 2006:2005:11:1::101

5. 内部网络自 IP 上的负载均衡器 - 30.11.1.245 2006:2005:11:1::245 (ELB)、30.1.1.245 2006:2005:1:1::245（公司网络）

6. 内部 VIP（用于客户端 Web 探测和网络位置服务器的 IP 地址，如果安装在远程访问服务器上）被确定为 30.1.1.10, 2006:2005:1:1::10

步骤

1. 使用地址 131.107.0.102、131.107.0.103 配置远程访问服务器的外部网络适配器（即连接到外围网络）。 DirectAccess 配置需要执行此步骤才能检测正确的 IPsec 隧道终结点。

2. 使用 Web 探测/网络位置服务器 IP 地址 (30.1.1.10, 2006:2005:1:1::10) 配置远程访问服务器的内部网络适配器（即连接到 ELB 网络）。 若要允许客户端访问 Web 探测 IP，就必须执行此步骤，这样网络连接助手才会正确指示 DirectAccess 的连接状态。 如果已在 DirectAccess 服务器上配置，则此步骤还允许访问网络位置服务器。

   注意

   确保可以通过此配置从远程访问服务器访问域控制器。

3. 在远程访问服务器上配置 DirectAccess 单个服务器。

4. 在 DirectAccess 配置中启用外部负载均衡。 使用 131.107.1.102 作为外部专用 IP 地址 (DIP)（131.107.1.103 会被自动选择），使用 30.11.1.101, 2006:2005:11:1::101 作为内部 DIP。

5. 使用地址 131.107.0.102 和 131.107.0.103 在外部负载均衡器上配置外部虚拟 IP (VIP)。 此外，使用地址 30.1.1.10 和 2006:2005:1:1::10 在外部负载均衡器上配置内部 VIP。

6. 远程访问服务器现在将使用计划的 IP 地址进行配置，群集的外部和内部 IP 地址将根据计划的 IP 地址进行配置。

3.2 规划 IP-HTTPS

1. 证书要求-在部署单个远程访问服务器时，选择使用公共或内部证书颁发机构颁发的 IP-HTTPS 证书 (CA) 或自签名证书。 对于群集部署，必须在远程访问群集的每个成员上使用相同类型的证书。 也就是说，如果使用了公共 CA 颁发的证书（建议），则必须在群集的每个成员上安装由公共 CA 颁发的证书。 新证书的使用者名称应当与部署中当前使用的 IP-HTTPS 证书的使用者名称相同。 请注意，如果使用自签名证书，则会在群集部署期间，在每台服务器上自动对其进行配置。

2. 前缀要求-远程访问可实现基于 SSL 的流量和 DirectAccess 流量的负载均衡。 若要为所有基于 IPv6 的 DirectAccess 流量实现负载均衡，远程访问必须检查所有转换技术的 IPv4 隧道。 由于 IP-HTTPS 流量已加密，因此无法检查 IPv4 隧道的内容。 若要使 IP-HTTPS 流量能够实现负载均衡，必须分配足够宽的 IPv6 前缀，以便可以为每个群集成员分配不同的 IPv6 /64 前缀。 最多可以在负载均衡群集中配置 32 个服务器；因此，必须指定 /59 前缀。 此前缀必须可路由到远程访问群集的内部 IPv6 地址，并在远程访问服务器安装向导中配置。

   注意

   前缀要求仅在启用了 IPv6 的内部网络（仅 IPv6 或 IPV4+IPv6）中相关。 在仅限 IPv4 的企业网络中，会自动配置客户端前缀，管理员无法对其进行更改。

3.3 规划 VPN 客户端连接

VPN 客户端连接具有以下多个注意事项：

• 如果使用 DHCP 分配 VPN 客户端地址，则 VPN 客户端流量无法实现负载均衡。 需要静态地址池。

• 可以使用远程访问管理控制台的“任务”窗格中的“启用 VPN”，在仅为 DirectAccess 部署的负载均衡群集上启用 RRAS。

• 必须在群集中的所有远程访问服务器上手动复制路由和远程访问管理控制台 (rrasmgmt.msc) 完成的任何 VPN 更改。

• 若要启用 VPN IPv6 客户端流量实现负载均衡，必须指定 59 位 IPv6 前缀。

3.4 规划网络位置服务器

如果在单个远程访问服务器上运行网络位置服务器网站，则在部署期间，选择使用内部证书颁发机构 (CA) 颁发的证书或自签名证书。 请注意以下事项：

1. 远程访问群集的每个成员都必须具有与网络位置服务器网站的 DNS 条目对应的网络位置服务器的证书。

2. 每个群集服务器的证书的颁发方式必须与单个远程访问服务器当前网络位置服务器证书上证书的颁发方式相同。 例如，如果使用了内部 CA 颁发的证书，则必须在群集的每个成员上安装内部 CA 颁发的证书。

3. 如果使用了自签名证书，则会在群集部署期间为每个服务器自动配置自签名证书。

4. 证书的使用者名称不得与远程访问部署中任何服务器的名称相同。