Uppnå högt tillgängliga DirectAccess (HA DA) med Windows Server 2012

DirectAccess (DA) är en av Microsofts bästa tekniker för fjärråtkomst i vissa scenarier. DA introducerades med Window Server 2008 R2 och de främre Unified Access Gateway-produkterna (UAG). DA är en IPV6-baserad teknik som möjliggör för datorer för fjärrarbetare verkar vara "alltid på" nätverket, även när användare strövar in och ut från företagens nätverk och Internet.

Hög tillgänglighet (HA) beskriver affärsbehovet för kontinuerligt tillgängliga tjänster som inte är sårbara för en enda fel. HA DA (Highly Available DirectAccess) är nu mycket lättare att uppnå än i tidigare versioner av DA. Window Server 2012 släppte en uppdaterad version av DA som inkluderar inbyggt Windows-nätverksbelastningsbalanseringsstöd (NLB) -stöd som är relativt mycket enklare att konfigurera och komma igång.

I den här artikeln är målet att distribuera två virtuella Windows Server 2012-maskiner (VM) i en mycket tillgänglig (HA) DA-serverkonfiguration. Vi vill ladda-balansera DA-datorerna och möjliggöra redundans och fail-over för att uppnå HA DA-tjänst för fjärranvändare. Vi vill också använda "en NIC" -modellen för Windows Server 2012 DA och lastbalansera DA-datorerna på en virtuell IP (VIP).

Distribuera DA-rollen och NLB-funktionen på flera datorer

Efter att ha distribuerat två Windows Server 2012 VM och anslutit dem till domänen, skapa en Server Group i Windows 2012 Server Manager på den första DA-datorn med namnet "DA Server Group" och lägg till den andra DA-datorn till gruppen. Detta kommer att underlätta hanteringen av båda DA-datorerna i framtiden. Att aktivera prestandaträknarna på varje dator ändrar hanterbarhetsstatusen till Online, som visas i figur A.

En Windows Server 2012 Server Group underlättar administrationen av flera servrar som kör samma roll.

DA-serverrollen måste läggas till varje dator en åt gången; Tyvärr tillåter Server Manager inte flerval när du installerar roller! Så här lägger du till DA-serverrollen och NLB-funktionen till de två DA-datorerna:

  1. Högerklicka på servernamnet i Serverhanteraren och välj Lägg till roller och funktioner .
  2. Välj för att utföra en rollbaserad installation till den första servern i gruppen och klicka på Nästa.
  3. På sidan Välj serverroller klickar du på Fjärråtkomst och sedan på Lägg till funktioner (observera att IIS-webbserverrollen är installerad).
  4. Välj också funktionen Nätverksbelastningsbalansering som du vill installera och klicka sedan på Nästa för att konfigurera rolltjänster för fjärråtkomst.
  5. På Role Services väljer du DirectAccess och VPN (RAS) och klickar sedan på Nästa.
  6. Klicka på Nästa för att konfigurera webbserverrollen (IIS), välj inga ytterligare funktioner att installera och klicka sedan på Nästa
  7. Klicka på Installera och vänta tills fjärråtkomstrollen är installerad på den första DA-datorn.
  8. När installationen är klar på den första DA-datorn klickar du på Stäng.
  9. Upprepar steg 1 till 8 för den andra DA-datorn.
  10. Ge ut ett domänwebcertifikat i IIS till den första DA-datorn i det DNS-namn du använder för DA IP-HTTPS-certifikatet. Exportera certifikatet med privat nyckel och importera samma certifikat till den andra DA-datorn.

Installera DA på båda datorerna och konfigurera den första DA-datorn

Efter att ha installerat DA-rollen på de två datorerna kommer Server Manager att visa ett varningsskylt i det övre bandet. Om du klickar på varningsflaggan visas detaljerna som visas i figur B, som är påminnelser med åtgärdslänkar för att slutföra konfiguration efter installationen på båda datorerna.

Figur B

Serverhanteraren påminner dig om en varningsikon när steg för konfiguration behövs.

Klicka på länken Öppna guiden Komma igång i Serverhanteraren för den första DA-datorn startar guiden Konfigurera fjärråtkomst Komma igång. Här är stegen för att slutföra guiden för att stödja DA:

1. På guiden Konfigurera fjärråtkomst, Komma igång, Välkommen till sidan Fjärråtkomst, välj bara Distribuera DirectAccess . 2. På sidan Konfigurera DirectAccess och VPN-inställningar, välj bakom en kantenhet (med en enda nätverksadapter) och skriv sedan det offentliga namnet som används av DA-klienter för att ansluta, detta är IP-HTTPS-certifikatnamnet, till exempel edge1. techrepublic.com som visas i figur C.

Välja DA-servertopologi och IP-HTTPS-certifikatnamn.

3. Guiden kommer att vara klar efter det att distribuera DA med standardinställningar - men du vill granska inställningarna och göra ändringar innan du ansöker.

a. Som visas i figur D vill du granska säkerhetsgruppen Active Directory (AD) -domän som DA-guiden kommer att länka ett nytt domängruppspolicyobjekt (GPO).

Figur D

Verifiera standardtilldelningen för säkerhetsgrupp för DirectAccess GPO.

b. I en stor domän vill du ändra AD Directory-domänens säkerhetsgrupp som standard till en grupp med mer begränsat omfattning. Standard är mobila datorer i säkerhetsgruppen Domain Computers.

c. I informationen om fjärrkunder kan du också ange en annan intern nätverksanslutningssond.

d. I detaljerna för fjärråtkomstserver måste du ändra IP-HTTPS-certifikatsinställningarna för att använda domänwebcertifikatet du placerade på varje DA-dator.

4. Klicka på Slutför när du har verifierat DA-installationsinställningarna. Guiden för DA Komma igång kommer att tillämpa inställningar och rapporten är klar och tryck sedan på Stäng.

Helt nytt i Windows Server 2012 är Remote Access Management Console med en integrerad DirectAccess-ruta. Figur E visar hälsoindikatorerna för de många DA-anslutningstjänsterna. Detta gör det enkelt att upptäcka vad som inte fungerar och fixa varje problem en åt gången.

Figur E

Windows Server 2012 Remote Access Management Console visar DA Operations Status.

Aktivera lastbalansering

Om DA-datorerna är Windows Hyper-V-gäst-VM och du använder inbyggd Windows NLB, är det nödvändigt att stänga av varje VM och välja inställningen Aktivera förfalskning av MAC-adresser i den virtuella NIC för varje VM-konfiguration. Efter att ha verifierat denna inställning och startat VM: erna; på den första DA-datorn, öppna fjärråtkomsthanteringskonsolen från startskärmen.
  1. Välj DA-datornamn i den vänstra kolumnen och klicka sedan på Load Balanced Cluster -> Aktivera Load Balancing- uppgiften.
  2. Välj om du vill använda Windows Network Load Balancing (NLB) och klicka på Nästa.
  3. Ange en IPV4- och IPV6-adress som ska användas för de dedikerade IP-adresserna som kommer att användas som virtuella IP-adresser (VIP) för NLB-klustret.
    • Den tidigare primära IP för den första DA-datorn blir VIP för DA HA-klustret.
    • Den specificerade dedikerade IP (DIP) blir den primära IP för den första DA-datorn.
  4. Följ stegen på den här länken för att slutföra NLB-installationen: http://technet.microsoft.com/en-us/library/hh831830.aspx
  5. Vänta några minuter och fortsätt sedan att lägga till den andra DA-servern i matrisen.
  6. Välj Load Balanced Cluster i Remote Access Management Console och klicka på Lägg till eller ta bort servrar .
  7. Klicka på Lägg till, välj sedan server och ange namnet på den andra DA-datorn, klicka på Nästa.
  8. På skärmen Nätverkskort, se domänwebcertifikatet för IP-HTTPS-anslutningar och klicka på Nästa.
  9. Välj om du vill använda ett självsignerat NLS-certifikat, klicka på Lägg till, sedan Stäng och sedan Åta.
Efter några ögonblick visas båda DA-servrarna i Load Balanced Cluster-listan i Remote Access Management Console med en hälsosam konfigurationsstatus som visas i figur F. Möjligheten att bygga och konfigurera båda noderna i DA-arrayen från den första noden var en stor tidsbesparing. Det enda tillfället att logga in på den andra DA-datorn var att kopiera och installera IP-HTTPS webbcertifikat som exporterades från den första DA-datorn.

Figur F

HA DA-array-distribution med två noder har slutförts och fungerar korrekt.

© Copyright 2020 | mobilegn.com