步驟 3 規劃負載平衡叢集部署
下一個步驟是規劃負載平衡設定和叢集部署。
| Task | 描述 |
|---|---|
| 3.1 規劃負載平衡 | 決定使用 Windows 網路負載平衡 (NLB) 還是外部負載平衡器 (ELB)。 |
| 3.2 規劃 IP-HTTPS | 如果未使用自我簽署憑證,則遠端存取伺服器需要叢集中每部伺服器上都有 SSL 憑證,才能驗證 IP-HTTPS 連線。 |
| 3.3 規劃 VPN 用戶端連線 | 請注意 VPN 用戶端連線的需求。 |
| 3.4 規劃網路位置伺服器 | 如果網路位置伺服器網站裝載於遠端存取伺服器上,而且未使用自我簽署憑證,則請確定叢集中的每部伺服器都有伺服器憑證可驗證網站的連線。 |
3.1 規劃負載平衡
遠端存取可以部署至單一伺服器或遠端存取伺服器叢集。 叢集的流量可以進行負載平衡,以提供 DirectAccess 用戶端的高可用性和可擴縮性。 負載平衡選項有兩種:
Windows NLB - Windows NLB 是 Windows Server 功能。 若要使用它,您不需要額外的硬體,因為叢集中的所有伺服器都會負責管理流量負載。 Windows NLB 最多支援遠端存取叢集中有八部伺服器。
外部負載平衡器 - 使用外部負載平衡器需要有外部硬體來管理遠端存取叢集伺服器之間的流量負載。 此外,使用外部負載平衡器最多支援叢集中有 32 部遠端存取伺服器。 設定外部負載平衡時要記住的一些要點如下:
系統管理員必須確保在外部負載平衡器 (如 F5 Big-Ip 本機流量管理員系統) 上使用透過遠端存取負載平衡精靈所設定的虛擬 IP。 啟用外部負載平衡時,會將外部和內部介面上的 IP 位址升級為虛擬 IP 位址,而且必須在負載平衡器上探查到。 此作業已完成,因此,系統管理員不需要變更叢集部署公用名稱的 DNS 項目。 此外,IPsec 通道端點衍生自伺服器 IP。 如果系統管理員提供個別的虛擬 IP,則用戶端將無法連線至伺服器。 請參閱<3.1.1 外部負載平衡器設定範例>中使用外部負載平衡來設定 DirectAccess 的範例。
許多外部負載平衡器 (包括 F5) 都不支援 6to4 和 ISATAP 的負載平衡。 如果遠端存取伺服器是 ISATAP 路由器,則應該將 ISATAP 函數移至不同的電腦。 此外,ISATAP 函數位於不同的電腦時,DirectAccess 伺服器必須具有與 ISATAP 路由器的原生 IPv6 連線。 請注意,設定 DirectAccess 之前,應該要有此連線。
針對外部負載平衡,如果必須使用 Teredo,則所有遠端存取伺服器都必須有兩個連續的公用 IPv4 位址作為專用 IP 位址。 叢集的虛擬 IP 也必須有兩個連續公用 IPv4 位址。 這適用於叢集的虛擬 IP 只能有兩個連續公用 IPv4 位址的 Windows NLB。 如果未使用 Teredo,則不需要兩個連續的 IP 位址。
系統管理員可以從 Windows NLB 切換至外部負載平衡器,反之亦然。 請注意,如果系統管理員在外部負載平衡器部署中有 8 部以上的伺服器,則無法從外部負載平衡器切換至 Windows NLB。
3.1.1 外部負載平衡器設定範例
本節說明在新的遠端存取部署上啟用外部負載平衡器的設定步驟。 使用外部負載平衡器時,遠端存取叢集可能會看起來像下圖,其中遠端存取伺服器會透過內部網路上的負載平衡器連線至公司網路,以及透過連線至外部網路的負載平衡器來連線至網際網路:
規劃資訊
外部 VIP (用戶端將用來連線至遠端存取的 IP) 已決定為 131.107.0.102、131.107.0.103
外部網路自我 IP 上的負載平衡器 - 131.107.0.245 (網際網路)、131.107.1.245
周邊網路 (也稱為非軍事區域和 DMZ) 位於外部網路上的負載平衡器與遠端存取伺服器之間。
周邊網路上遠端存取伺服器的 IP 位址 - 131.107.1.102、131.107.1.103
ELB 網路上遠端存取伺服器的 IP 位址 (即遠端存取伺服器與內部網路上的負載平衡器之間) - 30.11.1.101、2006:2005:11:1::101
內部網路自我 IP 上的負載平衡器 - 30.11.1.245 2006:2005:11:1::245 (ELB)、30.1.1.245 2006:2005:1:1::245 (公司網路)
內部 VIP (如果安裝在遠端存取伺服器上,即用於用戶端 Web 探查和網路位置伺服器的 IP 位址) 已決定為 30.1.1.10, 2006:2005:1:1::10
步驟
使用位址 131.107.0.102、131.107.0.103 來設定遠端存取伺服器的外部網路介面卡 (連線至周邊網路)。 DirectAccess 設定需要此步驟,才能偵測到正確的 IPsec 通道端點。
使用 Web 探查/網路位置伺服器 IP 位址 (30.1.1.10, 2006:2005:1:1::10) 來設定遠端存取伺服器的內部網路介面卡 (連線至 ELB 網路)。 若要允許用戶端存取 Web 探查 IP,則需要此步驟,因此網路連線助理可正確地指出 DirectAccess 的連線狀態。 如果在 DirectAccess 伺服器上設定網路位置伺服器網站,則此步驟也允許對其進行存取。
注意
確定可以使用此設定以從遠端存取伺服器連線網域控制站。
在遠端存取伺服器上設定 DirectAccess 單一伺服器。
在 DirectAccess 設定中啟用外部負載平衡。 使用 131.107.1.102 作為外部專用 IP 位址 (DIP) (將會自動選取 131.107.1.103),並使用 30.11.1.101, 2006:2005:11:1::101 作為內部 DIP。
使用位址 131.107.0.102 和 131.107.0.103 以在外部負載平衡器上設定外部虛擬 IP (VIP)。 同時,使用位址 30.1.1.10 和 2006:2005:1:1::10 以在外部負載平衡器上設定內部 VIP。
遠端存取伺服器現在將會使用規劃的 IP 位址進行設定,而叢集的外部和內部 IP 位址將會根據規劃的 IP 位址進行設定。
3.2 規劃 IP-HTTPS
憑證需求 - 在部署單一遠端存取伺服器期間,您已選擇使用公用或內部憑證授權單位 (CA) 所發出的 IP-HTTPS 憑證或是自我簽署憑證。 針對叢集部署,您必須在每個遠端存取叢集成員上使用相同類型的憑證。 即,如果您已使用公用 CA 所發出的憑證 (建議使用),則必須在每個叢集成員上安裝公用 CA 所發出的憑證。 新憑證的主體名稱應該與部署中目前使用之 IP-HTTPS 憑證的主體名稱相同。 請注意,如果您要使用自我簽署憑證,則將會在叢集部署期間自動於每部伺服器上設定這些憑證。
前置詞需求 - 遠端存取可啟用 SSL 型流量和 DirectAccess 流量的負載平衡。 若要對所有 IPv6 型 DirectAccess 流量進行負載平衡,遠端存取必須檢查所有轉換技術的 IPv4 通道。 因為已加密 IP-HTTPS 流量,所以無法檢查 IPv4 通道的內容。 若要對 IP-HTTPS 流量進行負載平衡,您必須配置夠寬的 IPv6 前置詞,以將不同的 IPv6 /64 前置詞指派給每個叢集成員。 您最多可以在負載平衡叢集中設定 32 部伺服器;因此,您必須指定 /59 前置詞。 此前置詞必須可路由傳送至遠端存取叢集的內部 IPv6 位址,而且已在 [遠端存取伺服器安裝] 精靈中進行設定。
注意
前置詞需求僅適用於已啟用 IPv6 的內部網路 (僅限 IPv6 或 IPV4+IPv6)。 在僅限 IPv4 的公司網路中,會自動設定用戶端前置詞,而且系統管理員無法對其進行變更。
3.3 規劃 VPN 用戶端連線
有許多 VPN 用戶端連線考量:
如果使用 DHCP 來配置 VPN 用戶端位址,則無法對 VPN 用戶端流量進行負載平衡。 需要靜態位址集區。
使用 [遠端存取管理] 主控台 [工作] 窗格上的 [啟用 VPN],只在已部署進行 DirectAccess 的負載平衡叢集上啟用 RRAS。
必須在叢集的所有遠端存取伺服器上手動複寫 [路由和遠端存取管理] 主控台 (rrasmgmt.msc) 中所完成的任何 VPN 變更。
若要對 VPN IPv6 用戶端流量進行負載平衡,您必須指定 59 位元 IPv6 前置詞。
3.4 規劃網路位置伺服器
如果您要在單一遠端存取伺服器上執行網路位置伺服器網站,則請在部署期間選擇使用內部憑證授權單位 (CA) 所發出的憑證或是自我簽署憑證。 請注意以下要點:
每個遠端存取叢集成員都必須要有網路位置伺服器的憑證,而網路位置伺服器對應至網路位置伺服器網站的 DNS 項目。
每個叢集伺服器憑證的發出方式都必須與單一遠端存取伺服器目前網路位置伺服器上的憑證相同。 例如,如果您已使用內部 CA 所發出的憑證,則必須在每個叢集成員上安裝內部 CA 所發出的憑證。
如果您已使用自我簽署憑證,則將會在叢集部署期間自動為每部伺服器設定自我簽署憑證。
憑證的主體名稱不得與遠端存取部署中的任何伺服器名稱相同。