摘要

本文為 Microsoft Windows 2000 或 Windows Server 2003 服務(wù)器群集的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)提供了服務(wù)器群集要求和最佳做法。若要群集可以正常運(yùn)行，必須滿足這些要求。最佳做法是從部署反饋和現(xiàn)場(chǎng)發(fā)現(xiàn)的問(wèn)題中得來(lái)的一些建議。

群集網(wǎng)絡(luò)要求

本節(jié)介紹服務(wù)器群集對(duì)于網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的要求。若要服務(wù)器群集解決方案可以正常運(yùn)行，必須滿足這些要求。

一般要求

本節(jié)介紹適用于所有服務(wù)器群集部署的要求。

•

群集的所有硬件配置都必須從“群集硬件兼容性列表”(HCL) 中選擇。網(wǎng)絡(luò)接口控制器 (NIC) 以及認(rèn)證的群集配置中使用的任何其他組件都必須具有 Windows 徽標(biāo)且包含在“Microsoft 硬件兼容性列表”中。

注意： 使用已記錄但并未出現(xiàn)在群集 HCL 中的組件來(lái)構(gòu)建的群集配置不是合格的配置。

（Windows 2000、Windows Server 2003）

•

兩個(gè)或多個(gè)獨(dú)立網(wǎng)絡(luò)必須連接群集多個(gè)節(jié)點(diǎn)，以便避免單點(diǎn)故障。必須使用兩個(gè)本地局域網(wǎng) (LAN)；不支持使用單一網(wǎng)絡(luò)的群集配置。 (Windows 2000、Windows Server 2003)

•

每個(gè)群集網(wǎng)絡(luò)故障的出現(xiàn)都必須獨(dú)立于所有其他群集網(wǎng)絡(luò)。也就是說(shuō)，兩個(gè)群集網(wǎng)絡(luò)不能具有可導(dǎo)致兩個(gè)網(wǎng)絡(luò)同時(shí)出現(xiàn)故障的共用組件。例如，在大多數(shù)情況 下，如果使用多端口 NIC 將某個(gè)節(jié)點(diǎn)連接到兩個(gè)群集網(wǎng)絡(luò)就不滿足這個(gè)要求，因?yàn)槎丝诓皇仟?dú)立的。同樣地，共用一個(gè)交換機(jī)的兩個(gè)網(wǎng)絡(luò)也有可能出現(xiàn)單點(diǎn)故障。確保您的群集滿足這一要求 的最簡(jiǎn)單的方法就是使用物理上獨(dú)立的組件來(lái)構(gòu)建群集網(wǎng)絡(luò)。 （Windows 2000、Windows Server 2003）

•

所有用于將多個(gè)節(jié)點(diǎn)連接到同一群集網(wǎng)絡(luò)的適配器都必須使用相同的通信配置，例如相同的“速度”、“雙工模式”、“流量控制”和“介質(zhì)類型”。如果適配器連接到某個(gè)交換機(jī)，則這個(gè)交換機(jī)的端點(diǎn)配置必須匹配這些適配器的端點(diǎn)配置。 （Windows 2000、Windows Server 2003）

•

每個(gè)群集網(wǎng)絡(luò)必須配置為一個(gè) IP 子網(wǎng)，并且子網(wǎng)號(hào)必須與其他群集網(wǎng)絡(luò)的子網(wǎng)號(hào)不同。例如，一個(gè)群集可以使用配置為以下子網(wǎng)地址的兩個(gè)網(wǎng)絡(luò)：10.1.x.x 和 10.2.x.x，掩碼為 255.255.0.0。節(jié)點(diǎn)的地址可以由 DHCP 動(dòng)態(tài)指定，但我們推薦人工配置靜態(tài)地址（參見(jiàn)“群集網(wǎng)絡(luò)最佳做法”一節(jié)）。不支持使用“動(dòng)態(tài)專用 IP 地址”(APIPA) 來(lái)配置群集網(wǎng)絡(luò)。并且，APIPA 也不能用于連接到多個(gè)網(wǎng)絡(luò)的計(jì)算機(jī)。 （Windows 2000、Windows Server 2003）

•

若要支持群集節(jié)點(diǎn)之間的內(nèi)部通信，則最少必須配置兩個(gè)群集網(wǎng)絡(luò)，以避免單點(diǎn)故障。也就是說(shuō)，這些網(wǎng)絡(luò)角色的“群集服務(wù)”必須配置為“只用于內(nèi)部群集通信”或“所有通信”。通常，其中會(huì)有一個(gè)網(wǎng)絡(luò)專用于連接內(nèi)部群集通信（參見(jiàn)“群集網(wǎng)絡(luò)最佳做法”一節(jié)）。 （Windows 2000、Windows Server 2003）

•

目前還不支持在所有群集網(wǎng)絡(luò)上同時(shí)使用 NIC 組。最少會(huì)有一個(gè)支持群集節(jié)點(diǎn)間的內(nèi)部通信的群集網(wǎng)絡(luò)不能成組。通常，這個(gè)不能成組的網(wǎng)絡(luò)就是專用于連接這種類型通信的網(wǎng)絡(luò)。在其他群集網(wǎng)絡(luò)上使用 NIC 組是可以接受的；但是，如果某個(gè)成組網(wǎng)絡(luò)中出現(xiàn)通信問(wèn)題，Microsoft Product Support Services 可能會(huì)要求禁用該組。如果此操作可以解決問(wèn)題，那么您必須向成組解決方案的提供商尋求更進(jìn)一步的幫助。 （Windows 2000、Windows Server 2003）

•

群集的節(jié)點(diǎn)必須屬于一個(gè)域。域配置必須滿足以下要求，以便避免在身份驗(yàn)證過(guò)程中出現(xiàn)單點(diǎn)故障：

•

這個(gè)域必須最少具有兩個(gè)域控制器，

•

如果使用 DNS 解析域中的名稱，則最少必須配置兩個(gè) DNS Server。DNS 服務(wù)器應(yīng)當(dāng)支持動(dòng)態(tài)更新，

•

每個(gè)域控制器和群集節(jié)點(diǎn)必須配置一個(gè)主 DNS Server 和最少一個(gè)輔助 DNS Server。如果域控制器同時(shí)也是 DNS Server，那么對(duì)于主 DNS 解析，每個(gè)域控制器都應(yīng)當(dāng)指向本身，對(duì)于輔助解析，則應(yīng)當(dāng)指向其他 DNS Server，

•

最少必須有兩個(gè)域控制器配置為全局編錄服務(wù)器。

（Windows 2000、Windows Server 2003）

地理位置分散的群集

本節(jié)討論對(duì)于地理位置分散的群集附加的一些要求：

•

群集中的節(jié)點(diǎn)可以位于不同的物理網(wǎng)絡(luò)中；但是群集節(jié)點(diǎn)之間專用網(wǎng)絡(luò)連接和公用網(wǎng)絡(luò)連接必須是使用類似于虛擬 LAN (VLAN) 技術(shù)的單一、非路由的 LAN。 （Windows 2000、Windows Server 2003）

•

任何兩個(gè)群集節(jié)點(diǎn)間的往返通信延遲都不能超過(guò) 500 毫秒。 （Windows 2000、Windows Server 2003）

•

對(duì)于 LAN，每個(gè) VLAN 故障的出現(xiàn)都必須獨(dú)立于其他所有群集網(wǎng)絡(luò)。 （Windows 2000、Windows Server 2003）

•

由于地理位置分散的群集的復(fù)雜性，任何問(wèn)題都需要得到硬件制造商或硬件供應(yīng)商的幫助。通常，需要提供一些第三方軟件和驅(qū)動(dòng)程序群集才能正常工作。 Microsoft Product Support Services 可能不知道這些組件如何與 Windows Clustering 交互。 （Windows 2000、Windows Server 2003）

群集網(wǎng)絡(luò)最佳做法

本節(jié)介紹部署服務(wù)器群集的網(wǎng)絡(luò)最佳做法。

硬件規(guī)劃建議 •

在所有群集節(jié)點(diǎn)中使用相同的 NIC；也就是說(shuō)，每個(gè)適配器都具有相同的制造商、型號(hào)和固件版本。 （Windows 2000、Windows Server 2003）

•

保留一個(gè)網(wǎng)絡(luò)專用于群集節(jié)點(diǎn)之間的內(nèi)部通信。這是專用網(wǎng)絡(luò)。使用其他網(wǎng)絡(luò)與客戶端通信。這些是公用網(wǎng)絡(luò)。不要在專用網(wǎng)絡(luò)上使用 NIC 組。 （Windows 2000、Windows Server 2003）

網(wǎng)絡(luò)接口控制器配置建議 •

人工選擇每個(gè)群集 NIC 的速度和雙工模式。不要使用自動(dòng)檢測(cè)。一些適配器丟失數(shù)據(jù)包時(shí)會(huì)自動(dòng)協(xié)商網(wǎng)絡(luò)設(shè)置。一個(gè)網(wǎng)絡(luò)中的所有適配器都必須配置為使用相同的速度和雙工模式。如果適配器連接到某個(gè)交換機(jī)，請(qǐng)確保這個(gè)交換機(jī)的端點(diǎn)配置與這些適配器的端點(diǎn)配置匹配。 （Windows 2000、Windows Server 2003）

•

對(duì)于專用網(wǎng)絡(luò)，請(qǐng)對(duì)所有節(jié)點(diǎn)使用靜態(tài) IP 地址。請(qǐng)從以下一個(gè)范圍中選擇地址：

•

10.0.0.0 - 10.255.255.255（A 類網(wǎng)絡(luò)）

•

172.16.0.0 - 172.31.255.255（B 類網(wǎng)絡(luò)）

•

192.168.0.0 - 192.168.255.255（C 類網(wǎng)絡(luò)）

（Windows 2000、Windows Server 2003）

•

對(duì)于公用網(wǎng)絡(luò)，請(qǐng)對(duì)所有節(jié)點(diǎn)使用靜態(tài) IP 地址。不推薦通過(guò) DHCP 進(jìn)行動(dòng)態(tài)配置。因?yàn)闊o(wú)法續(xù)訂租期會(huì)打斷群集操作。 （Windows 2000、Windows Server 2003）

•

不要在專用 NIC 上配置 DNS 服務(wù)器、WINS 服務(wù)器或默認(rèn)網(wǎng)關(guān)。 （Windows 2000、Windows Server 2003）

•

應(yīng)當(dāng)在公用 NIC 上配置 WINS 或 DNS 服務(wù)器。如果網(wǎng)絡(luò)名稱資源將會(huì)部署在公用網(wǎng)絡(luò)上，那么 DNS 服務(wù)器就應(yīng)當(dāng)支持動(dòng)態(tài)更新；否則系統(tǒng)就會(huì)在故障轉(zhuǎn)移時(shí)提示進(jìn)行名稱到 IP 地址映射更新。 （Windows 2000、Windows Server 2003）

•

如果群集節(jié)點(diǎn)使用公用 NIC 與遠(yuǎn)程子網(wǎng)上的客戶端或服務(wù)通信，則請(qǐng)務(wù)必在這些 NIC 上配置默認(rèn)網(wǎng)關(guān)。請(qǐng)注意在具有多個(gè)公用網(wǎng)絡(luò)的群集中，配置多個(gè)網(wǎng)絡(luò)中的節(jié)點(diǎn)作為一個(gè)默認(rèn)網(wǎng)關(guān)可能會(huì)導(dǎo)致路由問(wèn)題。 （Windows 2000、Windows Server 2003）

•

在每個(gè)群集節(jié)點(diǎn)上，請(qǐng)將網(wǎng)絡(luò)連接順序設(shè)置為：

•

公用網(wǎng)絡(luò) – 最高優(yōu)先級(jí)

•

專用網(wǎng)絡(luò)

•

遠(yuǎn)程網(wǎng)絡(luò)連接 – 最低優(yōu)先級(jí)

（Windows 2000、Windows Server 2003）

•

更改每個(gè)網(wǎng)絡(luò)連接的默認(rèn)名稱，以便清楚地表明每個(gè)網(wǎng)絡(luò)的用途。例如，您可以將專用網(wǎng)絡(luò)連接的名稱從本地網(wǎng)絡(luò)連接 (x) 更改為專用群集網(wǎng)絡(luò)。 （Windows 2000、Windows Server 2003）

•

專用 LAN 應(yīng)當(dāng)是獨(dú)立的。只有群集節(jié)點(diǎn)可以連接到專用子網(wǎng)。如果存在多個(gè)群集，請(qǐng)對(duì)所有群集的專用網(wǎng)絡(luò)使用相同的子網(wǎng)。但是，不能將其他網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)（例如域控制器、WINS 服務(wù)器、DHCP 服務(wù)器等）放置到專用子網(wǎng)中。 （Windows 2000、Windows Server 2003）

•

若要?jiǎng)?chuàng)建獨(dú)立的網(wǎng)絡(luò)分段，您可以使用具有創(chuàng)建 VLAN 分段能力的交換機(jī)或是使用集線器，如果是 2 節(jié)點(diǎn)服務(wù)器群集，也可以使用交叉線纜。 （Windows 2000、Windows Server 2003）

•

您應(yīng)當(dāng)禁用 TCP/IP 的介質(zhì)探測(cè)策略，以便確保如果線纜斷開(kāi)或是介質(zhì)探測(cè)丟失，TCP/IP 配置和相應(yīng)的群集網(wǎng)絡(luò)配置不會(huì)失效。將以下注冊(cè)表值添加到每個(gè)節(jié)點(diǎn)：

HKEY_LOCAL_MacHINESystemCurrentControlSetServicesTcpipParameters 值名稱：DisableDHCPMediaSense 數(shù)據(jù)類型：REG_DWord 數(shù)據(jù)：1

（Windows 2000）

群集服務(wù)配置建議 •

將專用網(wǎng)絡(luò)角色設(shè)置為“只用于內(nèi)部群集通信”。確認(rèn)每個(gè)公用網(wǎng)絡(luò)的角色被設(shè)置為“所有通信”（這是默認(rèn)值）。 （Windows 2000、Windows Server 2003）

•

配置內(nèi)部群集通信最優(yōu)先使用專用網(wǎng)絡(luò)。 （Windows 2000、Windows Server 2003）

實(shí)施最佳做法的過(guò)程

本節(jié)介紹實(shí)施最佳做法的過(guò)程：

在配置群集服務(wù)之前配置網(wǎng)絡(luò)接口控制器 •

按照如下方法配置每個(gè) NIC 的速度：

•

打開(kāi)“控制面板”。打開(kāi)“網(wǎng)絡(luò)連接”。右鍵單擊相應(yīng)的連接對(duì)象，然后選擇“屬性”。單擊“配置”，然后選擇“高級(jí)”。

•

使用下拉列表，設(shè)置所需的網(wǎng)絡(luò)速度。

•

確保其他設(shè)置（例如“雙工模式”）與網(wǎng)絡(luò)上的所有適配器相同。

•

按照如下方法配置專用 NIC 的“Internet 協(xié)議”設(shè)置：

•

返回“網(wǎng)絡(luò)連接”。打開(kāi)相應(yīng)連接對(duì)象的“屬性”。

•

確保選中“Internet 協(xié)議 (TCP/IP)”復(fù)選框。

•

突出顯示“Internet 協(xié)議”，然后選擇“屬性”。

•

單擊“使用以下 IP 地址”單選按鈕，然后輸入一個(gè)靜態(tài)地址。

•

確保沒(méi)有為專用網(wǎng)絡(luò)配置任何默認(rèn)網(wǎng)關(guān)。

•

請(qǐng)確認(rèn)“使用以下 DNS Server 地址”框中沒(méi)有任何值。單擊“高級(jí)”。在“DNS”選項(xiàng)卡上，確認(rèn)沒(méi)有定義任何值。請(qǐng)確保“在 DNS 中注冊(cè)此連接的地址”和“在 DNS 注冊(cè)中使用此連接的 DNS 后綴”復(fù)選框沒(méi)有選中。注意，如果群集節(jié)點(diǎn)是 DNS 服務(wù)器，那么 IP 地址 127.0.0.1 將會(huì)出現(xiàn)在列表中，并一直位于列表中。

•

按照以下方法配置網(wǎng)絡(luò)連接順序：

•

返回“網(wǎng)絡(luò)連接”。選擇“高級(jí)”。選擇“高級(jí)設(shè)置”。在“連接”框中，按照如下方式排列網(wǎng)絡(luò)連接順序：

公用網(wǎng)絡(luò)

專用網(wǎng)絡(luò)

遠(yuǎn)程訪問(wèn)連接

•

按照以下方法更改網(wǎng)絡(luò)連接的默認(rèn)名稱：

•

返回“網(wǎng)絡(luò)連接”。右鍵單擊網(wǎng)絡(luò)連接對(duì)象。選擇“重命名”。編輯名稱值。

•

用于代表某個(gè)網(wǎng)絡(luò)（例如專用網(wǎng)絡(luò)）的連接對(duì)象的名稱在所有節(jié)點(diǎn)上都必須一致。如果連接對(duì)象的名稱不一致，“群集服務(wù)”將會(huì)選擇一個(gè)名稱，并更改其他名稱以匹配這個(gè)名稱。

在配置群集服務(wù)之后配置群集網(wǎng)絡(luò)屬性

Windows 2000

在安裝群集軟件時(shí)，每個(gè)網(wǎng)絡(luò)都會(huì)出現(xiàn)一個(gè)“配置群集網(wǎng)絡(luò)”對(duì)話框（以任意順序）。對(duì)于公用網(wǎng)絡(luò)，請(qǐng)確保名稱和 IP 地址匹配公用網(wǎng)絡(luò)的網(wǎng)絡(luò)接口。選中復(fù)選框“為群集使用啟用這個(gè)網(wǎng)絡(luò)”。選中“所有通信（混合網(wǎng)絡(luò)）”選項(xiàng)。對(duì)于專用網(wǎng)絡(luò)，請(qǐng)確保名稱和 IP 地址匹配專用網(wǎng)絡(luò)的網(wǎng)絡(luò)接口。選中復(fù)選框“為群集使用啟用這個(gè)網(wǎng)絡(luò)”。選中“只用于內(nèi)部群集通信”選項(xiàng)。

安裝期間的默認(rèn)配置是將公用網(wǎng)絡(luò)適配器配置為“所有通信”，將專用（信號(hào)）網(wǎng)絡(luò)適配器配置為“只用于內(nèi)部群集通信”。Microsoft 建議您保留此默認(rèn)配置。為了您的群集能夠正確安裝和工作，您必須將最少一個(gè)網(wǎng)絡(luò)配置為“內(nèi)部群集通信”或“所有通信”。

Windows Server 2003

Windows Server 2003 群集配置向?qū)г谂渲闷陂g不提供更改網(wǎng)絡(luò)設(shè)置的方式。所有網(wǎng)絡(luò)的默認(rèn)設(shè)置都是啟用“所有通信”。這將確保群集可以正常工作。為了符合最佳做法，您應(yīng)當(dāng)按照以 下方法將其中一個(gè)網(wǎng)絡(luò)設(shè)置為專用網(wǎng)絡(luò)，并將專用網(wǎng)絡(luò)設(shè)置為內(nèi)部群集通信最優(yōu)先使用的網(wǎng)絡(luò)：

•

按照以下方法將專用網(wǎng)絡(luò)角色設(shè)置為“內(nèi)部群集通信”：

•

在群集管理器中，雙擊群集名稱。您將會(huì)看到一個(gè) Cluster Configuration 文件夾。

•

雙擊 Cluster Configuration 文件夾，然后雙擊 Networks 文件夾就可以看到所有可用的群集網(wǎng)絡(luò)。

•

選擇要為專用群集通信配置的網(wǎng)絡(luò)，然后選擇“屬性”。

•

在這個(gè)網(wǎng)絡(luò)的“屬性”中，您將會(huì)看到一些角色（例如“只用于客戶端訪問(wèn)”）。對(duì)于專用網(wǎng)絡(luò)，請(qǐng)確保選中“為群集使用啟用這個(gè)網(wǎng)絡(luò)”復(fù)選框以及“只用于內(nèi)部通信”角色。

•

按照以下方法專用網(wǎng)絡(luò)配置為內(nèi)部群集通信最優(yōu)先使用的網(wǎng)絡(luò)：

•

在“群集管理器”中，選擇群集，然后選擇“屬性”。

•

從“網(wǎng)絡(luò)優(yōu)先級(jí)”選項(xiàng)卡中，確認(rèn)專用網(wǎng)絡(luò)處于最頂端。

•

如果沒(méi)有，請(qǐng)使用“向上移動(dòng)”按鈕來(lái)提高它的優(yōu)先級(jí)。

IPSec

盡管可以對(duì)在服務(wù)器群集中可實(shí)現(xiàn)故障轉(zhuǎn)移的應(yīng)用程序使用 Internet 協(xié)議安全 (IPSec)，但 IPSec 并非專為故障轉(zhuǎn)移的情況而設(shè)計(jì)，因此我們推薦您不要對(duì)服務(wù)器群集中的應(yīng)用程序使用 IPSec。

主要的問(wèn)題就是如果發(fā)生故障轉(zhuǎn)移的話，Internet 密鑰交換 (IKE) 安全關(guān)聯(lián) (SAs) 并不會(huì)從一臺(tái)服務(wù)器傳送到另一臺(tái)服務(wù)器，因?yàn)樗鼈兪谴鎯?chǔ)在每個(gè)節(jié)點(diǎn)上的本地?cái)?shù)據(jù)庫(kù)中的。

在受 IPSec 保護(hù)的連接中，會(huì)在第一階段協(xié)商時(shí)創(chuàng)建一個(gè) IKE SA。在第二階段中會(huì)創(chuàng)建兩個(gè) IPSec SA。一個(gè)超時(shí)值會(huì)與 IKE 和 IPSec SA 關(guān)聯(lián)。如果沒(méi)有使用“主密鑰完全向前保密”，則系統(tǒng)就會(huì)使用 IKE SA 的密鑰資料創(chuàng)建 IPSec SA。在這種情況下，客戶端必須等待入站 IPSec SA 的默認(rèn)超時(shí)時(shí)間或有效期限結(jié)束，然后等待與 IKE SA 有關(guān)的超時(shí)時(shí)間或有效期限。

“安全關(guān)聯(lián)空閑計(jì)時(shí)器”(Security Association Idle Timer) 默認(rèn)超時(shí)時(shí)間是 5 分鐘，在出現(xiàn)故障轉(zhuǎn)移的情況下，客戶端至少必須等候 5 分鐘，直到所有資源在線后，才可以使用 IPSec 重新建立連接。

盡管沒(méi)有為群集環(huán)境優(yōu)化設(shè)計(jì) IPSec，但如果安全連接的重要性超過(guò)故障轉(zhuǎn)移導(dǎo)致客戶端停機(jī)時(shí)間的威脅，則您也可以使用 IPSec。

NetBIOS

在 Windows Server 2003 中，群集服務(wù)不要求使用 NetBIOS；但是如果禁用 NetBIOS 的話，有一些服務(wù)就會(huì)受到影響。您應(yīng)當(dāng)了解以下情況：

•

默認(rèn)情況下，在配置群集時(shí)，在群集的“IP 地址”資源中是 啟用 NetBIOS 的。一旦群集創(chuàng)建完畢，您就應(yīng)當(dāng)通過(guò)取消選中“群集 IP 地址”資源屬性頁(yè)的參數(shù)頁(yè)上的復(fù)選框來(lái)禁用 NetBIOS。

•

在您創(chuàng)建其他“IP 地址”資源時(shí)，您應(yīng)當(dāng)取消選中“NetBIOS”復(fù)選框。

•

在禁用 NetBIOS 時(shí)，您將不能在打開(kāi)指向某個(gè)群集的連接時(shí)使用“群集管理器”的“瀏覽”功能。“群集管理器”使用 NetBIOS 來(lái)枚舉域中的所有群集。

•

打印和文件服務(wù)會(huì)被禁用 – 不會(huì)有任何虛擬名稱被添加為重定向器終結(jié)點(diǎn)。

•

如果指定群集名稱，則“群集管理器”將無(wú)法工作。“群集管理器”調(diào)用 GetNodeClusterState，后者使用遠(yuǎn)程注冊(cè)表 API，注冊(cè)表 API 則反過(guò)來(lái)根據(jù)虛擬名稱使用命名管道。