Архитектура, развертывание и эксплуатация прямого доступа (часть 2)

Опубликовано: 21 Марта, 2023

Введение

В предыдущей статье в этой колонке вы читали о планировании прямого доступа, нового решения Майкрософт «отовсюду». Мы рассмотрели первоначальный организационный план, который должен быть составлен до начала любой технической работы, предварительные условия для решения и различные режимы доступа, доступные в Direct Access. В этой статье мы подробно рассмотрим планирование емкости, чтобы точно определить размер развертывания и начать процесс развертывания.

Как мы подчеркивали в предыдущих статьях, Direct Access — чрезвычайно мощное решение, но оно должно быть соответствующего размера и развертываться поэтапно. Многие организации развертывают Direct Access «бок о бок» с традиционным решением VPN и постепенно отказываются от своего старого «устаревшего» решения по мере того, как пользовательская база лучше знакомится с новой технологией.

Планирование размеров и мощностей

Многим организациям сложно разобраться с масштабированием; парадигма немного изменилась, и обоснование поддержки дополнительных соединений может быть затруднено. В «устаревшем» развертывании VPN существовала концепция одновременного лицензирования и определения размера пользователей. Обоснование заключалось в том, что при развертывании, скажем, 1000 мобильных пользователей, возможно, 150 или 200 могут быть подключены одновременно. Возможно, концентрация будет выше в непиковое время (например, в выходные дни) или в ненастную погоду, не позволяющую пользователям приходить в свои местные офисы, особенно в географически сконцентрированных компаниях, имеющих только один или два офиса. Поставщики сетевых VPN будут выдавать лицензию, скажем, для 250 одновременных пользователей с некоторыми ограничениями на основе исключений для таких типов чрезвычайных ситуаций.

Благодаря прямому доступу парадигма VPN изменилась, и мышление необходимо соответствующим образом обновить. В организации с той же 1000 мобильных пользователей эти устройства потенциально могут использовать туннель прямого доступа независимо от того, где они находятся и независимо от того, в какое время они подключены. Даже если они не «используют» решение для активного установления удаленных подключений, возможность получения клиентом обновлений безопасности, антивирусных определений и т. д. гарантирует фоновое использование корпоративной сети. Кроме того, если решение настроено в режиме «полного туннеля», весь интернет-трафик будет проходить через прямой доступ, что может потребовать дополнительных ресурсов. Мы рассмотрим полную конфигурацию туннеля более подробно в следующей статье. Убедитесь, что у вас есть надежный вариант использования, когда вы запрашиваете дополнительное оборудование и программное обеспечение для поддержки вашей пользовательской базы. Поскольку лицензирование Direct Access является подмножеством лицензирования Windows Client и Server, существует потенциальная экономия затрат на лицензирование и затраты на управление оборудованием, которые в настоящее время расходуются на «устаревшее» решение VPN после завершения развертывания Direct Access.

Факторы, которые следует учитывать при определении размера развертывания

Основные факторы, которые следует учитывать при выборе соответствующего размера нового развертывания, следующие:

  • Доступность: требуется ли 100% время безотказной работы для всей среды?
  • Пиковый доступ: какова пиковая нагрузка на сетевую среду? Измеряли ли вы сетевой трафик и количество одновременных и общих подключений? Измеряли ли вы тенденции сетевого трафика, чтобы определить, когда и где наблюдается пик трафика в текущем развертывании VPN-решения?
  • Производительность. Насколько важна производительность для взаимодействия с пользователем? Пользователи запускают многие приложения удаленно; с прямым доступом ожидается, что опыт будет аналогичен между удаленным подключением и подключением к корпоративной сети. Рассмотрите приложения с интенсивным использованием полосы пропускания, такие как программы САПР, которые извлекают большие файлы данных из серверной среды. Это особенно важно при принудительной передаче всего IP-трафика через туннель прямого доступа.

По умолчанию сервер прямого доступа будет поддерживать 256 одновременных клиентов Teredo (см. предыдущую статью для освежения знаний о Teredo по сравнению с собственным IPv6) клиентов для прямого доступа. Это число можно увеличить или уменьшить, используя команду netsh interface ipv6 set global Neighborclient= X из командной строки. Остерегайтесь случайного угадывания этого числа; перенасыщение одной роли сервера прямого доступа может вызвать проблемы с производительностью, которые сделают многие функции удаленного доступа непригодными для использования всей клиентской базой. Обычная тактика при оценке развертывания заключается в том, чтобы понять, сколько серверов доступно для выделения для прямого доступа, и выделить отдельные роли серверов, необходимые для решения. Роли сервера, назначенные во время работы мастера установки, включают:

  • Шлюз IP-безопасности (IPsec).
  • Интернет-протокол через сервер защищенного протокола передачи гипертекста (IP-HTTPS).
  • Собственный маршрутизатор интернет-протокола версии 6 (IPv6).
  • Маршрутизатор протокола внутрисайтовой автоматической туннельной рекламы (ISATAP).
  • Реле IP 6to4.
  • Сервер Teredo и реле.

Примером того, где это может быть эффективно, является использование одного сервера в качестве шлюза IPSec для шифрования и дешифрования трафика, возможно, с использованием большего количества ядер ЦП и/или установленной карты ускорителя разгрузки SSL.

Дальнейшее масштабирование сервера может быть достигнуто с помощью Microsoft Forefront Unified Access Gateway (UAG) с балансировкой сетевой нагрузки. Хотя это может потребоваться не для каждого развертывания, это заслуживает внимания, особенно если ваша организация владеет шлюзом Unified Access Gateway в комплекте Enterprise Client Access License Suite. UAG предоставляет три ключевых элемента функциональности, которые могут повлиять на размер Direct Access для вашей среды:

  • Доступ к ресурсам IPv4. Если в вашей среде есть устройства, не поддерживающие IPv6, UAG позволит вам перейти с IPv6 на IPv4. Если у вас нет собственной серверной среды Windows Server 2008 R2, это, вероятно, является обязательным требованием.
  • Масштабируемость. UAG интегрируется с балансировкой сетевой нагрузки (NLB) в Windows, что позволяет масштабироваться до гораздо большего числа клиентов. Хотя Microsoft не опубликовала конкретные цифры относительно масштабируемости, UAG может быть привлекательным, если вы поддерживаете более 10 000 клиентов.
  • Управление. В дополнение к консоли UAG также имеется пакет управления для System Center Operations Manager (SCOM), если вы используете System Center в своей среде.

Оставайтесь с нами для получения дополнительной информации об интеграции UAG в ваше развертывание Direct Access в будущей статье.

Еще один метод планирования емкости, используемый при развертывании с прямым доступом, — использование отказоустойчивых кластеров Hyper-V — двух (или более) узлов Hyper-V с отказоустойчивым кластером, которые могут поддерживать один «ресурс» прямого доступа. Это позволяет виртуализировать среду прямого доступа, но имеет некоторые собственные требования: например, аппаратное обеспечение должно быть одинаковым на каждом сервере Hyper-V. Учтите это, если у вас сильно виртуализированная среда или вам не хватает физической аппаратной мощности — все роли прямого доступа полностью поддерживаются в среде Hyper-V.

Microsoft опубликовала блог с подробным описанием некоторых факторов, которые следует учитывать при развертывании прямого доступа в среде Hyper-V. Подробности можно прочитать здесь.

Начало развертывания

Теперь, когда у вас есть четкое представление о вашей стратегии удаленного доступа, ознакомлены с предварительными условиями и установлено необходимое количество серверов с установленной на них Windows Server 2008 R2 SP1, мы готовы приступить к развертыванию решения на выбранной вами ОС Windows. 7 корпоративных клиентов с пакетом обновления 1 (SP1), находящихся в «пилотной» или тестовой группе.

Одним из первых решений, которые необходимо принять во время развертывания, является выбор того, какой из методов доступа наиболее подходит для вашей организации:

  • Полный доступ к внутренней сети.
  • Выбранный доступ к серверу.
  • Сквозной доступ.

Многие организации начинают со стратегии «Выбранный доступ к серверу», когда определенные ресурсы публикуются и доступны через прямой доступ, продвигаясь к стратегии сквозного доступа или потенциально полной интрасети, в зависимости от ваших требований и того, как это согласуется с стратегия удаленного доступа. Для целей этой серии статей мы будем следовать этой стратегии.

Подготовьте сервер прямого доступа

Подготовка сервера перед настройкой параметров прямого доступа может быть сложной; к счастью, Microsoft предоставляет исчерпывающий набор «контрольных списков», которые мы будем использовать в этой серии статей. Вы можете просмотреть эти контрольные списки здесь. Необходимые первые шаги включают в себя:

  • Установка двух сетевых адаптеров и настройка IP-адресации, проверка актуальности драйверов и т. д. (Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменить параметры адаптера)
  • Убедитесь, что внутренний интерфейс является ресурсом с адресацией IPv4. (Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменить параметры адаптера)
  • Присоедините сервер прямого доступа к домену.
  • Подключите второй адаптер к Интернету.
  • Убедитесь, что фильтрация пакетов правильно настроена на внешнем интерфейсе. Подробную информацию можно найти здесь
  • Установите SSL-сертификат для проверки подлинности IP-HTTPS и сервера сетевого расположения. (Пуск -> Выполнить ->certsrv.msc)

В средстве диспетчера серверов (Пуск -> Выполнить -> servermanager.msc) в разделе «Сводка функций» нажмите «Добавить функции». На странице «Выбор функций» выберите «Консоль управления прямым доступом». В окне «Мастер добавления компонентов» нажмите «Добавить необходимые компоненты» и завершите процесс установки. Теперь у вас есть консоль управления прямым доступом, используемая для управления и настройки подключения для прямого доступа в вашем развертывании.

Резюме

Оценка размера и планирование развертывания имеют решающее значение для обеспечения того, чтобы не было чрезмерных инвестиций в серверные ресурсы. Понимание различных ролей сервера и начало с требований и методов доступа, необходимых для успешного использования прямого доступа в вашей среде, имеет решающее значение для успешной работы.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023