Erzielen von hochverfügbarem DirectAccess (HA DA) mit Windows Server 2012

DirectAccess (DA) ist in einigen Szenarien eine der besten Technologien von Microsoft für den Remotezugriff. DA wurde mit Windows Server 2008 R2 und den Forefront Unified Access Gateway (UAG) -Produkten eingeführt. DA ist eine IPV6-basierte Technologie, mit der Remote-Worker-Computer "immer im Netzwerk" zu sein scheinen, selbst wenn Benutzer in Unternehmensnetzwerken und im Internet ein- und ausgehen.

Hochverfügbarkeit (High Availability, HA) beschreibt den Geschäftsbedarf für kontinuierlich verfügbare Dienste, die nicht für einen einzelnen Fehlerpunkt anfällig sind. HA DA (Highly Available DirectAccess) ist jetzt viel einfacher zu erreichen als in früheren Versionen von DA. Window Server 2012 hat eine aktualisierte Version von DA veröffentlicht, die native NLB-Unterstützung (Windows Network Load Balancing) enthält, die vergleichsweise viel einfacher einzurichten und in Betrieb zu nehmen ist.

In diesem Artikel besteht das Ziel darin, zwei virtuelle Windows Server 2012-Maschinen (VMs) in einer hochverfügbaren (HA) DA-Serverkonfiguration bereitzustellen. Wir möchten die DA-Computer ausgleichen und Redundanz und Failover ermöglichen, um einen HA DA-Dienst für Remotebenutzer zu erreichen. Wir möchten auch das "One NIC" -Modell von Windows Server 2012 DA verwenden und den Lastausgleich der DA-Computer auf einer virtuellen IP (VIP) durchführen.

Bereitstellen der DA-Rolle und der NLB-Funktion auf mehreren Computern

Erstellen Sie nach der Bereitstellung von zwei Windows Server 2012-VMs und dem Beitritt zur Domäne eine Servergruppe im Windows 2012 Server-Manager auf dem ersten DA-Computer mit dem Namen "DA-Servergruppe" und fügen Sie der Gruppe den zweiten DA-Computer hinzu. Dies erleichtert in Zukunft die Verwaltung beider DA-Computer. Durch Aktivieren der Leistungsindikatoren auf jedem Computer wird der Verwaltbarkeitsstatus in Online geändert (siehe Abbildung A) .

Eine Windows Server 2012-Servergruppe erleichtert die Verwaltung mehrerer Server, auf denen dieselbe Rolle ausgeführt wird.

Die DA-Serverrolle muss jedem Computer einzeln hinzugefügt werden. Leider erlaubt der Server-Manager bei der Installation von Rollen keine Mehrfachauswahl! Gehen Sie folgendermaßen vor, um den beiden DA-Computern die DA-Serverrolle und die NLB-Funktion hinzuzufügen:

  1. Klicken Sie im Server-Manager mit der rechten Maustaste auf den Servernamen und wählen Sie Rollen und Funktionen hinzufügen .
  2. Wählen Sie diese Option, um eine rollenbasierte Installation auf dem ersten Server in der Gruppe durchzuführen, und klicken Sie auf Weiter.
  3. Klicken Sie auf der Seite Serverrollen auswählen auf RAS und dann auf Funktionen hinzufügen (beachten Sie, dass auch die IIS-Webserverrolle installiert ist).
  4. Wählen Sie die zu installierende Funktion zum Netzwerklastenausgleich aus und klicken Sie dann auf Weiter, um die RAS-Rollendienste zu konfigurieren.
  5. Wählen Sie unter Rollendienste DirectAccess und VPN (RAS) aus und klicken Sie auf Weiter.
  6. Klicken Sie auf Weiter, um die Webserverrolle (IIS) zu konfigurieren, wählen Sie keine zusätzlichen zu installierenden Funktionen aus und klicken Sie dann auf Weiter
  7. Klicken Sie auf Installieren und warten Sie, bis die RAS-Rolle auf dem ersten DA-Computer installiert ist.
  8. Wenn die Installation auf dem ersten DA-Computer abgeschlossen ist, klicken Sie auf Schließen.
  9. Wiederholt die Schritte 1 bis 8 für den zweiten DA-Computer.
  10. Stellen Sie ein Domänen-Webzertifikat in IIS an den ersten DA-Computer im DNS-Namen aus, den Sie für das DA-IP-HTTPS-Zertifikat verwenden. Exportieren Sie das Zertifikat mit privatem Schlüssel und importieren Sie dasselbe Zertifikat auf den zweiten DA-Computer.

Installieren Sie DA auf beiden Computern und konfigurieren Sie den ersten DA-Computer

Nach der Installation der DA-Rolle auf den beiden Computern zeigt der Server-Manager im oberen Menüband ein Warnzeichen an. Durch Klicken auf das Warnflag werden die in Abbildung B gezeigten Details angezeigt. Dies sind Erinnerungen mit Aktionslinks, um die Konfiguration nach der Bereitstellung auf beiden Computern abzuschließen.

Abbildung B.

Der Server-Manager erinnert Sie mit einem Warnsymbol daran, wenn Schritte nach der Konfiguration erforderlich sind.

Wenn Sie im Server-Manager für den ersten DA-Computer auf den Link Assistent zum Starten des Assistenten klicken, wird der Assistent zum Konfigurieren des Remotezugriffs gestartet. Führen Sie die folgenden Schritte aus, um den Assistenten zur Unterstützung von DA abzuschließen:

1. Wählen Sie auf der Seite Remotezugriff konfigurieren, Erste Schritte, Willkommen beim Remotezugriff die Option Nur DirectAccess bereitstellen aus . 2. Wählen Sie auf der Seite DirectAccess- und VPN-Einstellungen konfigurieren die Option Hinter einem Edge-Gerät (mit einem einzelnen Netzwerkadapter) aus, und geben Sie den öffentlichen Namen ein, den DA-Clients für die Verbindung verwenden. Dies ist der Name des IP-HTTPS-Zertifikats, z. B. edge1. techrepublic.com wie in Abbildung C gezeigt .

Auswahl der DA-Servertopologie und des IP-HTTPS-Zertifikatsnamens.

3. Der Assistent ist danach bereit, DA mit Standardeinstellungen bereitzustellen. Sie möchten jedoch die Einstellungen überprüfen und Änderungen vornehmen, bevor Sie sie anwenden.

ein. Wie in Abbildung D dargestellt, möchten Sie die AD-Sicherheitsgruppe (Active Directory) überprüfen, mit der der DA-Assistent ein neues Gruppenrichtlinienobjekt (GPO) verknüpfen soll.

Abbildung D.

Überprüfen Sie die Standard-Sicherheitsgruppenzuweisung für das DirectAccess-Gruppenrichtlinienobjekt.

b. In einer großen Domäne möchten Sie die Standard-Sicherheitsgruppe der Active Directory-Domäne (AD) in eine Gruppe mit eingeschränktem Bereich ändern. Der Standardwert sind mobile Computer in der Sicherheitsgruppe Domänencomputer.

c. Außerdem möchten Sie in den Details zu Remoteclients möglicherweise einen anderen internen Netzwerkkonnektivitätstest angeben.

d. In den Details des RAS-Servers müssen Sie die IP-HTTPS-Zertifikateinstellungen ändern, um das Domänen -Webzertifikat zu verwenden, das Sie auf jedem DA-Computer abgelegt haben.

4. Klicken Sie auf Fertig stellen, wenn Sie die DA-Bereitstellungseinstellungen überprüft haben. Der DA-Erste-Schritte-Assistent wendet die Einstellungen an und meldet den Bericht. Drücken Sie dann auf Schließen.

In Windows Server 2012 ist die RAS-Verwaltungskonsole mit integriertem DirectAccess-Verwaltungsbereich völlig neu. Abbildung E zeigt die Integritätsindikatoren der vielen DA-Konnektivitätsdienste. Auf diese Weise können Sie leicht erkennen, was nicht funktioniert, und jedes Problem einzeln beheben.

Abbildung E.

Windows Server 2012-RAS-Verwaltungskonsole mit DA-Betriebsstatus.

Aktivieren Sie den Lastausgleich

Wenn es sich bei den DA-Computern um Windows Hyper-V-Gast-VMs handelt und Sie eine native Windows-NLB verwenden, müssen Sie jede VM herunterfahren und auf der virtuellen Netzwerkkarte jeder VM-Konfiguration die Einstellung Spoofing von MAC-Adressen aktivieren auswählen. Nach Überprüfung dieser Einstellung und Einschalten der VMs; Öffnen Sie auf dem ersten DA-Computer die RAS-Verwaltungskonsole vom Startbildschirm aus.
  1. Wählen Sie den Namen des DA-Computers in der linken Spalte aus und klicken Sie dann auf die Aufgabe Load Balanced Cluster -> Enable Load Balancing .
  2. Wählen Sie die Option zum Verwenden des Windows-Netzwerklastenausgleichs (NLB) aus und klicken Sie auf Weiter.
  3. Geben Sie eine IPV4- und IPV6-Adresse ein, die für die dedizierten IP-Adressen verwendet werden soll, die als virtuelle IP-Adressen (VIPs) für den NLB-Cluster verwendet werden.
    • Die frühere primäre IP des ersten DA-Computers wird zum VIP des DA HA-Clusters.
    • Die angegebene dedizierte IP (DIP) wird zur primären IP des ersten DA-Computers.
  4. Befolgen Sie die Schritte unter diesem Link, um die NLB-Installation abzuschließen: http://technet.microsoft.com/en-us/library/hh831830.aspx
  5. Warten Sie einige Minuten und fügen Sie dann den zweiten DA-Server zum Array hinzu.
  6. Wählen Sie den Load Balanced Cluster in der RAS-Verwaltungskonsole aus und klicken Sie auf die Aufgabe Server hinzufügen oder entfernen .
  7. Klicken Sie auf Hinzufügen, dann auf Server auswählen und geben Sie den Namen des zweiten DA-Computers ein. Klicken Sie auf Weiter.
  8. Zeigen Sie im Bildschirm Netzwerkadapter das Domänen-Webzertifikat für IP-HTTPS-Verbindungen an und klicken Sie auf Weiter.
  9. Wählen Sie, um ein selbstsigniertes NLS-Zertifikat zu verwenden, klicken Sie auf Hinzufügen, dann auf Schließen und dann auf Festschreiben.
Nach einigen Augenblicken werden beide DA-Server in der Liste Load Balanced Cluster der Remote Access Management Console mit einem fehlerfreien Konfigurationsstatus angezeigt (siehe Abbildung F) . Die Möglichkeit, beide Knoten des DA-Arrays vom ersten Knoten an zu erstellen und zu konfigurieren, war eine große Zeitersparnis. Die einzige Möglichkeit, sich am zweiten DA-Computer anzumelden, bestand darin, das vom ersten DA-Computer exportierte IP-HTTPS-Webzertifikat zu kopieren und zu installieren.

Abbildung F.

Die Bereitstellung des HA DA-Arrays mit zwei Knoten wurde abgeschlossen und funktioniert ordnungsgemäß.

© Copyright 2020 | mobilegn.com