Opnå meget tilgængelig DirectAccess (HA DA) med Windows Server 2012

DirectAccess (DA) er en af ​​Microsofts bedste teknologier til fjernadgang i nogle scenarier. DA blev introduceret med Window Server 2008 R2 og UAG-produkter (Forefront Unified Access Gateway). DA er en IPV6-baseret teknologi, der tillader fjernarbejdercomputere ser ud til at være "altid på" netværket, selv når brugere strejfer ind og ud af virksomhedsnetværk og Internettet.

Høj tilgængelighed (HA) beskriver forretningsbehovet for kontinuerligt tilgængelige tjenester, der ikke er sårbare over for et enkelt mislykkelsespunkt. HA DA (meget tilgængelig DirectAccess) er nu meget lettere at opnå end i tidligere versioner af DA. Window Server 2012 frigav en opdateret version af DA, der inkluderer indbygget Windows-netværksbelastningsbalanceringsstøtte (NLB), der er relativt meget enklere at konfigurere og komme i arbejde.

I denne artikel er målet at distribuere to Windows Server 2012-virtuelle maskiner (VM'er) i en meget tilgængelig (HA) DA-serverkonfiguration. Vi ønsker at indlæse DA-computere i balance og give mulighed for redundans og fail-over for at opnå HA DA-service for fjernbrugere. Vi vil også bruge den "én NIC" -model af Windows Server 2012 DA og belastningsbalancere DA-computere på en virtuel IP (VIP).

Implementering af DA-rollen og NLB-funktionen på flere computere

Efter at have installeret to Windows Server 2012 VM'er og sluttet dem til domænet, skal du oprette en servergruppe i Windows 2012 Server Manager på den første DA-computer med navnet "DA Server Group" og tilføje den anden DA-computer til gruppen. Dette vil gøre styring af begge DA-computere lettere i fremtiden. Aktivering af ydelsestællere på hver computer ændrer administrationsstatus til Online som vist i figur A.

En Windows Server 2012 Server Group gør administration af flere servere, der kører den samme rolle, lettere.

DA-serverrollen skal føjes til hver computer én ad gangen; Desværre tillader Server Manager ikke flere valg, når du installerer roller! Følg disse trin for at tilføje DA-serverrollen og NLB-funktionen til de to DA-computere:

  1. Højreklik på servernavnet i Server Manager og vælg Tilføj roller og funktioner .
  2. Vælg for at udføre en rollebaseret installation til den første server i gruppen og klik på Næste.
  3. På siden Vælg serverroller skal du klikke på Fjernadgang og derefter på Tilføj funktioner (bemærk, at IIS-webserverrollen også er installeret).
  4. Vælg funktionen Netværksbelastningsbalancering, som du også skal installere, og klik derefter på Næste for at konfigurere rolletjenester for fjernadgang.
  5. Vælg DirectAccess og VPN (RAS) på Role Services, og klik derefter på Næste.
  6. Klik på Næste for at konfigurere webserverrollen (IIS), vælg ingen yderligere funktioner, der skal installeres, og klik derefter på Næste
  7. Klik på Installer, og vent, indtil fjernadgangsrollen er installeret på den første DA-computer.
  8. Når installationen er afsluttet på den første DA-computer, skal du klikke på Luk.
  9. Gentager trin 1 til 8 for den anden DA-computer.
  10. Udsted et domænewebcertifikat i IIS til den første DA-computer i det DNS-navn, du vil bruge til DA IP-HTTPS-certifikatet. Eksporter certifikatet med privat nøgle, og importer det samme certifikat til den anden DA-computer.

Installer DA på begge computere, og konfigurer den første DA-computer

Efter installation af DA-rollen på de to computere vil Server Manager vise et advarselsskilt i det øverste bånd. Ved at klikke på advarselsflagget vises detaljerne, som det ses i figur B, som er påmindelser med handlingslink for at fuldføre konfigurationen efter installationen på begge computere.

Figur B

Server Manager minder dig om et advarselsikon, når der er behov for postkonfigurationstrin.

Klik på linket Åbn guiden Kom godt i gang i Serverhåndtering for den første DA-computer starter guiden Konfigurer adgang til komst i gang. Her er trinene til at afslutte guiden til støtte for DA:

1. På guiden Konfigurer fjernadgang, Kom godt i gang, Velkommen til siden Fjernadgang, skal du kun vælge Distribuere DirectAccess . 2. På siden Konfigurer DirectAccess og VPN-indstillinger skal du vælge Bag en kantenhed (med en enkelt netværkskort) og derefter skrive det offentlige navn, der bruges af DA-klienter til at oprette forbindelse. Dette er IP-HTTPS-certifikatnavnet, for eksempel kant1. techrepublic.com som vist i figur C.

Valg af DA-servertopologi og IP-HTTPS-certifikatnavn.

3. Guiden er derefter klar til at implementere DA med standardindstillinger - dog vil du gennemgå indstillingerne og foretage ændringer, før du anvender.

en. Som vist i figur D, ønsker du at gennemgå den Active Directory (AD) domænesikkerhedsgruppe, som DA-guiden er ved at sammenkæde et nyt domænegruppepolitisk objekt (GPO).

Figur D

Bekræft standardtildelingen for sikkerhedsgruppe til DirectAccess GPO.

b. I et stort domæne ønsker du at ændre standard Active Directory (AD) domænesikkerhedsgruppe til en gruppe med mere begrænset omfang. Standard er mobile computere i sikkerhedsgruppen Domain Computers.

c. I detaljerne om eksterne klienter kan du muligvis specificere en anden intern netværksforbindelse.

d. I detaljerne om fjernadgangsserver skal du ændre IP-HTTPS-certifikatindstillingerne for at bruge det domænewebcertifikat, du har placeret på hver DA-computer.

4. Klik på Udfør, når du har bekræftet DA-installationsindstillingerne. Guiden DA Kom godt i gang anvender indstillinger og rapporten er færdig, og tryk derefter på Luk.

Helt nyt i Windows Server 2012 er Remote Access Management Console med en integreret DirectAccess-administrationsrude. Figur E viser sundhedsindikatorerne for de mange DA-forbindelsestjenester. Dette gør det nemt at se, hvad der ikke fungerer, og løse hvert enkelt emne ad gangen.

Figur E

Windows Server 2012 Remote Access Management Console viser DA-driftsstatus.

Aktivér belastningsafbalancering

Hvis DA-computere er Windows Hyper-V-gæst VM'er, og du bruger indbygget Windows NLB, er det nødvendigt at lukke hver VM ned og vælge indstillingen Enable Spoofing Of MAC Addresses på den virtuelle NIC for hver VM-konfiguration. Efter at have verificeret denne indstilling og tændt VM'erne; på den første DA-computer skal du åbne Fjernadgangsstyringskonsollen fra startskærmen.
  1. Vælg DA-computernavnet i venstre kolonne, og klik derefter på Load Balanced Cluster -> Aktivér Load Balancing- opgaven.
  2. Vælg for at bruge Windows Network Load Balancing (NLB), og klik på Næste.
  3. Indtast en IPV4- og IPV6-adresse, der skal bruges til de dedikerede IP-adresser, der vil blive brugt som virtuelle IP-adresser (VIP'er) til NLB-klyngen.
    • Den tidligere primære IP for den første DA-computer bliver VIP af DA HA-klyngen.
    • Den specificerede dedikerede IP (DIP) bliver den primære IP for den første DA-computer.
  4. Følg trinnene på dette link for at gennemføre NLB-installationen: http://technet.microsoft.com/en-us/library/hh831830.aspx
  5. Vent et par minutter, fortsæt derefter med at tilføje den anden DA-server til matrixen.
  6. Vælg Load Balanced Cluster i Remote Access Management Console, og klik på Tilføj eller fjern servere .
  7. Klik på Tilføj, vælg derefter server, og indtast navnet på den anden DA-computer, klik på Næste.
  8. På skærmen Netværksadaptere skal du se domænewebcertifikatet for IP-HTTPS-forbindelser og klikke på Næste.
  9. Vælg at bruge et selvsigneret NLS-certifikat, klik på Tilføj, derefter Luk, og derefter Commit.
Efter nogle få øjeblikke vises begge DA-servere i listen Load Balanced Cluster i Remote Access Management Console med en sund konfigurationsstatus som vist i figur F. Evnen til at opbygge og konfigurere begge noder i DA-matrixen fra den første knude var en stor tidsbesparelse. Den eneste lejlighed til at logge på den anden DA-computer var at kopiere og installere IP-HTTPS-webcertifikatet, der blev eksporteret fra den første DA-computer.

Figur F

HA DA-array-installation med to noder afsluttet og fungerer korrekt.

© Copyright 2021 | pepebotifarra.com