Déployer l’accès à distance dans un cluster
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Windows Server 2016 et Windows Server 2012 associent DirectAccess et le VPN du service d’accès à distance (RAS) dans le rôle Accès à distance. L’accès à distance peut être déployé dans plusieurs scénarios d’entreprise. Cette présentation fournit une introduction au scénario d’entreprise correspondant au déploiement de plusieurs serveurs d’accès à distance dans un cluster à charge équilibrée à l’aide de l’équilibrage de charge réseau (NLB) Windows ou d’un équilibrage de charge externe, tel que F5 Big-IP.
Description du scénario
Un déploiement de cluster rassemble plusieurs serveurs d’accès à distance en une unité individuelle, qui agit alors comme un point de contact unique pour les ordinateurs clients distants qui se connectent via DirectAccess ou un réseau VPN au réseau d’entreprise interne à l’aide de l’adresse IP virtuelle (VIP) externe du cluster d’accès à distance. La charge du trafic sur le cluster est équilibrée à l’aide de l’équilibrage de la charge réseau (NLB) ou d’un équilibrage de charge externe (tel que, F5 Big-IP).
Prérequis
Avant de déployer ce scénario, prenez connaissance des conditions requises suivantes qui ont leur importance :
Équilibrage de charge par défaut via l’équilibrage de la charge réseau (NLB) Windows.
Les équilibrages de charge externes sont pris en charge.
Monodiffusion est le mode par défaut et celui recommandé pour l’équilibrage de la charge réseau (NLB).
La modification des stratégies en dehors de la console de gestion DirectAccess ou des applets de commande PowerShell n’est pas prise en charge.
Lorsque l’équilibrage de charge réseau ou un équilibrage de charge externe est utilisé, le préfixe IPHTTPS ne peut être remplacé que par /59.
Les nœuds à charge équilibrée doivent être dans le même sous-réseau IPv4.
Dans les déploiements ELB, si la gestion de sortie est nécessaire, les clients DirectAccess ne peuvent pas utiliser Teredo. Seul IPHTTPS est utilisable pour la communication de bout en bout.
Vérifiez que tous les correctifs logiciels d’équilibrage de charge réseau/externe connus sont installés.
Le protocole ISATAP n'est pas pris en charge sur le réseau d'entreprise. Si vous utilisez le protocole ISATAP, vous devez le supprimer et utiliser le protocole IPv6 natif.
Dans ce scénario
Ce scénario de déploiement de cluster inclut plusieurs étapes :
Déployez un serveur VPN Always On avec des options avancées. Vous devez déployer un serveur d’accès à distance unique à l’aide de paramètres avancés avant de configurer un déploiement de cluster.
Planifier un déploiement de cluster d’accès à distance. La création d’un cluster à partir d’un déploiement sur un seul serveur requiert un nombre d’étapes supplémentaires, y compris la préparation de certificats pour le déploiement de cluster.
Configurer un cluster d’accès à distance. Il s’agit d’un certain nombre d’étapes de configuration, comprenant la préparation du serveur unique pour l’équilibrage de charge réseau Windows ou l’équilibrage de charge externe, la préparation de serveurs supplémentaires à rejoindre le cluster et l’activation de l’équilibrage de charge.
Cas pratiques
Le regroupement de plusieurs serveurs en un cluster de serveurs fournit les avantages suivants :
Scalabilité. Un serveur d’accès à distance unique offre un niveau limité de fiabilité serveur et d’évolutivité des performances. En regroupant les ressources de deux serveurs ou plus dans un cluster individuel, vous augmentez la capacité en termes de débit et de nombre d’utilisateurs.
Haute disponibilité : Un cluster fournit une haute disponibilité pour un accès toujours actif. Si un serveur du cluster échoue, les utilisateurs distants peuvent continuer à accéder au réseau d’entreprise via un autre serveur du cluster. Tous les serveurs du cluster possèdent le même jeu d’adresses IP virtuelles (VIP) de cluster, tout en maintenant une adresse IP dédiée unique pour chaque serveur.
Facilité de gestion. Un cluster permet de gérer plusieurs serveurs comme une entité individuelle. Des paramètres partagés peuvent aisément être définis entre les serveurs du cluster. Les paramètres d’accès à distance peuvent être gérés à partir de n’importe quel serveur du cluster, ou à distance à l’aide des Outils d’administration de serveur distant (RSAT). De plus, le cluster entier peut être analysé à partir d’une console de gestion de l’accès à distance unique.
Fonctionnalités et rôles inclus dans ce scénario
Le tableau suivant répertorie les fonctionnalités et rôles requis pour ce scénario :
Rôle/fonctionnalité | Prise en charge de ce scénario |
---|---|
Rôle Accès à distance | Ce rôle est installé et désinstallé à l’aide de la console du Gestionnaire de serveur. Il englobe à la fois DirectAccess, qui était auparavant une fonctionnalité de Windows Server 2008 R2, et le service de routage et d’accès distant (RRAS) qui était auparavant un service de rôle sous le rôle de serveur Services de stratégie et d’accès réseau. Le rôle Accès à distance est constitué de deux composants : - VPN Always On et services de routage et d’accès distant (RRAS) VPN-DirectAccess et le réseau privé virtuel sont gérés ensemble dans la console de gestion de l’accès à distance. Les dépendances sont les suivantes : Serveur Web des services Internet (IIS) : cette fonctionnalité est requise pour configurer le serveur Emplacement réseau et la sonde Web par défaut. |
Fonctionnalité des outils de gestion de l’accès à distance | Cette fonctionnalité est installée comme suit : - Elle est installée par défaut sur un serveur d’accès à distance quand le rôle Accès à distance est installé, et prend en charge l’interface utilisateur de la console de gestion de l’accès à distance. La fonctionnalité des outils de gestion de l’accès à distance est constituée des éléments suivants : - Interface utilisateur graphique de l’accès à distance et outils en ligne de commande Les dépendances incluent : - Console de gestion des stratégies de groupe |
Équilibrage de charge réseau | Cette fonctionnalité assure l’équilibrage de charge dans un cluster utilisant l’équilibrage de charge réseau Windows. |
Configuration matérielle requise
La configuration matérielle requise pour ce scénario comprend les éléments suivants :
Au moins deux ordinateurs présentant la configuration matérielle requise pour Windows Server 2012.
Pour le scénario d’équilibrage de charge externe, un matériel dédié est nécessaire (par exemple, F5 BigIP).
Pour tester le scénario, vous devez avoir au moins un ordinateur exécutant Windows 10 configuré en tant que client VPN Always On.
Configuration logicielle requise
Plusieurs conditions sont requises pour ce scénario :
Configuration logicielle requise pour un déploiement sur un seul serveur. Pour plus d’informations, consultez Déployer un serveur DirectAccess avec des paramètres avancés. Un accès à distance unique).
Outre la configuration logicielle requise pour un serveur unique, des conditions spécifiques au cluster s’appliquent :
Sur chaque serveur en cluster, le nom d’objet du certificat IP-HTTPS doit correspondre à l’adresse ConnectTo. Un déploiement de cluster prend en charge une combinaison de certificats génériques et non génériques sur les serveurs du cluster.
Si le serveur Emplacement réseau est installé sur le serveur d’accès à distance, sur chaque serveur en cluster, le certificat du serveur Emplacement réseau doit avoir le même nom d’objet. En outre, le certificat du serveur Emplacement réseau ne doit pas avoir le même nom qu’un des serveurs du déploiement DirectAccess.
Les certificats de serveur Emplacement réseau et IP-HTTPS doivent être émis à l’aide de la même méthode que celle qui a permis d’émettre le certificat du serveur individuel. Par exemple, si le serveur individuel utilise une autorité de certification publique, tous les serveurs du cluster doivent avoir un certificat émis par une autorité de certification publique. Ou, si le serveur individuel utilise un certificat auto-signé pour IP-HTTPS, tous les serveurs du cluster doivent faire de même.
Le préfixe IPv6 attribué aux ordinateurs clients DirectAccess sur les clusters de serveurs doit comporter 59 bits. Si VPN est activé, le préfixe VPN doit comporter également 59 bits.
Problèmes connus
Les problèmes décrits ci-après sont connus et surviennent souvent lors de la configuration d’un scénario de cluster :
Après avoir configuré DirectAccess dans un déploiement IPv4 uniquement avec une seule carte réseau et après avoir configuré automatiquement le DNS64 par défaut (l’adresse IPv6 qui contient « : 3333:: ») sur la carte réseau, la tentative d’activation de l’équilibrage de charge via la console Gestion de l’accès à distance entraîne l’affichage d’une invite demandant à l’utilisateur de fournir une adresse IPv6 DIP. Si une adresse IPv6 DIP est fournie, la configuration échoue après avoir cliqué sur Valider avec l’erreur : Le paramètre est incorrect.
Pour résoudre ce problème :
Téléchargez la sauvegarde et restaurez les scripts à partir de Sauvegarder et restaurer la configuration de l’accès à distance.
Sauvegarder vos objets de stratégie de groupe à l’aide du script téléchargé Backup-RemoteAccess.ps1
Essayez d’activer l’équilibrage de charge jusqu’à l’étape ayant provoqué l’échec. Dans la boîte de dialogue Activer l’équilibrage de charge, développez la zone des détails, cliquez avec le bouton droit dans cette dernière et cliquez sur Copier le script.
Ouvrez le bloc-notes et collez le contenu du Presse-papiers. Par exemple :
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0','fdc4:29bd:abde:3333::2/128') -InternetVirtualIPAddress @('fdc4:29bd:abde:3333::1/128', '10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose
Fermez les boîtes de dialogue Accès à distance ouvertes et fermez la console de gestion de l’accès à distance.
Modifiez le texte collé et supprimez les adresses IPv6. Par exemple :
Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress @('10.244.4.19 /255.255.255.0') -InternetVirtualIPAddress @('10.244.4.21 /255.255.255.0') -ComputerName 'DA1.domain1.corp.contoso.com' -Verbose
Dans une fenêtre PowerShell avec élévation de privilèges, exécutez la commande à partir de l’étape précédente.
Si l’applet de commande échoue pendant son exécution (pas en raison de valeurs d’entrée incorrectes), exécutez la commande Restore-RemoteAccess.ps1 et suivez les instructions pour vous assurer que l’intégrité de la configuration d’origine est maintenue.
Vous pouvez désormais ouvrir de nouveau la console de gestion de l’accès à distance.