Innledning
I forrige artikkel i denne kolonnen, du leste om planlegging for Direct Access, den nye "hvor som helst tilgang 'løsning fra Microsoft. Vi dekket den opprinnelige organisasjonsplan som skal legges ut før du starter noen av det tekniske arbeidet, de forutsetninger for løsningen og de ulike tilgangsmåter som er tilgjengelige i Direct Access. I denne artikkelen vil vi gå i dybden på kapasitetsplanlegging til nøyaktig størrelse distribusjonen og begynner prosessen distribusjon.
Som vi har understreket i tidligere artikler, Direct Access er en ekstremt kraftig løsning, men må være riktig dimensjonert og utplassert i en steg-for-steg måte. Mange organisasjoner distribuerer Direct Access 'side om side "med en tradisjonell VPN-løsning og gradvis utfasing av sin eldre' arv 'løsning som brukerbasen blir mer kjent med den nye teknologien.
Dimensjonering og kapasitetsplanlegging
Dimensjonering er en vanskelig ting for mange organisasjoner å vikle hodet rundt; paradigmet har flyttet mye, og gjør begrunnelsen for å støtte flere tilkoblinger kan være vanskelig. I en "arv" VPN utplassering, var det et konsept av samtidige bruker lisensiering og dimensjonering. Tanken var at i en utplassering av for eksempel 1000 mobile brukere kanskje 150 eller 200 kan være koblet på en gang. Kanskje det ville være høyere konsentrasjoner under off-peak ganger (f.eks .: i helgen) eller under dårlig vær hindre brukere fra å komme inn i deres lokale kontor, spesielt i geografisk konsentrerte selskaper med bare én eller to kontorer. Network VPN-leverandører vil utstede en lisens, sier, for 250 samtidige brukere med enkelte unntak baserte overages for disse typer krisesituasjoner.
Med Direct Access, har VPN paradigmet skiftet og tenkning må oppdateres tilsvarende. I en organisasjon med de samme 1000 mobile brukere, kan disse enhetene potensielt bli engasjerende Direct Access tunnel uansett hvor de er og uansett hvilken tid de er tilkoblet. Selv om de ikke er 'utnytte' løsningen på aktivt etablere eksterne tilkoblinger, evnen har kunden trekke ned sikkerhetsoppdateringer, anti-virusdefinisjoner osv warrants bakgrunnen bruk av bedriftens nettverk. Videre, hvis løsningen er satt opp i "full tunnel" -modus, all Internett-bundet trafikk vil rute gjennom Direct Access og dette kan kreve ekstra ressurser. Vi vil utforske hele tunnelen konfigurasjonen i større dybde i en fremtidig artikkel. Sørg for at du har en solid use case som du ber om ekstra maskinvare og programvare for å støtte din brukerbasen. Siden Direct Access lisensiering er en undergruppe av Windows Client og Server lisensiering, er det potensielle kostnadsbesparelser som er tilgjengelige i lisenskostnadene og hardware forvaltningskostnad for tiden brukt med en "arv" VPN løsning når Direct Access distribusjon er fullført.
< H2> Faktorer å vurdere i dimensjonering distribusjonen
Topp faktorer å vurdere for den aktuelle dimensjonering av en ny distribusjons er som følger:
- Tilgjengelighet: Er 100% oppetid kreves for hele miljø?
- Peak tilgang: Hvordan nettverksmiljøet peak? Har du målt nettverkstrafikk og antall tilkoblinger, samtidig og totalt? Har du målt trender i nettverkstrafikken for å identifisere når og hvor trafikkmønstre topp i dagens VPN løsning utplassering?
- Ytelse: Hvor viktig er ytelsen til brukeropplevelsen? Brukere kjøre mange programmer eksternt; med Direct Access, vil forventningen være at opplevelsen er lik for en ekstern tilkobling og et bedriftsnettverkstilkobling. Vurdere båndbredde-intensive applikasjoner som CAD programmer som trekker store datafiler fra en backend miljø. Dette er spesielt viktig når tvinge all IP-trafikk gjennom Direct Access tunnel.
Som standard en Direct Access server vil støtte 256 samtidig
'Teredo' (referere til tidligere artikkel for en oppfriskning på Teredo versus innfødte IPv6) klienter for Direct Access. Dette nummeret kan skaleres opp eller ned ved hjelp av netsh interface ipv6 satt global neighborclient =
X
instruksjon fra kommandolinjen. Vokt dere for tilfeldig gjette på dette nummeret; oversaturating en enkelt Direct Access server rollen kan føre til ytelsesproblemer som gjør mange fjerntilgang funksjoner ubrukelige for hele kundebase. En vanlig taktikk når dimensjonering utplassering er å forstå hvor mange servere er tilgjengelige for å bli dedikert til direkte tilgang og bryte ut de enkelte serverroller som kreves for løsningen. Server roller som er tildelt under installasjonsveiviseren er:
- Internet Protocol over Secure Hypertext Transfer Protocol (IP-HTTPS) tjener.
- Native Internet Protocol versjon 6 (IPv6) router.
- Intra-Site Automatic Tunnel Advertising Protocol (ISATAP) router.
- IP 6to4 stafett.
- Teredo Server og Relay.
Et eksempel på hvor dette kan være effektive er å bruke en server som IPSec Gateway til å kryptere og dekryptere trafikken, eventuelt med bruk av flere CPU-kjerner og /eller en SSL-avlasting akseleratorkort installert.
Ytterligere server skalering kan oppnås ved hjelp av Microsoft Forefront Unified Access Gateway (UAG) med balansering nettverksbelastning. Selv om dette ikke kan være nødvendig i hver utplassering, det fortjener betraktning, spesielt hvis organisasjonen eier Unified Access Gateway i Enterprise Client Access License Suite. UAG har tre viktige biter av funksjonalitet som kan være en faktor i dimensjonering Direct Access for miljøet:
- skalerbarhet. UAG integreres med Network Load Balancing (NLB) i Windows, som gjør det mulig å skalere til et mye større antall kunder. Mens Microsoft ikke har gitt konkrete tall om skalerbarhet, kan UAG være overbevisende hvis du støtter mer enn 10.000 kunder.
- Management. I tillegg til UAG-konsollen, er det også en management pack for System Center Operations Manager (SCOM) hvis du bruker System Center i miljøet.
Følg med for mer informasjon om integrering UAG inn Direct Access utplassering i en fremtidig artikkel
En annen kapasitetsplanlegging teknikk som er belånt under en Direct Access utplassering er å utnytte Hyper-V failover klynger -. to (eller flere) Hyper-V vertene med failover clustering som kan støtte en enkelt Direct Access 'ressurs'. Dette gjør det mulig for virtualisering av Direct Access miljøet, men har noen krav til sin egen: maskinvaren må være identisk i hver Hyper-V server, for eksempel. Tenk på dette hvis du er en tungt virtualisert miljø eller kort på fysisk maskinvarekapasitet -. All den direkte tilgangen roller er full støtte i en Hyper-V miljø
Microsoft har publisert en blogg detaljering noen faktorer å vurdere når distribusjon Direct Access i en Hyper-V miljø, kan du lese mer her.
Begynnelsen Deployment
Nå som du har en solid forståelse av ekstern tilgang strategi, de forutsetninger forstått og riktig antall servere sto opp med Windows Server 2008 R2 SP1 installert på dem , er vi klare til å begynne å rulle ut løsningen på dine valgte Windows 7 SP1 Enterprise klienter som er i "pilot" eller testgruppe.
En av de første beslutningene som må gjøres under utsetting er å velge hvilke av aksessmetoder er mest fornuftig for din organisasjon:
- Valgt servertilgang.
- End-to-end tilgang.
Mange organisasjoner begynne med en utvalgt Server Access 'strategi, med visse ressurser publisert og tilgjengelig via Direct Access, arbeider seg opp til en ende-til -end tilgang strategi eller potensielt fullt intranett avhengig av hva dine behov er og hvordan det passer med fjerntilgang strategi. Ved anvendelsen av denne artikkelen serien, er dette den strategien vi vil følge
Forbered Direct Access Server
Klar serveren før konfigurasjonen av Direct Access alternativene kan være komplisert.; heldigvis, gir Microsoft et omfattende sett av "sjekklister", som vi vil utnytte hele artikkelserien. Du kan se gjennom disse sjekklister her. Første skritt som kreves er:
- Installere to nettverkskort og konfigurasjon av IP-adressering, og pass på at driverne er up-to-date, etc. (Start - > Kontrollpanel - > Nettverks- og delings senter - > Change Kortinnstillinger)
- Sikre det interne grensesnittet er en IPv4 adressert ressurs. (Start - > Kontrollpanel - > Nettverks- og delingssenter - > Endre innstillinger)
- Bli med Direct Access-serveren til domenet.
- Koble den andre adapteren til Internett.
- Sørg for at pakkefiltrering er riktig konfigurert på eksternt grensesnitt. Detaljert informasjon finner du her
- Installer et SSL-sertifikat for IP-HTTPS-godkjenning og nettverksplassering server. (Start - > Run - > certsrv.msc)
I Server Manager verktøyet (Start - > Run - > servermanager.msc) under 'Egenskaper Sammendrag ", klikk" Legg til funksjoner '. På 'Select Features' side, velger du "Direct Access Management Console '. I "Veiviser Features 'vinduet, klikk på Legg til obligatorisk Funksjoner" og fullføre installasjonsprosessen. Du har nå fått Direct Access Management Console, som brukes til å administrere og konfigurere tilkobling for direkte tilgang i distribusjonen.
Sammendrag
Dimensjonering og planlegger en distribusjon er avgjørende for å sikre at det er ingen over -Investment i serverressurser. Forstå de ulike serverroller og begynner med de krav og aksessmetoder som kreves for direkte tilgang for å lykkes i ditt miljø er avgjørende for en vellykket opplevelse.
Previous:Advanced Format DrivesNext Page:VPN Single Sign On med Windows 7
Full intranett tilgang.
Tilgang ressurser IPv4 til. Hvis det er noen som ikke IPv6-kompatible enheter i miljøet, vil UAG tillate deg å gå over fra IPv6 til IPv4. Med mindre du har en Windows Server 2008 R2 innfødte servermiljø, er dette sannsynligvis et krav.
IP Security (IPsec) Gateway.