群集网络最佳做法.doc

群集网络最佳做法 本节介绍部署服务器群集的网络最佳做法。 硬件规划建议 在所有群集节点中使用相同的 NIC；也就是说，每个适配器都具有相同的制造商、型号和固件版本。 保留一个网络专用于群集节点之间的内部通信。这是专用网络。使用其他网络与客户端通信。这些是公用网络。不要在专用网络上使用 NIC 组。 网络接口控制器配置建议 人工选择每个群集 NIC 的速度和双工模式。不要使用自动检测。一些适配器丢失数据包时会自动协商网络设置。一个网络中的所有适配器都必须配置为使用相同的速度和双工模式。如果适配器连接到某个交换机，请确保这个交换机的端点配置与这些适配器的端点配置匹配。 对于专用网络，请对所有节点使用静态 IP 地址。请从以下一个范围中选择地址： 10.0.0.0 - 10.255.255.255（A 类网络） 172.16.0.0 - 172.31.255.255（B 类网络） 192.168.0.0 - 192.168.255.255（C 类网络） 对于公用网络，请对所有节点使用静态 IP 地址。不推荐通过 DHCP 进行动态配置。因为无法续订租期会打断群集操作。 不要在专用 NIC 上配置 DNS 服务器、WINS 服务器或默认网关。 应当在公用 NIC 上配置 WINS 或 DNS 服务器。如果网络名称资源将会部署在公用网络上，那么 DNS 服务器就应当支持动态更新；否则系统就会在故障转移时提示进行名称到 IP 地址映射更新。 如果群集节点使用公用 NIC 与远程子网上的客户端或服务通信，则请务必在这些 NIC 上配置默认网关。请注意在具有多个公用网络的群集中，配置多个网络中的节点作为一个默认网关可能会导致路由问题。 在每个群集节点上，请将网络连接顺序设置为： 公用网络 最高优先级 专用网络 远程网络连接 最低优先级 更改每个网络连接的默认名称，以便清楚地表明每个网络的用途。例如，您可以将专用网络连接的名称从本地网络连接 (x) 更改为专用群集网络。 专用 LAN 应当是独立的。只有群集节点可以连接到专用子网。如果存在多个群集，请对所有群集的专用网络使用相同的子网。但是，不能将其他网络基础结构（例如域控制器、WINS 服务器、DHCP 服务器等）放置到专用子网中。 若要创建独立的网络分段，您可以使用具有创建 VLAN 分段能力的交换机或是使用集线器，如果是 2 节点服务器群集，也可以使用交叉线缆。 您应当禁用 TCP/IP 的介质探测策略，以便确保如果线缆断开或是介质探测丢失，TCP/IP 配置和相应的群集网络配置不会失效。将以下注册表值添加到每个节点： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters 值名称：DisableDHCPMediaSense 数据类型：REG_DWORD 数据：1 群集服务配置建议 将专用网络角色设置为“只用于内部群集通信”。确认每个公用网络的角色被设置为“所有通信”（这是默认值）。 配置内部群集通信最优先使用专用网络。 实施最佳做法的过程 本节介绍实施最佳做法的过程： 在配置群集服务之前配置网络接口控制器 按照如下方法配置每个 NIC 的速度： 打开“控制面板”。打开“网络连接”。右键单击相应的连接对象，然后选择“属性”。单击“配置”，然后选择“高级”。 使用下拉列表，设置所需的网络速度。 确保其他设置（例如“双工模式”）与网络上的所有适配器相同。 按照如下方法配置专用 NIC 的“Internet 协议”设置： 返回“网络连接”。打开相应连接对象的“属性”。 确保选中“Internet 协议 (TCP/IP)”复选框。 突出显示“Internet 协议”，然后选择“属性”。 单击“使用以下 IP 地址”单选按钮，然后输入一个静态地址。 确保没有为专用网络配置任何默认网关。 请确认“使用以下 DNS Server 地址”框中没有任何值。单击“高级”。在“DNS”选项卡上，确认没有定义任何值。请确保“在 DNS 中注册此连接的地址”和“在 DNS 注册中使用此连接的 DNS 后缀”复选框没有选中。注意，如果群集节点是 DNS 服务器，那么 IP 地址 127.0.0.1 将会出现在列表中，并一直位于列表中。 按照以下方法配置网络连接顺序： 返回“网络连接”。选择“高级”。选择“高级设置”。在“连接”框中，按照如下方式排列网络连接顺序： 公用网络 专用网络 远程访问连接 按照以下方法更改网络连接的默认名称： 返回“网络连接”。右键单击网络连接对象。选择“重命名”。编辑名称值。 用于代表某个网络（例如专用网络）的连接对象的名称在所有节点上都必须一致。如果连接对象的名称不一致，“群集服务”将会选择一个名称，并更改其他名称以匹配这个名称。 在配置群集服务之后配置群集网络属性 Windows 2000 在安装群集软件时，每个网络都会出现一个“配置群集网络”对话框（以任意顺序）。对于公用网络，请确保名称和 IP 地址匹配公用网络的网络接口。选中复选框“为群集使用启用这个网络”。选中“所有通信（混合网络）”选项。对于专用网络，请确保名称和 IP 地址匹配专用网络的网络接口。选中复选框“为群集使用启用这个网络”。选中“只用于内部群集通信”选项。 安装期间的默认配置是将公用网络适配器配置为“所有通信”，将专用（信号）网络适配器配置为“只用于内部群集通信”。Microsoft 建议您保留此默认配置。为了您的群集能够正确安装和工作，您必须将最少一个网络配置为“内部群集通信”或“所有通信”。 Windows Server 2003 Windows Server 2003 群集配置向导在配置期间不提供更改网络设置的方式。所有网络的默认设置都是启用“所有通信”。这将确保群集可以正常工作。为了符合最佳做法，您应当按照以 下方法将其中一个网络设置为专用网络，并将专用网络设置为内部群集通信最优先使用的网络： 按照以下方法将专用网络角色设置为“内部群集通信”： 在群集管理器中，双击群集名称。您将会看到一个 Cluster Configuration 文件夹。 双击 Cluster Configuration 文件夹，然后双击 Networks 文件夹就可以看到所有可用的群集网络。 选择要为专用群集通信配置的网络，然后选择“属性”。 在这个网络的“属性”中，您将会看到一些角色（例如“只用于客户端访问”）。对于专用网络，请确保选中“为群集使用启用这个网络”复选框以及“只用于内部通信”角色。 按照以下方法专用网络配置为内部群集通信最优先使用的网络： 在“群集管理器”中，选择群集，然后选择“属性”。 从“网络优先级”选项卡中，确认专用网络处于最顶端。 如果没有，请使用“向上移动”按钮来提高它的优先级。 IPSec 尽管可以对在服务器群集中可实现故障转移的应用程序使用 Internet 协议安全 (IPSec)，但 IPSec 并非专为故障转移的情况而设计，因此我们推荐您不要对服务器群集中的应用程序使用 IPSec。 主要的问题就是如果发生故障转移的话，Internet 密钥交换 (IKE) 安全关联 (SAs) 并不会从一台服务器传送到另一台服务器，因为它们是存储在每个节点上的本地数据库中的。 在受 IPSec 保护的连接中，会在第一阶段协商时创建一个 IKE SA。在第二阶段中会创建两个 IPSec SA。一个超时值会与 IKE 和 IPSec SA 关联。如果没有使用“主密钥完全向前保密”，则系统就会使用 IKE SA 的密钥资料创建 IPSec SA。在这种情况下，客户端必须等待入站 IPSec SA 的默认超时时间或有效期限结束，然后等待与 IKE SA 有关的超时时间或有效期限。 “安全关联空闲计时器”(Security Association Idle Timer) 默认超时时间是 5 分钟，在出现故障转移的情况下，客户端至少必须等候 5 分钟，直到所有资源在线后，才可以使用 IPSec 重新建立连接。 尽管没有为群集环境优化设计 IPSec，但如果安全连接的重要性超过故障转移导致客户端停机时间的威胁，则您也可以使用 IPSec。 NetBIOS 在 Windows Server 2003 中，群集服务不要求使用 NetBIOS；但是如果禁用 NetBIOS 的话，有一些服务就会受到影响。您应当了解以下情况： 默认情况下，在配置群集时，在群集的“IP 地址”资源中是 启用 NetBIOS 的。一旦群集创建完毕，您就应当通过取消选中“群集 IP 地址”资源属性页的参数页上的复选框来禁用 NetBIOS。 在您创建其他“IP 地址”资源时，您应当取消选中“NetBIOS”复选框。 在禁用 NetBIOS