Windows 2000 和 Windows Server 2003 網(wǎng)絡配置的最佳做法
摘要
本文為 Microsoft Windows 2000 或 Windows Server 2003 服務器群集的網(wǎng)絡基礎結構提供了服務器群集要求和最佳做法。若要群集可以正常運行,必須滿足這些要求。最佳做法是從部署反饋和現(xiàn)場發(fā)現(xiàn)的問題中得來的一些建議。
群集網(wǎng)絡要求本節(jié)介紹服務器群集對于網(wǎng)絡基礎結構的要求。若要服務器群集解決方案可以正常運行,必須滿足這些要求。
一般要求本節(jié)介紹適用于所有服務器群集部署的要求。
•群集的所有硬件配置都必須從“群集硬件兼容性列表”(HCL) 中選擇。網(wǎng)絡接口控制器 (NIC) 以及認證的群集配置中使用的任何其他組件都必須具有 Windows 徽標且包含在“Microsoft 硬件兼容性列表”中。
注意: 使用已記錄但并未出現(xiàn)在群集 HCL 中的組件來構建的群集配置不是合格的配置。
(Windows 2000、Windows Server 2003)
•兩個或多個獨立網(wǎng)絡必須連接群集多個節(jié)點,以便避免單點故障。必須使用兩個本地局域網(wǎng) (LAN);不支持使用單一網(wǎng)絡的群集配置。 (Windows 2000、Windows Server 2003)
•每個群集網(wǎng)絡故障的出現(xiàn)都必須獨立于所有其他群集網(wǎng)絡。也就是說,兩個群集網(wǎng)絡不能具有可導致兩個網(wǎng)絡同時出現(xiàn)故障的共用組件。例如,在大多數(shù)情況 下,如果使用多端口 NIC 將某個節(jié)點連接到兩個群集網(wǎng)絡就不滿足這個要求,因為端口不是獨立的。同樣地,共用一個交換機的兩個網(wǎng)絡也有可能出現(xiàn)單點故障。確保您的群集滿足這一要求 的最簡單的方法就是使用物理上獨立的組件來構建群集網(wǎng)絡。 (Windows 2000、Windows Server 2003)
•所有用于將多個節(jié)點連接到同一群集網(wǎng)絡的適配器都必須使用相同的通信配置,例如相同的“速度”、“雙工模式”、“流量控制”和“介質類型”。如果適配器連接到某個交換機,則這個交換機的端點配置必須匹配這些適配器的端點配置。 (Windows 2000、Windows Server 2003)
•每個群集網(wǎng)絡必須配置為一個 IP 子網(wǎng),并且子網(wǎng)號必須與其他群集網(wǎng)絡的子網(wǎng)號不同。例如,一個群集可以使用配置為以下子網(wǎng)地址的兩個網(wǎng)絡:10.1.x.x 和 10.2.x.x,掩碼為 255.255.0.0。節(jié)點的地址可以由 DHCP 動態(tài)指定,但我們推薦人工配置靜態(tài)地址(參見“群集網(wǎng)絡最佳做法”一節(jié))。不支持使用“動態(tài)專用 IP 地址”(APIPA) 來配置群集網(wǎng)絡。并且,APIPA 也不能用于連接到多個網(wǎng)絡的計算機。 (Windows 2000、Windows Server 2003)
•若要支持群集節(jié)點之間的內部通信,則最少必須配置兩個群集網(wǎng)絡,以避免單點故障。也就是說,這些網(wǎng)絡角色的“群集服務”必須配置為“只用于內部群集通信”或“所有通信”。通常,其中會有一個網(wǎng)絡專用于連接內部群集通信(參見“群集網(wǎng)絡最佳做法”一節(jié))。 (Windows 2000、Windows Server 2003)
•目前還不支持在所有群集網(wǎng)絡上同時使用 NIC 組。最少會有一個支持群集節(jié)點間的內部通信的群集網(wǎng)絡不能成組。通常,這個不能成組的網(wǎng)絡就是專用于連接這種類型通信的網(wǎng)絡。在其他群集網(wǎng)絡上使用 NIC 組是可以接受的;但是,如果某個成組網(wǎng)絡中出現(xiàn)通信問題,Microsoft Product Support Services 可能會要求禁用該組。如果此操作可以解決問題,那么您必須向成組解決方案的提供商尋求更進一步的幫助。 (Windows 2000、Windows Server 2003)
•群集的節(jié)點必須屬于一個域。域配置必須滿足以下要求,以便避免在身份驗證過程中出現(xiàn)單點故障:
•這個域必須最少具有兩個域控制器,
•如果使用 DNS 解析域中的名稱,則最少必須配置兩個 DNS Server。DNS 服務器應當支持動態(tài)更新,
•每個域控制器和群集節(jié)點必須配置一個主 DNS Server 和最少一個輔助 DNS Server。如果域控制器同時也是 DNS Server,那么對于主 DNS 解析,每個域控制器都應當指向本身,對于輔助解析,則應當指向其他 DNS Server,
•最少必須有兩個域控制器配置為全局編錄服務器。
(Windows 2000、Windows Server 2003)
地理位置分散的群集本節(jié)討論對于地理位置分散的群集附加的一些要求:
•群集中的節(jié)點可以位于不同的物理網(wǎng)絡中;但是群集節(jié)點之間專用網(wǎng)絡連接和公用網(wǎng)絡連接必須是使用類似于虛擬 LAN (VLAN) 技術的單一、非路由的 LAN。 (Windows 2000、Windows Server 2003)
•任何兩個群集節(jié)點間的往返通信延遲都不能超過 500 毫秒。 (Windows 2000、Windows Server 2003)
•對于 LAN,每個 VLAN 故障的出現(xiàn)都必須獨立于其他所有群集網(wǎng)絡。 (Windows 2000、Windows Server 2003)
•由于地理位置分散的群集的復雜性,任何問題都需要得到硬件制造商或硬件供應商的幫助。通常,需要提供一些第三方軟件和驅動程序群集才能正常工作。 Microsoft Product Support Services 可能不知道這些組件如何與 Windows Clustering 交互。 (Windows 2000、Windows Server 2003)
群集網(wǎng)絡最佳做法本節(jié)介紹部署服務器群集的網(wǎng)絡最佳做法。
硬件規(guī)劃建議 •在所有群集節(jié)點中使用相同的 NIC;也就是說,每個適配器都具有相同的制造商、型號和固件版本。 (Windows 2000、Windows Server 2003)
•保留一個網(wǎng)絡專用于群集節(jié)點之間的內部通信。這是專用網(wǎng)絡。使用其他網(wǎng)絡與客戶端通信。這些是公用網(wǎng)絡。不要在專用網(wǎng)絡上使用 NIC 組。 (Windows 2000、Windows Server 2003)
網(wǎng)絡接口控制器配置建議 •人工選擇每個群集 NIC 的速度和雙工模式。不要使用自動檢測。一些適配器丟失數(shù)據(jù)包時會自動協(xié)商網(wǎng)絡設置。一個網(wǎng)絡中的所有適配器都必須配置為使用相同的速度和雙工模式。如果適配器連接到某個交換機,請確保這個交換機的端點配置與這些適配器的端點配置匹配。 (Windows 2000、Windows Server 2003)
•對于專用網(wǎng)絡,請對所有節(jié)點使用靜態(tài) IP 地址。請從以下一個范圍中選擇地址:
•10.0.0.0 - 10.255.255.255(A 類網(wǎng)絡)
•172.16.0.0 - 172.31.255.255(B 類網(wǎng)絡)
•192.168.0.0 - 192.168.255.255(C 類網(wǎng)絡)
(Windows 2000、Windows Server 2003)
•對于公用網(wǎng)絡,請對所有節(jié)點使用靜態(tài) IP 地址。不推薦通過 DHCP 進行動態(tài)配置。因為無法續(xù)訂租期會打斷群集操作。 (Windows 2000、Windows Server 2003)
•不要在專用 NIC 上配置 DNS 服務器、WINS 服務器或默認網(wǎng)關。 (Windows 2000、Windows Server 2003)
•應當在公用 NIC 上配置 WINS 或 DNS 服務器。如果網(wǎng)絡名稱資源將會部署在公用網(wǎng)絡上,那么 DNS 服務器就應當支持動態(tài)更新;否則系統(tǒng)就會在故障轉移時提示進行名稱到 IP 地址映射更新。 (Windows 2000、Windows Server 2003)
•如果群集節(jié)點使用公用 NIC 與遠程子網(wǎng)上的客戶端或服務通信,則請務必在這些 NIC 上配置默認網(wǎng)關。請注意在具有多個公用網(wǎng)絡的群集中,配置多個網(wǎng)絡中的節(jié)點作為一個默認網(wǎng)關可能會導致路由問題。 (Windows 2000、Windows Server 2003)
•在每個群集節(jié)點上,請將網(wǎng)絡連接順序設置為:
•公用網(wǎng)絡 – 最高優(yōu)先級
•專用網(wǎng)絡
•遠程網(wǎng)絡連接 – 最低優(yōu)先級
(Windows 2000、Windows Server 2003)
•更改每個網(wǎng)絡連接的默認名稱,以便清楚地表明每個網(wǎng)絡的用途。例如,您可以將專用網(wǎng)絡連接的名稱從本地網(wǎng)絡連接 (x) 更改為專用群集網(wǎng)絡。 (Windows 2000、Windows Server 2003)
•專用 LAN 應當是獨立的。只有群集節(jié)點可以連接到專用子網(wǎng)。如果存在多個群集,請對所有群集的專用網(wǎng)絡使用相同的子網(wǎng)。但是,不能將其他網(wǎng)絡基礎結構(例如域控制器、WINS 服務器、DHCP 服務器等)放置到專用子網(wǎng)中。 (Windows 2000、Windows Server 2003)
•若要創(chuàng)建獨立的網(wǎng)絡分段,您可以使用具有創(chuàng)建 VLAN 分段能力的交換機或是使用集線器,如果是 2 節(jié)點服務器群集,也可以使用交叉線纜。 (Windows 2000、Windows Server 2003)
•您應當禁用 TCP/IP 的介質探測策略,以便確保如果線纜斷開或是介質探測丟失,TCP/IP 配置和相應的群集網(wǎng)絡配置不會失效。將以下注冊表值添加到每個節(jié)點:
HKEY_LOCAL_MacHINESystemCurrentControlSetServicesTcpipParameters 值名稱:DisableDHCPMediaSense 數(shù)據(jù)類型:REG_DWord 數(shù)據(jù):1
(Windows 2000)
群集服務配置建議 •將專用網(wǎng)絡角色設置為“只用于內部群集通信”。確認每個公用網(wǎng)絡的角色被設置為“所有通信”(這是默認值)。 (Windows 2000、Windows Server 2003)
•配置內部群集通信最優(yōu)先使用專用網(wǎng)絡。 (Windows 2000、Windows Server 2003)
實施最佳做法的過程本節(jié)介紹實施最佳做法的過程:
在配置群集服務之前配置網(wǎng)絡接口控制器 •按照如下方法配置每個 NIC 的速度:
•打開“控制面板”。打開“網(wǎng)絡連接”。右鍵單擊相應的連接對象,然后選擇“屬性”。單擊“配置”,然后選擇“高級”。
•使用下拉列表,設置所需的網(wǎng)絡速度。
•確保其他設置(例如“雙工模式”)與網(wǎng)絡上的所有適配器相同。
•按照如下方法配置專用 NIC 的“Internet 協(xié)議”設置:
•返回“網(wǎng)絡連接”。打開相應連接對象的“屬性”。
•確保選中“Internet 協(xié)議 (TCP/IP)”復選框。
•突出顯示“Internet 協(xié)議”,然后選擇“屬性”。
•單擊“使用以下 IP 地址”單選按鈕,然后輸入一個靜態(tài)地址。
•確保沒有為專用網(wǎng)絡配置任何默認網(wǎng)關。
•請確認“使用以下 DNS Server 地址”框中沒有任何值。單擊“高級”。在“DNS”選項卡上,確認沒有定義任何值。請確保“在 DNS 中注冊此連接的地址”和“在 DNS 注冊中使用此連接的 DNS 后綴”復選框沒有選中。注意,如果群集節(jié)點是 DNS 服務器,那么 IP 地址 127.0.0.1 將會出現(xiàn)在列表中,并一直位于列表中。
•按照以下方法配置網(wǎng)絡連接順序:
•返回“網(wǎng)絡連接”。選擇“高級”。選擇“高級設置”。在“連接”框中,按照如下方式排列網(wǎng)絡連接順序:
公用網(wǎng)絡
專用網(wǎng)絡
遠程訪問連接
•按照以下方法更改網(wǎng)絡連接的默認名稱:
•返回“網(wǎng)絡連接”。右鍵單擊網(wǎng)絡連接對象。選擇“重命名”。編輯名稱值。
•用于代表某個網(wǎng)絡(例如專用網(wǎng)絡)的連接對象的名稱在所有節(jié)點上都必須一致。如果連接對象的名稱不一致,“群集服務”將會選擇一個名稱,并更改其他名稱以匹配這個名稱。
在配置群集服務之后配置群集網(wǎng)絡屬性Windows 2000
在安裝群集軟件時,每個網(wǎng)絡都會出現(xiàn)一個“配置群集網(wǎng)絡”對話框(以任意順序)。對于公用網(wǎng)絡,請確保名稱和 IP 地址匹配公用網(wǎng)絡的網(wǎng)絡接口。選中復選框“為群集使用啟用這個網(wǎng)絡”。選中“所有通信(混合網(wǎng)絡)”選項。對于專用網(wǎng)絡,請確保名稱和 IP 地址匹配專用網(wǎng)絡的網(wǎng)絡接口。選中復選框“為群集使用啟用這個網(wǎng)絡”。選中“只用于內部群集通信”選項。
安裝期間的默認配置是將公用網(wǎng)絡適配器配置為“所有通信”,將專用(信號)網(wǎng)絡適配器配置為“只用于內部群集通信”。Microsoft 建議您保留此默認配置。為了您的群集能夠正確安裝和工作,您必須將最少一個網(wǎng)絡配置為“內部群集通信”或“所有通信”。
Windows Server 2003
Windows Server 2003 群集配置向導在配置期間不提供更改網(wǎng)絡設置的方式。所有網(wǎng)絡的默認設置都是啟用“所有通信”。這將確保群集可以正常工作。為了符合最佳做法,您應當按照以 下方法將其中一個網(wǎng)絡設置為專用網(wǎng)絡,并將專用網(wǎng)絡設置為內部群集通信最優(yōu)先使用的網(wǎng)絡:
•按照以下方法將專用網(wǎng)絡角色設置為“內部群集通信”:
•在群集管理器中,雙擊群集名稱。您將會看到一個 Cluster Configuration 文件夾。
•雙擊 Cluster Configuration 文件夾,然后雙擊 Networks 文件夾就可以看到所有可用的群集網(wǎng)絡。
•選擇要為專用群集通信配置的網(wǎng)絡,然后選擇“屬性”。
•在這個網(wǎng)絡的“屬性”中,您將會看到一些角色(例如“只用于客戶端訪問”)。對于專用網(wǎng)絡,請確保選中“為群集使用啟用這個網(wǎng)絡”復選框以及“只用于內部通信”角色。
•按照以下方法專用網(wǎng)絡配置為內部群集通信最優(yōu)先使用的網(wǎng)絡:
•在“群集管理器”中,選擇群集,然后選擇“屬性”。
•從“網(wǎng)絡優(yōu)先級”選項卡中,確認專用網(wǎng)絡處于最頂端。
•如果沒有,請使用“向上移動”按鈕來提高它的優(yōu)先級。
IPSec盡管可以對在服務器群集中可實現(xiàn)故障轉移的應用程序使用 Internet 協(xié)議安全 (IPSec),但 IPSec 并非專為故障轉移的情況而設計,因此我們推薦您不要對服務器群集中的應用程序使用 IPSec。
主要的問題就是如果發(fā)生故障轉移的話,Internet 密鑰交換 (IKE) 安全關聯(lián) (SAs) 并不會從一臺服務器傳送到另一臺服務器,因為它們是存儲在每個節(jié)點上的本地數(shù)據(jù)庫中的。
在受 IPSec 保護的連接中,會在第一階段協(xié)商時創(chuàng)建一個 IKE SA。在第二階段中會創(chuàng)建兩個 IPSec SA。一個超時值會與 IKE 和 IPSec SA 關聯(lián)。如果沒有使用“主密鑰完全向前保密”,則系統(tǒng)就會使用 IKE SA 的密鑰資料創(chuàng)建 IPSec SA。在這種情況下,客戶端必須等待入站 IPSec SA 的默認超時時間或有效期限結束,然后等待與 IKE SA 有關的超時時間或有效期限。
“安全關聯(lián)空閑計時器”(Security Association Idle Timer) 默認超時時間是 5 分鐘,在出現(xiàn)故障轉移的情況下,客戶端至少必須等候 5 分鐘,直到所有資源在線后,才可以使用 IPSec 重新建立連接。
盡管沒有為群集環(huán)境優(yōu)化設計 IPSec,但如果安全連接的重要性超過故障轉移導致客戶端停機時間的威脅,則您也可以使用 IPSec。
NetBIOS在 Windows Server 2003 中,群集服務不要求使用 NetBIOS;但是如果禁用 NetBIOS 的話,有一些服務就會受到影響。您應當了解以下情況:
•默認情況下,在配置群集時,在群集的“IP 地址”資源中是 啟用 NetBIOS 的。一旦群集創(chuàng)建完畢,您就應當通過取消選中“群集 IP 地址”資源屬性頁的參數(shù)頁上的復選框來禁用 NetBIOS。
•在您創(chuàng)建其他“IP 地址”資源時,您應當取消選中“NetBIOS”復選框。
•在禁用 NetBIOS 時,您將不能在打開指向某個群集的連接時使用“群集管理器”的“瀏覽”功能。“群集管理器”使用 NetBIOS 來枚舉域中的所有群集。
•打印和文件服務會被禁用 – 不會有任何虛擬名稱被添加為重定向器終結點。
•如果指定群集名稱,則“群集管理器”將無法工作。“群集管理器”調用 GetNodeClusterState,后者使用遠程注冊表 API,注冊表 API 則反過來根據(jù)虛擬名稱使用命名管道。
網(wǎng)公網(wǎng)安備