Étape 3 Planifier un déploiement de cluster à charge équilibrée
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
L’étape suivante consiste à planifier la configuration de l’équilibrage de charge et le déploiement du cluster.
Tâche | Description |
---|---|
3.1 Planifier l’équilibrage de charge | Décidez d’utiliser l’équilibrage de charge réseau Windows (NLB) ou un équilibreur de charge externe (ELB). |
3.2 Planifier IP-HTTPS | Si aucun certificat auto-signé n’est utilisé, le serveur d’accès à distance a besoin d’un certificat SSL sur chaque serveur du cluster, afin d’authentifier les connexions IP-HTTPS. |
3.3 Planifier les connexions client VPN | Notez la configuration requise pour les connexions client VPN. |
3.4 Planifier le serveur Emplacement réseau | Si le site web du serveur d’emplacement réseau est hébergé sur le serveur d’accès à distance et qu’aucun certificat auto-signé n’est utilisé, vérifiez que chaque serveur du cluster dispose d’un certificat de serveur pour authentifier la connexion au site web. |
3.1 Planifier l’équilibrage de charge
L’accès à distance peut être déployé sur un serveur unique ou sur un cluster de serveurs d’accès à distance. Le trafic vers le cluster peut être équilibré en charge pour fournir une haute disponibilité et une scalabilité aux clients DirectAccess. Il existe deux options d’équilibrage de charge :
Windows NLB-Windows NLB est une fonctionnalité de serveur Windows. Pour l’utiliser, vous n’avez pas besoin de matériel supplémentaire, car tous les serveurs du cluster sont responsables de la gestion de la charge du trafic. L’équilibrage de charge réseau Windows prend en charge un maximum de huit serveurs dans un cluster d’accès à distance.
Équilibreur de charge externe- L’utilisation d’un équilibreur de charge externe nécessite du matériel externe pour gérer la charge du trafic entre les serveurs de cluster d’accès à distance. En outre, l’utilisation d’un équilibreur de charge externe prend en charge un maximum de 32 serveurs d’accès à distance dans un cluster. Voici quelques points à garder à l’esprit lors de la configuration de l’équilibrage de charge externe :
L’administrateur doit s’assurer que les adresses IP virtuelles configurées via l’Assistant d’équilibrage de charge de l’accès à distance sont utilisées sur les équilibreurs de charge externes (comme le système de gestion du trafic local F5 Big-Ip). Lorsque l’équilibrage de charge externe est activé, les adresses IP sur les interfaces externes et internes sont promues en adresses IP virtuelles et doivent être insérées sur les équilibreurs de charge. Cette opération est effectuée afin que l’administrateur n’ait pas à modifier l’entrée DNS pour le nom public du déploiement du cluster. En outre, les points de terminaison de tunnel IPsec sont dérivés des adresses IP du serveur. Si l’administrateur fournit des adresses IP virtuelles distinctes, le client ne pourra pas se connecter au serveur. Consultez l’exemple de configuration de DirectAccess avec l’équilibrage de charge externe dans 3.1.1 Exemple de configuration d’équilibrage de charge externe.
De nombreux équilibreurs de charge externes (y compris F5) ne prennent pas en charge l’équilibrage de charge de 6to4 et ISATAP. Si le serveur d’accès à distance est un routeur ISATAP, la fonction ISATAP doit être déplacée vers un autre ordinateur. En outre, lorsque la fonction ISATAP se trouve sur un autre ordinateur, les serveurs DirectAccess doivent avoir une connectivité IPv6 native avec le routeur ISATAP. Notez que cette connectivité doit être présente avant la configuration de DirectAccess.
Pour l’équilibrage de charge externe, si Teredo doit être utilisé, tous les serveurs d’accès à distance doivent avoir deux adresses IPv4 publiques consécutives en tant qu’adresses IP dédiées. Les adresses IP virtuelles du cluster doivent également avoir deux adresses IPv4 publiques consécutives. Cela n’est pas vrai pour l’équilibrage de charge réseau Windows, où seules les adresses IP virtuelles du cluster doivent avoir deux adresses IPv4 publiques consécutives. Si Teredo n’est pas utilisé, deux adresses IP consécutives ne sont pas requises.
L’administrateur peut passer de l’équilibrage de charge réseau Windows à l’équilibreur de charge externe et vice versa. Notez que l’administrateur ne peut pas passer de l’équilibreur de charge externe à l’équilibrage de charge réseau Windows s’il a plus de 8 serveurs dans le déploiement de l’équilibreur de charge externe.
3.1.1 Exemple de configuration d’équilibreur de charge externe
Cette section décrit les étapes de configuration de l’activation d’un équilibreur de charge externe sur un nouveau déploiement d’accès à distance. Lorsque vous utilisez un équilibreur de charge externe, le cluster d’accès à distance peut ressembler à la figure ci-dessous, où les serveurs d’accès à distance sont connectés au réseau d’entreprise via un équilibreur de charge sur le réseau interne, et à Internet via un équilibreur de charge connecté au réseau externe :
Informations sur la planification
Les adresses IP virtuelles externes (IP que le client utilisera pour se connecter à l’accès à distance) ont été déterminées comme étant 131.107.0.102, 131.107.0.103
Équilibreur de charge sur les adresses IP du réseau externe - 131.107.0.245 (Internet), 131.107.1.245
Le réseau de périmètre (également appelé zone démilitarisée et DMZ) se trouve entre l’équilibreur de charge sur le réseau externe et le serveur d’accès à distance.
Adresses IP du serveur d’accès à distance sur le réseau de périmètre - 131.107.1.102, 131.107.1.103
Adresses IP du serveur d’accès à distance sur le réseau ELB (c’est-à-dire entre le serveur d’accès à distance et l’équilibreur de charge sur le réseau interne) - 30.11.1.101, 2006:2005:11:1::101
Équilibreur de charge sur les adresses IP du réseau interne - 30.11.1.245 2006:2005:11:1::245 (ELB), 30.1.1.245 2006:2005:1:1::245 (Corpnet)
Les adresses IP internes (adresses IP utilisées pour la sonde web cliente et pour le serveur d’emplacement réseau, en cas d’installation sur les serveurs d’accès à distance) ont été déterminées comme étant 30.1.1.10, 2006:2005:1:1::10
Étapes
Configurez la carte réseau externe du serveur d’accès à distance (connecté au réseau de périmètre) avec les adresses 131.107.0.102, 131.107.0.103. Cette étape est nécessaire pour que la configuration DirectAccess détecte les bons points de terminaison de tunnel IPsec.
Configurez la carte réseau interne du serveur d’accès à distance (qui est connectée au réseau ELB) avec les adresses IP de la sonde web/du serveur d’emplacement réseau (30.1.1.10, 2006:2005:1:1::10). Cette étape est requise pour permettre aux clients d’accéder à l’adresse IP de la sonde web, de sorte que l’assistant de connectivité réseau indique correctement l’état de la connexion à DirectAccess. Cette étape autorise également l’accès au serveur d’emplacement réseau, s’il est configuré sur le serveur DirectAccess.
Notes
Assurez-vous que le contrôleur de domaine est accessible à partir du serveur d’accès à distance avec cette configuration.
Configurez un serveur unique DirectAccess sur le serveur d’accès à distance.
Activez l’équilibrage de charge externe dans la configuration de DirectAccess. Utilisez 131.107.1.102 comme adresse IP dédiée externe (DIP) (131.107.1.103 sera sélectionnée automatiquement) ; utilisez 30.11.1.101, 2006:2005:11:1::101 comme DIP internes.
Configurez les adresses IP virtuelles externes sur l’équilibreur de charge externe avec les adresses 131.107.0.102 et 131.107.0.103. Configurez également les adresses IP virtuelles internes sur l’équilibreur de charge externe avec les adresses 30.1.1.10 et 2006:2005:1:1::10.
Le serveur d’accès à distance sera maintenant configuré avec les adresses IP planifiées, et les adresses IP externes et internes du cluster seront configurées en fonction des adresses IP planifiées.
3.2 Planifier IP-HTTPS
Conditions requises pour les certificats : lors du déploiement du serveur d’accès à distance unique, vous avez choisi d’utiliser un certificat IP-HTTPS émis par une autorité de certification publique ou interne, ou un certificat auto-signé. Pour le déploiement du cluster, vous devez utiliser le même type de certificat sur chaque membre du cluster d’accès à distance. Autrement dit, si vous avez utilisé un certificat émis par une autorité de certification publique (recommandé), vous devez installer un certificat émis par une autorité de certification publique sur chaque membre du cluster. Le nom du sujet du nouveau certificat doit être identique au nom du sujet du certificat IP-HTTPS actuellement utilisé dans votre déploiement. Notez que si vous utilisez des certificats auto-signés, ceux-ci sont configurés automatiquement sur chaque serveur pendant le déploiement du cluster.
Exigences de préfixe : l’accès à distance permet l’équilibrage de charge du trafic SSL et du trafic DirectAccess. Pour équilibrer la charge de tout le trafic DirectAccess basé sur IPv6, l’accès à distance doit examiner le tunneling IPv4 pour toutes les technologies de transition. Étant donné que le trafic IP-HTTPS est chiffré, il n’est pas possible d’examiner le contenu du tunnel IPv4. Pour permettre l’équilibrage de charge du trafic IP-HTTPS, vous devez allouer un préfixe IPv6 suffisamment large afin qu’un préfixe IPv6 /64 différent puisse être attribué à chaque membre du cluster. Vous pouvez configurer un maximum de 32 serveurs dans un cluster à charge équilibrée. Par conséquent, vous devez spécifier un préfixe /59. Ce préfixe doit être routable vers l’adresse IPv6 interne du cluster d’accès à distance et est configuré dans l’Assistant Installation du serveur d’accès à distance.
Notes
Les exigences de préfixe sont pertinentes uniquement dans un réseau interne compatible IPv6 (IPv6 uniquement ou IPV4+IPv6). Dans un réseau d’entreprise IPv4 uniquement, le préfixe client est automatiquement configuré, et l’administrateur ne peut pas le modifier.
3.3 Planifier les connexions client VPN
Il existe un certain nombre de considérations pour les connexions de client VPN :
Le trafic client VPN ne peut pas être équilibré en charge si les adresses client VPN sont allouées à l’aide du protocole DHCP. Un pool d’adresses statiques est requis.
RRAS peut être activé sur un cluster à charge équilibrée qui a été déployé pour DirectAccess uniquement, à l’aide de l’option Activer VPN dans le volet Tâches de la console de gestion de l’accès à distance.
Toutes les modifications de VPN effectuées dans la console de gestion du routage et de l’accès à distance (rrasmgmt.msc) devront être répliquées manuellement sur tous les serveurs d’accès à distance du cluster.
Pour permettre l’équilibrage de charge du trafic client IPv6 VPN, vous devez spécifier un préfixe IPv6 59 bits.
3.4 Planifier le serveur Emplacement réseau
Si vous exécutez le site web du serveur d’emplacement réseau sur le serveur d’accès à distance unique, pendant le déploiement, vous avez choisi d’utiliser un certificat émis par une autorité de certification interne ou un certificat auto-signé. Notez les points suivants :
Chaque membre du cluster d’accès à distance doit disposer d’un certificat pour le serveur d’emplacement réseau qui correspond à l’entrée DNS pour le site web du serveur d’emplacement réseau.
Le certificat pour chaque serveur de cluster doit être émis de la même façon que le certificat sur le certificat de serveur d’emplacement réseau actuel du serveur d’accès à distance. Par exemple, si vous avez utilisé un certificat émis par une autorité de certification interne, vous devez installer un certificat émis par l’autorité de certification interne sur chaque membre du cluster.
Si vous avez utilisé un certificat auto-signé, un certificat auto-signé est configuré automatiquement pour chaque serveur pendant le déploiement du cluster.
Le nom de l’objet du certificat ne doit pas être identique au nom de l’un des serveurs dans le déploiement de l’accès à distance.