Étape 3 Configurer un cluster à charge équilibrée

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Après avoir préparé les serveurs pour le cluster, configurez l’équilibrage de charge sur le serveur unique, configurer les certificats requis et déployer le cluster.

Tâche Description
3.1 Configurer le préfixe IPv6 Si l’environnement d’entreprise est IPv4+IPv6, ou IPv6 uniquement, sur le serveur d’accès à distance unique, assurez-vous que le préfixe IPv6 attribué aux ordinateurs clients DirectAccess est suffisamment grand pour couvrir tous les serveurs de votre cluster.
3.2 Activer l'équilibrage de charge Activez l’équilibrage de charge sur le serveur d’accès à distance unique.
3.3 Installer le certificat IP-HTTPS Chaque serveur du cluster nécessite un certificat de serveur pour authentifier la connexion IP-HTTPS. Exportez le certificat IP-HTTPS à partir du serveur d’accès à distance unique et déployez-le sur chaque serveur que vous allez ajouter au cluster. Cela est obligatoire uniquement si vous utilisez des certificats non auto-signés.
3.4 Installer le certificat de serveur Emplacement réseau Si le serveur d’emplacement réseau est déployé localement sur le serveur unique, vous devez déployer le certificat de serveur d’emplacement réseau sur chaque serveur du cluster. Si le serveur d’emplacement réseau est hébergé sur un serveur externe, un certificat sur chaque serveur n’est pas nécessaire. Cela est obligatoire uniquement si vous utilisez des certificats non auto-signés.
3.5 Ajouter des serveurs au cluster Ajouter tous les serveurs au cluster. L’accès à distance ne doit pas être configuré sur les serveurs à ajouter.
3.6 Supprimer un serveur du cluster Instructions pour supprimer un serveur du cluster.
3.7 Désactiver l'équilibrage de charge Instructions pour désactiver l’équilibrage de charge.

Notes

L’adresse IP sélectionnée pour le DIP ne doit pas être utilisée sur les cartes réseau du premier serveur d’accès à distance du cluster. Le démarrage du déploiement DirectAccess avec l’adresse IP virtuelle et le DIP ajoutés à la carte réseau entraîne un échec.

Notes

Veillez à ne pas utiliser un DIP déjà présent sur un autre ordinateur sur le réseau.

3.1 Configurer le préfixe IPv6

Pour configurer le préfixe

  1. Sur le serveur d’accès à distance, cliquez sur Démarrer, puis sur Gestion de l’accès à distance. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Dans la Console de gestion de l'accès à distance, cliquez sur Configuration.

  3. Dans le volet central de la console, dans la zone Étape 2 : Serveur DirectAccess, cliquez sur Modifier.

  4. Cliquez sur Configuration du préfixe. Dans la page Configuration du préfixe , dans Préfixe IPv6 affecté aux ordinateurs clients DirectAccess, entrez le préfixe IPv6 utilisé pour les ordinateurs clients DirectAccess avec une longueur de sous-réseau de 59, par exemple , 2001:db8:1:1000::/59. Si le VPN était également activé avec IPv6, un préfixe IPv6 s’affiche et la longueur du sous-réseau doit être remplacée par 59. Cliquez sur Suivant.

  5. Dans le volet central de la console, cliquez sur Terminer.

  6. Dans la boîte de dialogue Vérification de l’accès à distance, passez en revue les paramètres de configuration, puis cliquez sur Appliquer. Dans la boîte de dialogue Application des paramètres de l’Assistant Configuration de l’accès à distance, cliquez sur Fermer.

3.2 Activer l'équilibrage de charge

Activer l'équilibrage de charge

  1. Sur le serveur DirectAccess configuré, cliquez sur Démarrer, puis sur Gestion de l’accès à distance. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Dans la console Gestion de l’accès à distance, dans le volet de gauche, cliquez sur Configuration, puis dans le volet Tâches, cliquez sur Activer l’équilibrage de charge.

  3. Dans l’Assistant Activer l’équilibrage de charge, cliquez sur Suivant.

  4. Selon ce que vous avez choisi dans les étapes de planification :

    1. Windows NLB : à la page Méthode d’équilibrage de charge, cliquez sur Utiliser l’équilibrage de charge réseau (NLB) Windows, puis sur Suivant.

    2. Équilibreur de charge externe : à la page Méthode d’équilibrage de charge, cliquez sur Utiliser un équilibreur de charge externe, puis sur Suivant.

  5. Dans un déploiement de carte réseau unique, dans la page Adresses IP dédiées, procédez comme suit, puis cliquez sur Suivant :

    1. Dans la zone Adresse IPv4 , entrez la nouvelle adresse IPv4 pour ce serveur d’accès à distance ; l’adresse IPv4 actuelle sera l’adresse IP virtuelle (VIP) du cluster à charge équilibrée. Dans la zone Masque de sous-réseau , entrez le masque de sous-réseau.

    2. Si l’environnement d’entreprise est IPv6 natif, dans la zone Adresse IPv6, entrez la nouvelle adresse IPv6 pour ce serveur d’accès à distance ; l’adresse IPv6 actuelle sera l’adresse IP virtuelle du cluster à charge équilibrée. Dans la zone Longueur du préfixe du sous-réseau, entrez la longueur du préfixe de sous-réseau.

  6. Dans un déploiement de carte réseau double, dans la page Adresses IP dédiées externe, procédez comme suit, puis cliquez sur Suivant :

    1. Dans la zone Adresse IPv4, entrez la nouvelle adresse IPv4 externe pour ce serveur d’accès à distance ; l’adresse IPv4 actuelle sera l’adresse IP virtuelle (VIP) du cluster à charge équilibrée. Dans la zone Masque de sous-réseau , entrez le masque de sous-réseau.

    2. S’il existe actuellement des adresses IPv6 natives configurées sur la carte réseau accessible sur Internet du serveur d’accès à distance, dans la zone Adresse IPv6, entrez la nouvelle adresse IPv6 externe pour ce serveur d’accès à distance ; l’adresse IPv6 actuelle sera l’adresse IP virtuelle du cluster d’équilibrage de charge. Dans la zone Longueur du préfixe du sous-réseau, entrez la longueur du préfixe de sous-réseau.

  7. Dans un déploiement de carte réseau double, dans la page Adresses IP dédiées interne, procédez comme suit, puis cliquez sur Suivant :

    1. Dans la zone Adresse IPv4, entrez la nouvelle adresse IPv4 interne pour ce serveur d’accès à distance ; l’adresse IPv4 actuelle sera l’adresse IP virtuelle du cluster à charge équilibrée. Dans la zone Masque de sous-réseau , entrez le masque de sous-réseau.

    2. Si l’environnement d’entreprise est IPv6 natif, dans la zone Adresse IPv6, entrez la nouvelle adresse IPv6 interne pour ce serveur d’accès à distance ; l’adresse IPv6 actuelle sera l’adresse IP virtuelle du cluster à charge équilibrée. Dans la zone Longueur du préfixe du sous-réseau, entrez la longueur du préfixe de sous-réseau.

  8. À la page Résumé, cliquez sur Valider.

  9. Dans la boîte de dialogue Activer l’équilibrage de charge, cliquez sur Fermer.

  10. Dans l’Assistant Activer l’équilibrage de charge, cliquez sur Fermer.

    Notes

    Si l’équilibrage de charge externe est utilisé, notez les adresses IP virtuelles et fournissez-les comme sur les équilibreurs de charge externes.

Windows PowerShellCommandes Windows PowerShell équivalentes

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.

Si vous avez choisi d’utiliser l’équilibrage de charge réseau Windows dans les étapes de planification, exécutez les opérations suivantes :

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")

Si vous avez choisi d’utiliser un équilibreur de charge externe dans les étapes de planification : exécutez les opérations suivantes :

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer

Notes

Il est recommandé de ne pas inclure les modifications apportées aux paramètres de l’équilibreur de charge avec les modifications apportées à d’autres paramètres, si vous utilisez des objets de stratégie de groupe intermédiaires. Toutes les modifications apportées aux paramètres de l’équilibreur de charge doivent d’abord être appliquées, puis d’autres modifications de configuration doivent être apportées. En outre, après avoir configuré l’équilibreur de charge sur un nouveau serveur DirectAccess, prévoyez un certain temps pour que les modifications IP soient appliquées et répliquées sur les serveurs DNS de l’entreprise, avant de modifier les autres paramètres DirectAccess liés au nouveau cluster.

3.3 Installer le certificat IP-HTTPS

L'appartenance au groupe local Administrateurs, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour installer le certificat IP-HTTPS

  1. Sur le serveur d’accès distant configuré, cliquez sur Démarrer, tapez mmc, puis appuyez sur ENTRÉE. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Dans la console MMC, dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

  3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur Certificats, sur Ajouter, sur Compte de l’ordinateur, sur Suivant, sur Terminer, puis sur OK.

  4. Dans le volet gauche de la console, accédez à Certificats (ordinateur local)\Personnel\Certificats. Cliquez avec le bouton droit sur le certificat IP-HTTPS, pointez sur Toutes les tâches, puis cliquez sur Exporter.

  5. Dans la page Bienvenue dans l'Assistant Exportation du certificat, cliquez sur Suivant.

  6. Dans la page Exportation de la clé privée, cliquez sur Oui, exporter la clé privée, puis sur Suivant.

  7. Dans la page Format de fichier d'exportation, cliquez sur Échange d'informations personnelles - PKCS #12 (.PFX), puis cliquez sur Suivant.

  8. Sur la page Sécurité, cochez la case Mot de passe, entrez un mot de passe dans la zone Mot de passe et confirmez le mot de passe, puis cliquez sur Suivant.

  9. Dans la page Fichier à exporter, entrez un nom pour le fichier de certificat et enregistrez-le sur le bureau, puis cliquez sur Suivant.

  10. Dans la page Fin de l’Assistant Exportation du certificat, cliquez sur Terminer.

  11. Dans l’Assistant Importation de certificat, cliquez sur OK.

  12. Copiez le certificat sur tous les serveurs dont vous souhaitez être membres du cluster.

  13. Sur le serveur DirectAccess, cliquez sur Démarrer, tapez mmc, puis appuyez sur ENTRÉE. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  14. Dans la console MMC, dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

  15. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur Certificats, sur Ajouter, sur Compte de l’ordinateur, sur Suivant, sur Terminer, puis sur OK.

  16. Dans le volet gauche de la console, accédez à Certificats (ordinateur local)\Personnel\Certificats. Cliquez avec le bouton droit sur le nœud Certificats, pointez sur Toutes les tâches, puis cliquez sur Importer.

  17. Dans la page Bienvenue de l'Assistant Importation de certificat, cliquez sur Suivant.

  18. À la page Fichier à importer, cliquez sur Parcourir pour localiser le certificat. Sélectionnez le certificat, puis cliquez sur Suivant.

  19. Dans la page Protection des clés privées, dans la zone Mot de passe, tapez le mot de passe, puis cliquez sur Suivant.

  20. Dans la page Magasin de certificats, cliquez sur Suivant.

  21. Dans la page Fin de l’Assistant Importation du certificat, cliquez sur Terminer.

  22. Dans l’Assistant Importation de certificat, cliquez sur OK.

  23. Répétez les étapes 13-22 sur tous les serveurs dont vous souhaitez être membres de cluster.

3.4 Installer le certificat de serveur Emplacement réseau

L'appartenance au groupe local Administrateurs, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour installer un certificat pour l’emplacement réseau

  1. Sur le serveur Accès distant, cliquez sur Démarrer, tapez mmc, puis appuyez sur ENTRÉE. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Cliquez sur Fichier, puis sur Ajouter ou supprimer des composants logiciels enfichables.

  3. Cliquez sur Certificats, cliquez sur Ajouter, cliquez sur Compte d’ordinateur, cliquez sur Suivant, cliquez sur Ordinateur local, cliquez sur Terminer, puis cliquez sur OK.

  4. Dans l'arborescence de la console du composant logiciel enfichable Certificats, ouvrez Certificats (ordinateur local)\Personnel\Certificats.

  5. Cliquez avec le bouton droit sur Certificats, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.

  6. Cliquez deux fois sur Suivant.

  7. Dans la page Demander des certificats, cliquez sur le serveur Web de votre modèle de certificat, puis cliquez L'inscription pour obtenir ce certificat nécessite des informations supplémentaires.

    Si le modèle de certificat de serveur web n’apparaît pas, vérifiez que le compte d’ordinateur du serveur d’accès à distance dispose des autorisations d’inscription pour le modèle de certificat de serveur Web. Pour plus d’informations, consultez Configurer des autorisations sur le modèle de certificat de serveur web.

  8. Sous l'onglet Objet de la boîte de dialogue Propriétés du certificat, dans Nom du sujet, pour Type, sélectionnez Nom commun.

  9. Dans Valeur, tapez le nom de domaine complet (FQDN) pour le nom intranet du site web de serveur Emplacement réseau (par exemple, nls.corp.contoso.com), puis cliquez sur Ajouter.

  10. Cliquez sur OK, sur Inscrire, puis sur Terminer.

  11. Dans le volet d'informations du composant logiciel enfichable Certificats, vérifiez qu'un nouveau certificat avec le nom de domaine complet a été inscrit avec Rôles prévus égal à Authentification du serveur.

  12. Cliquez avec le bouton droit sur le certificat, puis cliquez sur Propriétés.

  13. Dans Nom convivial, tapez Certificat Emplacement réseau, puis cliquez sur OK.

    Conseil

    Les étapes 12 et 13 sont facultatives, mais facilitent la sélection du certificat pour l’emplacement réseau lors de la configuration de l’accès à distance.

  14. Répétez cette procédure sur tous les serveurs que vous souhaitez être membres du cluster.

3.5 Ajouter des serveurs au cluster

Pour ajouter des serveurs au cluster

  1. Sur le serveur DirectAccess configuré, cliquez sur Démarrer, puis sur Gestion de l’accès à distance. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Dans la Console de gestion de l'accès à distance, cliquez sur Configuration. Dans le volet Tâches, sous Cluster à charge équilibrée, cliquez sur Ajouter ou supprimer des serveurs.

  3. Dans la boîte de dialogue Ajouter ou supprimer des serveurs, cliquez sur Ajouter un serveur.

  4. Dans la boîte de dialogue Ajouter un serveur, à la page Sélectionner un serveur, entrez le nom du serveur d’accès à distance supplémentaire, puis cliquez sur Suivant.

  5. À la page Adaptateurs réseau, effectuez l'une des opérations suivantes :

    • Si vous déployez une topologie avec deux cartes réseau, dans Carte externe, sélectionnez la carte connectée au réseau externe. Dans Carte interne, sélectionnez la carte connectée au réseau interne.

    • Si vous déployez une topologie avec un adaptateur réseau, dans Adaptateur réseau, sélectionnez l’adaptateur connecté au réseau interne.

  6. Dans la page Adaptateurs réseau, dans Sélectionner le certificat utilisé pour authentifier les connexions IP-HTTPS, cliquez sur Parcourir pour localiser et sélectionnez le certificat IP-HTTPS, puis cliquez sur Suivant.

  7. Dans la page Serveur d’emplacement réseau, cliquez sur Parcourir pour sélectionner le certificat du site web du serveur d’emplacement réseau en cours d’exécution sur le serveur d’accès à distance, puis cliquez sur Suivant.

    Notes

    La page Serveur d’emplacement réseau s’affiche uniquement lorsque le site web du serveur d’emplacement réseau s’exécute sur le serveur d’accès à distance.

    Notes

    Si LE VPN a également été configuré sur le serveur d’accès à distance, vous êtes invité à ajouter les informations du pool d’adresses IP VPN à ce stade.

  8. Dans la page Résumé, cliquez sur Ajouter.

  9. Sur la page Fin, cliquez sur Fermer.

  10. Répétez cette procédure pour tous les serveurs d’accès à distance à ajouter au cluster.

  11. Dans la boîte de dialogue Ajouter ou supprimer des serveurs, cliquez sur Valider.

  12. Dans la boîte de dialogue Ajout et suppression de serveurs, cliquez sur Fermer.

Windows PowerShellCommandes Windows PowerShell équivalentes

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.

Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

Notes

Si le VPN n’a pas été activé dans un cluster à charge équilibrée, vous ne devez fournir aucune plage d’adresses VPN lors de l’ajout d’un nouveau serveur au cluster à l’aide des applets de commande Windows PowerShell. Si vous l’avez fait par erreur, supprimez le serveur du cluster et ajoutez-le à nouveau au cluster sans spécifier les plages d’adresses VPN.

3.6 Supprimer un serveur du cluster

Pour supprimer un serveur du cluster

  1. Sur le serveur Accès distant configuré, cliquez sur Démarrer, puis sur Gestion de l’accès à distance. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Dans la Console de gestion de l'accès à distance, cliquez sur Configuration. Dans le volet Tâches, sous Cluster à charge équilibrée, cliquez sur Ajouter ou supprimer des serveurs.

  3. Dans la boîte de dialogue Ajouter ou supprimer des serveurs, sélectionnez le serveur d’accès à distance que vous souhaitez supprimer, puis cliquez sur Supprimer le serveur.

  4. Dans la boîte de dialogue Supprimer l’avertissement du serveur, assurez-vous que vous avez choisi le serveur approprié, puis cliquez sur OK.

  5. Répétez cette procédure pour tous les serveurs d’accès à distance à supprimer du cluster.

  6. Dans la boîte de dialogue Ajouter ou supprimer des serveurs, cliquez sur Valider.

  7. Dans la boîte de dialogue Ajout et suppression de serveurs, cliquez sur Fermer.

Windows PowerShellCommandes Windows PowerShell équivalentes

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.

Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

3.7 Désactiver l'équilibrage de charge

Effectuer cette étape à l’aide de Windows PowerShell

Désactiver l'équilibrage de charge

  1. Sur le serveur DirectAccess configuré, cliquez sur Démarrer, puis sur Gestion de l’accès à distance. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis cliquez sur Oui.

  2. Dans la Console de gestion de l'accès à distance, cliquez sur Configuration. Dans le volet Tâches, sous Cluster à charge équilibrée, cliquez sur Désactiver l’équilibrage de charge.

  3. Dans la boîte de dialogue Désactiver l’équilibrage de charge, cliquez sur Ok.

  4. Dans la boîte de dialogue Désactiver l’équilibrage de charge, cliquez sur Fermer.

Windows PowerShellCommandes Windows PowerShell équivalentes

L'applet ou les applets de commande Windows PowerShell suivantes remplissent la même fonction que la procédure précédente. Entrez chaque applet de commande sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes ici en raison de contraintes de mise en forme.

set-RemoteAccessLoadBalancer -disable

La désactivation de l’équilibrage de charge supprime les paramètres d’accès à distance et d’équilibrage de la charge réseau (s’ils sont configurés) de tous les serveurs, à l’exception du serveur à partir duquel il est exécuté. Sur ce serveur d’accès à distance, les paramètres d’équilibrage de la charge réseau seront supprimés (s’ils ont été configurés), mais les paramètres d’accès à distance resteront.

Cliquez sur Supprimer les paramètres de configuration pour supprimer l’accès à distance et l’équilibrage de la charge réseau (s’ils sont configurés) de tous les serveurs du déploiement.

Notes

  • Si l’accès à distance est désinstallé lors du déploiement de l’équilibrage de charge, tous les serveurs sont laissés avec des DIP. Les adresses IP virtuelles sont supprimées. Cela entraîne l’échec de tous les itinéraires du réseau d’entreprise ciblant les adresses IP virtuelles. Cela affecte également les entrées DNS qui ont été résolues en adresses IP virtuelles, telles que le nom d’objet du certificat du serveur d’emplacement réseau. Pour éviter ce problème, désactivez l’équilibrage de charge, qui laisse les adresses IP virtuelles sur le dernier serveur d’accès à distance, puis désinstallez l’accès à distance.
  • Après avoir utilisé l’applet de commande Set-RemoteAccessLoadBalancer pour désactiver l’équilibrage de charge, attendez 2 minutes avant d’exécuter toute autre applet de commande. Cela doit également être effectué dans tous les scripts qui exécutent une autre applet de commande après l’applet de commande Set-RemoteAccessLoadBalancer -disable .
  • La désactivation de l’équilibrage de charge transforme l’adresse IP virtuelle du cluster en une adresse IP dédiée. Par conséquent, toute opération qui interroge le nom du serveur échoue jusqu’à ce que l’entrée DNS mise en cache sur le serveur expire. Veillez à ne pas exécuter d’applets de commande PowerShell d’accès à distance après avoir désactivé l’équilibrage de charge tant que le cache sur le serveur n’a pas expiré. Ce problème est plus courant si vous essayez de désactiver l’équilibrage de charge sur un ordinateur à partir d’un autre ordinateur qui se trouve dans un autre domaine. Cela se produit également si vous désactivez l’équilibrage de charge à partir de la console Gestion de l’accès à distance et que vous pouvez empêcher le chargement de la configuration. La configuration se charge une fois que le cache a expiré ou a été vidé.