在叢集中部署遠端存取
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
Windows Server 2016 和 Windows Server 2012 會將 DirectAccess 和遠端存取服務 (RAS) VPN 結合為單一遠端存取角色。 您可以在許多企業案例中部署遠端存取。 本概觀介紹一種企業案例,也就是如何在透過 Windows 網路負載平衡 (NLB) 或外部負載平衡器 (ELB,如 F5 Big-IP) 技術,平均分攤工作量的叢集中安裝多個遠端存取伺服器。
案例描述
一種叢集部署方式,可以將多個遠端存取伺服器編列成一個單位,然後當作遠端用戶端電腦的單一連繫點,這樣就可以利用遠端存取叢集的外部虛擬 IP (VIP) 位址,經由 DirectAccess 或 VPN 連接內部網路。 叢集的流量會利用 Windows NLB 或外部負載平衡器 (如 F5 Big-IP) 平均分配。
必要條件
開始部署這個案例之前,請先檢閱這份重要需求清單:
預設透過 Windows NLB 的負載平衡。
支援的外部負載平衡器。
單點傳播模式是預設和建議使用的 NLB 模式。
不支援在 DirectAccess 管理主控台以外或使用 PowerShell Cmdlet 來變更原則。
使用 NLB 或外部負載平衡器時,就無法將 IPHTTPS 前置詞變更為 /59 以外的任何項目。
負載平衡節點必須在相同的 IPv4 子網路中。
在 ELB 部署中,如果需要向外管理,則 DirectAccess 用戶端無法使用 Teredo。 只有 IPHTTPS 可以用於端對端通訊。
請確定已安裝所有已知的 NLB/ELB hotfix。
不支援公司網路中的 ISATAP。 如果您使用 ISATAP,則應該將它移除,然後使用原生的 IPv6。
在這個案例中
叢集部署案例包含一些步驟:
使用進階選項部署 Always on VPN 伺服器。 設定叢集部署之前,必須先以進階設定部署一部遠端存取伺服器。
規劃遠端存取叢集部署。 —如果要將逐個部署的伺服器形成一個叢集,還必須進行幾個步驟,包括準備用於叢集部署的憑證。
設定遠端存取叢集。 這由數個設定步驟組成,包括準備 Windows NLB 或外部負載平衡器的單一伺服器、準備要加入叢集的其他伺服器,以及啟用負載平衡。
實際應用
將多個伺服器納入叢集中,可以提供以下優點:
延展性。 單一遠端存取伺服器提供的伺服器可靠性與延展效能的程度有限。 將兩部或更多伺服器編列成單一叢集後,您就可以有更多能力接納更多使用者以及提供更高的輸送量。
高可用性。 叢集可以提供想用就用,無須等候的服務。 如果叢集中有一部伺服器當機,遠端使用者可以透過叢集中的其他伺服器,繼續連接公司網路。 叢集中的所有伺服器都會設定相同的叢集虛擬 IP (VIP) 位址,而同時又能為每一部伺服器提供獨一無二、專用的 IP 位址。
容易管理。 叢集會以單一實體方式來管理多部伺服器。 共用的設定可以輕鬆設定到叢集中的每一部伺服器。 「遠端存取設定」可以從叢集的任何伺服器進行管理,或是利用遠端伺服器管理工具 (RSAT) 從遠端管理。 此外,整個叢集可以從單一「遠端存取管理」主控台進行監視。
這個案例包含的角色與功能
下表列出本案例必備的角色和功能:
| 角色/功能 | 如何支援本案例 |
|---|---|
| 遠端存取角色 | 這個角色是利用伺服器管理員主控台安裝和解除安裝。 它包含 DirectAccess (以前是 Windows Server 2008 R2 的功能)、 路由及遠端存取服務 (RRAS,以前是網路原則與存取服務 (NPAS) 伺服器角色底下的角色服務)。 遠端存取角色包含兩個元件: - AlwaysOn VPN 和路由和遠端存取服務 (RRAS) VPN-DirectAccess 和 VPN 會在遠端存取管理主控台中一起管理。 相依性如下所示: - 網際網路資訊服務 (IIS) 網頁伺服器:設定網路位置和預設 Web 探查時,需要這個功能。 |
| 遠端存取管理工具功能 | 這個功能的安裝方式如下: - 根據預設,安裝遠端存取角色時,會在遠端存取伺服器安裝這個功能,而且支援遠端管理主控台使用者介面。 遠端存取管理工具功能包含以下各項: - 遠端存取 GUI 和命令列工具 依存項目包括: - 群組原則管理主控台 |
| 網路負載平衡 | 這個功能利用 Windows NLB,提供叢集的負載平衡功能。 |
硬體需求
本案例需要的硬體如下所示:
至少兩部符合 Windows Server 2012 硬體需求的電腦。
在外部負載平衡器的案例中,需要專用的硬體 (例如 F5 BigIP)。
若要測試案例,您必須至少有一部執行 Windows 10 的電腦設定為 Always On VPN 用戶端。
軟體需求
本案例的一些需求:
部署單一伺服器時的軟體需求。 如需詳細資訊,請參閱使用進階設定部署單一 DirectAccess 伺服器。 單一遠端存取。
除單一伺服器的軟體需要之外,還有一些叢集相關需求:
在叢集中的每一部伺服器上,IP-HTTPS 憑證主體名稱必須和 ConnectTo 位址相符。 叢集部署支援在叢集伺服器上混合使用萬用字元和非萬用字元憑證。
如果網路位置伺服器安裝在遠端存取伺服器上,則在叢集中的每一部伺服器上,網路位置伺服器憑證必須要有相同的主體名稱。 此外,網路位置伺服器憑證的名稱不可以和 DirectAccess 部署中的任何伺服器名稱相同。
IP-HTTPS 和網路位置伺服器憑證必須利用相同的方法簽發,也就是每一部伺服器的憑證簽發方式必須相同。 例如,如果有一部伺服器使用公開憑證授權單位 (CA),則叢集的每一部伺服器都是獲得由公開 CA 簽發的憑證。 或者如果有一部伺服器使用自我簽署的 IP-HTTPS 憑證,則叢集中的所有伺服器都必須使用自我簽署的 IP-HTTPS 憑證。
指派給伺服器叢集 DirectAccess 用戶端電腦的 IPv6 首碼必須是 59 位元。 如果開通 VPN,則 VPN 首碼也必須設定成 59 位元。
已知問題
以下是設定叢集案例的已知問題:
在具有單一網路介面卡的純 IPv4 部署中設定 DirectAccess 之後,並且在預設 DNS64 (包含 ":3333::" 的 IPv6 位址) 自動於網路介面卡上設定之後,透過遠端存取管理主控台嘗試啟用負載平衡會導致提示使用者提供 IPv6 DIP。 如果提供 IPv6 DIP,設定會在按一下 [認可] 之後失敗,並發生錯誤:參數不正確。
若要解決此問題:
從備份和還原遠端存取設定下載備份和還原指令碼。
使用下載的指令碼 Backup-RemoteAccess.ps1 備份遠端存取 GPO
嘗試啟用負載平衡,直到它失敗所在的步驟。 在 [啟用負載平衡] 對話方塊中,展開詳細資料區域、在詳細資料區域以滑鼠右鍵按一下,然後按一下 [複製指令碼]。
開啟 [記事本],並貼上剪貼簿的內容。 例如:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose關閉任何開啟的 [遠端存取] 對話方塊,並關閉遠端存取管理主控台。
編輯貼上的文字,並移除 IPv6 位址。 例如:
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose在提升權限的 PowerShell 視窗中,執行前一步驟的命令。
如果 Cmdlet 執行時失敗 (並非因為不正確的輸入值所致),請執行命令 Restore-RemoteAccess.ps1 並遵循指示,以確定維護原始設定的完整性。
您現在可以重新開啟遠端存取管理主控台。