Microsoft Lync Server
Header

Windows Server 2012: DirectAccess en un clúster con Windows NLB

diciembre 23rd, 2013 | Posted by Santiago Buitrago in Windows Server

​Cuando implementamos un nuevo servicios en nuestra empresa o cliente, siempre debemos tener la posibilidad implementarlo en Alta Disponibilidad. DirectAccess es un servicio de acceso remoto que permite estar permanentemente conectado de forma segura a nuestra organización, y con la llegada de Windows Server 2012 se ha simplificado su implementación. Los requisitos en cuanto al direccionamiento IP Público es mejor que con Windows Server 2008, por lo que se ha vuelto un servicio muy demandado por las empresas. De ahí que necesitemos configurarlo en Alta Disponibilidad …

Esquema DirectAccess_en_HA_1.jpg
En un primer artículo (Windows Server 2012: DirectAccess (Actualizado 15-02-2013)) había explicado como configurar DirectAccess con un único servidor, por lo que esto no lo volveré a comentar en este artículo. Partiendo de la base de que ya tenemos uno de los servidores de DirectAccess funcionando, estos son los pasos que debemos dar para configurar un segundo serrvidor de DirectAccess y posteriormente configurar el equilibro de carga con Windows NLB:
  1. Crear un certificado con la plantilla de Servidor Web para el servidor de ubicación de red (debemos importarlo en todos los servidores del clúster)
  2. Creamos un registro DNS con el nombre del certificado asignado al primer servidor del clúster NLB
  3. Si utilizamos máquinas virtuales en Hyper-V debemos habilitar la suplantación de dirección MAC en todos los servidores del clúster NLB
  4. Instalamos el ROL de Equilibrio de carga de red en los servidores del cluster (un máximo de 8 nodos)
  5. Instalamos el ROL de Acceso Remoto en el segundo servidor para configurar DirectAccess (pero no lo configuramos)
  6. Configuramos el Equilibrio de carga en el primer servidor de DirectAccess
  7. Añadimos el segundo servidor de DirectAccess (sin configurar) al Clúster de Equilibrio de carga
  8. Comprobación del funcionamiento del Clúster de Equilibrio de Carga

Pues teniendo claro estos puntos, vamos a empezar paso a paso a configurar el clúster de equilibrio de carga para DirectAccess pero antes os muestros lo datos de configuración IP de ambos servidores:

SRV-DA00

  • Interface LAN: 192.168.250.96 /24
  • Interface WAN: 172.16.0.3 /27
SRV-DA01
  • Interface LAN: 192.168.250.92 /24
  • Interface WAN: 172.16.0.5 /27

Ahora ya podemos empezar con la configuración del clúster de equilibrio de carga para DirectAccess, lo haremos punto a punto para no equivocarnos:

  1. Crear un certificado con la plantilla de Servidor Web para el servidor de ubicación de red (debemos importarlo en todos los servidores del clúster)

Debemos solicitar un certificado para el servicio de ubicación de red, con la plantilla del Servidor Web y de tal forma que podamos exportarlo con su clave privada para importarlo en todos los servidores del clúster. Para solicitar un certificado a nuestra CA  podemos hacerlo de varias formas, pero yo lo haré desde la consola de Certificados de Equipo Local (Inicio – Ejecutar – certlm.msc) y nos vamos al contenedor Personal – Certificados, pulsamos con el botón secundario del ratón y vamos a Todas las tareas Solicitar un nuevo certificado

DirectAccess_HA_20_20.png

Pulsamos en Siguiente

DirectAccess_HA_20_21.png

En el listado de certificados de equipo disponibles tenemos la plantilla de Servidor Web y pulsamos en Se necesita más información para inscribir este certificado. Haga clic aqui para configurar los valores
DirectAccess_HA_20_22.png

Seleccionamos la opción de Nombre común en la opción Nombre de sujeto, escribimos el FQDN para el certificado y pulsamos en Agregar

DirectAccess_HA_20_23.png

En la pestaña Clave privada debemos habilitar la casilla Hacer exportable la clave privada (lo que nos permitirá exportarlo con la clave privada e importarlo en el resto de servidores)

DirectAccess_HA_20_24.png

Una vez que hemos completado los datos necesarios en la solicitud del certificado, únicamente debemos completar la solicitud y si todo ha ido bien ya tenemos nuestro certificados instalado en el primer servidor de DirectAccessDirectAccess_HA_20_25.png
Ahora debemos asignar este certificado en el servidor de ubicación de red en la consola de administración de DirectAccess, pulsamos en editar en el paso 3DirectAccess_HA_20_10.png
Pulsamos en examinar para seleccionar el certificado que hemos solicitado previamenteDirectAccess_HA_20_11.png

DirectAccess_HA_20_12.png

Una vez que lo hemos seleccionamos nos podemos encontrar con el siguiente error, esto es porque existe un proceso de verificación del certificado en cuanto al nombre del mismo y debe resolverlo vía DNS.
DirectAccess_HA_20_13.png

Como previdamente no hemos creado ( o sí, yo no lo he creado para poder mostrar este error) el registro DNS (Tipo A o CNAME) en el sevidor DNS interno, por lo que debemos crear un registro DNS con el FQDN del sujeto del certificado (en mi caso: directaccess.asirsl.com) y la IP debe corresponderse con la del servidor de DirectAccess. Una vez que tengamos esto creado, volvemos a inciar el proceso de asignación del nuevo certificado al servidor DirectAccess y debería dejarnos continuar con la configuración y pulsamos en siguienteDirectAccess_HA_20_14.png

Por defecto el FQDN del certificado se agrega como sufijo de nombre  sin servidor DNS preferido, de tal forma que el equipo intentará resolver el nombre con sus propios DNS y sin el tunel IPSec de DirectAccess conectado. Pensad que este servicio de descubrimiento de servidor de ubicación de red se utilizar para saber si estamos dentro o fuera de la red corporativa y que nuestro equipo trate de conectarse, pulsamos en siguienteDirectAccess_HA_20_15.png

Pulsamos en Siguiente
DirectAccess_HA_20_16.png

Pulsamos en ulsamos en Finalizar

DirectAccess_HA_20_17.png

Y por últimos debemos pulsar en finalizar para publicar los cambios en las GPO correspondientesDirectAccess_HA_20_18.png

Pulsamos en Aplicar para finalizar el proceso
DirectAccess_HA_20_19.png

Si tenéis usuarios conectados vía DirectAccess tendrán que recibir la actualización de las directivas antes de poder volver a conectarse, tenerlo en cuenta antes de modificar la configuración. Ahora debemos exportar el certficado que hemos solicitado con el numbre nombre en este primer servidor de DirectAccess e importarlo en el almacén de certificados de equipo del otro servidor de DirectAccess. El proceso de importación es muy sencillo, pero igualmente voy a poner las capturas de pantalla (sin comentarios)

DirectAccess_HA_19.png

DirectAccess_HA_20.png

DirectAccess_HA_21.png

 

DirectAccess_HA_22.png
 
DirectAccess_HA_23.png
DirectAccess_HA_24.png
DirectAccess_HA_25.png
DirectAccess_HA_26.png
 
Además de este certificado, debemos tener importado también en todos los nodos del clúster el certificado utiizado para el IP-HTTPS y asignado a la interface pública. Por lo que debemos exportar el certificado (este certificado puede ser de una CA Pública) del servidor de DirectAccess que ya tenemos configurado e importarlo en el resto de servidores de DirectAccess antes de configurar el clúster

2. Creamos un registro DNS con el nombre del certificado asignado al primer servidor del clúster NLB

Esto es un paso muy sencillo, únicamente debemos ir al servidor DNS interno, abrir la consola de administración del servidor DNS y crear un registro Tipo A con los siguientes datos:

DirectAccess_HA_29.png

Esto es necesario para no encontrarnos con el error anterior de asignación del certificado de servidor de ubicación de red.

3. Si utilizamos máquinas virtuales en Hyper-V debemos habilitar la suplantación de dirección MAC en todos los servidores del clúster NLB

Esto debemos configurarlo para no tener problemas con el NLB y las direcciones MAC reales de las máquinas virtuales y cada interface de red.

DirectAccess_en_HA_1.png

4. Instalamos el ROL de Equilibrio de carga de red en los servidores del cluster (un máximo de 8 nodos)

Una vez que hemos habilitado la suplantación de dirección MAC en cada servidor de DirectAccess que formarán parte del clúster de Equilibrio de carga de red, debemos instalar justarmente esta esta característica de Equilibrio de carga en cada servidor. Para ello vamos a la consola de Administrador del Servidor Administrar Agregar Roles y Características y pulsamos en siguiente

DirectAccess_HA_10.png

Elegimos la  primera oción: Instalación basada en características o en roles y pulsamos en siguiente

DirectAccess_HA_11.png

Elegimos el servidor sobre el cual queremos agregar esta nueva característica y pulsamos en siguiente
DirectAccess_HA_12.png

DirectAccess_HA_13.png

En la sección de características seleccionamos Equilibrio de carga de red
DirectAccess_HA_14.png 

Pulsamos en Agregar características

DirectAccess_HA_15.png

Pulsamos en Siguiente

DirectAccess_HA_16.png

Pulsamos en Instalar

DirectAccess_HA_17.png

Una vez que finalice la instalación de la nueva características, pulsamos en Cerrar

DirectAccess_HA_18.png

Nota: Este mismo proceso debemos hacerlo en el resto de servidores que formarán parte del clúster

5. Instalamos el ROL de Acceso Remoto en el segundo servidor para configurar DirectAccess (pero no lo configuramos)

En el segundo servidor en el cual vamos a configurar el Acceso Remoto para configurar DirectAccess, debemos configurar el ROl de Acceso Remoto pero esto podéis verlo en este artículo: Windows Server 2012: DirectAccess (Actualizado 15-02-2013)

6. Configuramos el Configuramos el Equilibrio de carga en el primer servidor de DirectAccess

Hasta el momento tenemos dos servidores con el Rol de Acceso Remoto, pero solo uno configurado con DirectAccess. Ambos servidores los hemos unido al dominio y tienen el nuevo certificado instalado localmente. Esto lo vamos a necesitar porque el servicio de ubicación de red es algo común para todos los servidores de DirectAccess del clúster, y cuando alguno de ellos no esté disponible el otro debe tenerlo disponible para que los equipos puedan conectarse. También hemos configurado un registro DNS con el FQDN que hemos especificado en nombre común del certificado apuntando a la IP del servidor que ahora mismo tiene el DirectAccess configurado, y podemos comprobar que todo está correctamente configurado desde la consola de DirectAccess:

DirectAccess_HA_20_50.png
 
Además los dos servidores (máximo 8) que estarán en nuestro clúster tienen los siguientes direccionamientos IP:
 
SRV-DA00
  • Interface LAN: 192.168.250.96 /24
  • Interface WAN: 172.16.0.3 /27
SRV-DA01
  • Interface LAN: 192.168.250.92 /24
  • Interface WAN: 172.16.0.5 /27

Con todo esto configurado, debemos empezar la configuración del equilibrio de carga desde la consola de administración de DirectAccess y se iniciará un asistente que nos facilitará la configuración, pulsamos en siguiente

DirectAccess_HA_20_26.png

Como nuestra configuración la haremos basándonos en NLB de Windows, debemos elegir la primera opción: Usar el equilibrio de carga de red de Windows (NLB) y pulsamos en siguiente

DirectAccess_HA_20_27.png

Debemos especificar las direcciones IP dedicadas para el adaptador externo, debe ser una IP diferente  pero de la misma subred que la interface externa (IP actual 172.16.0.3) y que configurará a posteriori como la IP principal del servidor. Y la IP actual (172.16.0.3) se convertirá en la VIP (IP Virtual) asignada al clúster, por lo que la IP que escribiremos aquí será la IP que tendrá el servidor cuando se complete la configuración del NLB, pulsamos en siguiente

DirectAccess_HA_20_28.png

Y aquí lo mismo pero para la interface LAN, la IP que colocaremos aquí será la DIP que se asingará como principal en la red LAN del servidor, y la IP actual será la VIP del NLB, pulsamoe en siguiente

DirectAccess_HA_20_29.png
 
Ahora nos muestra un resumen de la configuración y pulsamos en Confirmar para completar la configuración
DirectAccess_HA_20_30.png
DirectAccess_HA_20_31.png

Sí todo se completa correctamente, se actualizarán las distintas GPO y NLB

DirectAccess_HA_20_32.png

Pulsamos en Cerrar
DirectAccess_HA_20_33.png

7. Añadimos el segundo servidor de DirectAccess (sin configurar) al Clúster de Equilibrio de carga

Debemos darle tiempo suficiente para que se complete la configuación (5 min debería ser suficiente) y una vez se haya completado la configuración, debemos agregar un servidor al clúster. Para ello abrimos la consola de administración de acceso remoto, pulsamos en Configuración  y en las opciones de las Tareas en la parte de la derecha pulsamos en Agregar o quitar servidores
DirectAccess_HA_20_34.png

 

Nos muestra el único servidor que tenemos en el clúster, así que pulsamos en Agregar servidor …

DirectAccess_HA_20_35.png

Escribiemos el nombre del servidor que queremos agregar (SRV-DA01.ASIRSL.COM en nuestro caso) y pulsamos en siguiente
DirectAccess_HA_20_36.png

Ahora nos muestra las interfaces que tiene conectadas el servidor y el certificado que utilizará para presentar a los clientes (debe ser el mismo en todos los servidores, yo lo he importado previamente), pulsamos en Siguiente

DirectAccess_HA_20_37.png

Seleccionamos el certificado que utilizaremos para el servidor de ubicación de red, y tiene que ser el mismo en todos los servidores. Este certificado es el que previamente hemos solicitado, configurado, exportar e importado en nuestros servidores de DirectAccess y pulsamos en siguiente
DirectAccess_HA_20_38.png
Nos muestra el resumen de la configuración realizada y si está todo correcto pulsamos en agregar
DirectAccess_HA_20_39.png
Pulsamos en cerrar
DirectAccess_HA_20_40.png
Ahora ya tenemos dos servidores en nuestro clúster de carga equilibrada, pulsamos en Confirmar para finalizar la configuración
DirectAccess_HA_20_41.png
 
Ahora actualizará de forma automática la configuración de DirectAccess y las políticas de cliente y servidor
DirectAccess_HA_20_43.png
En el visor de eventos podemos ver como se ha configurado el clúster NLB y nos informa del servidor activo
DirectAccess_HA_20_49.png

Y sí nos vamos al servidor de virtualización, podemos ver la configuración de las direcciones MAC una vez que hemos configurado nuestro clúster NLB

DirectAccess_en_HA_3.png

En cuestión de minutos podemos ver que el clúster está funcionando correctamente y cada uno de los nodos activos y sin errores
DirectAccess_HA_20_52.png

8. Comprobación del funcionamiento del Clúster de Equilibrio de Carga

Ahora podemos y debemos realizar ciertas tareas para verificar que todo está correcto, como hemos configurado NLB en los servidores tenemos la consola de  Administración de Equilibrio de carga de red
DirectAccess_HA_30.png
DirectAccess_HA_31.png
 
Si queremos realizar cualquier adaptación del clúster podemos hacerlo desde esta consola, por si en algún momento tenemos que modificar algúna dirección IP o comportamiento del NLB. Si accedemos a las propiedades del clúster de la red interna o externa podemos verificar los datos configurados:
DirectAccess_HA_33.png
 
Sí ahora desconectamos uno de los dos servidores, el otro se hará cargo de la conexiones de los clientes DirectAccess. En este caso he apagado el servidor SRV-DA00 (principal) y los clientes se han conectado al SRV-DA01
DirectAccess_HA_20_51.png
 
Como vemos en ocho pasos tenemos un clúster de NLB configurado para DirectAccess, sencillo y muy estable.
 

Espero que os sea de utilidad!!!

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *