摘要

本文為 Microsoft Windows 2000 或 Windows Server 2003 服務器群集的網絡基礎結構提供了服務器群集要求和最佳做法。若要群集可以正常運行，必須滿足這些要求。最佳做法是從部署反饋和現場發現的問題中得來的一些建議。

群集網絡要求

本節介紹服務器群集對于網絡基礎結構的要求。若要服務器群集解決方案可以正常運行，必須滿足這些要求。

一般要求

本節介紹適用于所有服務器群集部署的要求。

•

群集的所有硬件配置都必須從“群集硬件兼容性列表”(HCL) 中選擇。網絡接口控制器 (NIC) 以及認證的群集配置中使用的任何其他組件都必須具有 Windows 徽標且包含在“Microsoft 硬件兼容性列表”中。

注意： 使用已記錄但并未出現在群集 HCL 中的組件來構建的群集配置不是合格的配置。

（Windows 2000、Windows Server 2003）

•

兩個或多個獨立網絡必須連接群集多個節點，以便避免單點故障。必須使用兩個本地局域網 (LAN)；不支持使用單一網絡的群集配置。 (Windows 2000、Windows Server 2003)

•

每個群集網絡故障的出現都必須獨立于所有其他群集網絡。也就是說，兩個群集網絡不能具有可導致兩個網絡同時出現故障的共用組件。例如，在大多數情況 下，如果使用多端口 NIC 將某個節點連接到兩個群集網絡就不滿足這個要求，因為端口不是獨立的。同樣地，共用一個交換機的兩個網絡也有可能出現單點故障。確保您的群集滿足這一要求 的最簡單的方法就是使用物理上獨立的組件來構建群集網絡。 （Windows 2000、Windows Server 2003）

•

所有用于將多個節點連接到同一群集網絡的適配器都必須使用相同的通信配置，例如相同的“速度”、“雙工模式”、“流量控制”和“介質類型”。如果適配器連接到某個交換機，則這個交換機的端點配置必須匹配這些適配器的端點配置。 （Windows 2000、Windows Server 2003）

•

每個群集網絡必須配置為一個 IP 子網，并且子網號必須與其他群集網絡的子網號不同。例如，一個群集可以使用配置為以下子網地址的兩個網絡：10.1.x.x 和 10.2.x.x，掩碼為 255.255.0.0。節點的地址可以由 DHCP 動態指定，但我們推薦人工配置靜態地址（參見“群集網絡最佳做法”一節）。不支持使用“動態專用 IP 地址”(APIPA) 來配置群集網絡。并且，APIPA 也不能用于連接到多個網絡的計算機。 （Windows 2000、Windows Server 2003）

•

若要支持群集節點之間的內部通信，則最少必須配置兩個群集網絡，以避免單點故障。也就是說，這些網絡角色的“群集服務”必須配置為“只用于內部群集通信”或“所有通信”。通常，其中會有一個網絡專用于連接內部群集通信（參見“群集網絡最佳做法”一節）。 （Windows 2000、Windows Server 2003）

•

目前還不支持在所有群集網絡上同時使用 NIC 組。最少會有一個支持群集節點間的內部通信的群集網絡不能成組。通常，這個不能成組的網絡就是專用于連接這種類型通信的網絡。在其他群集網絡上使用 NIC 組是可以接受的；但是，如果某個成組網絡中出現通信問題，Microsoft Product Support Services 可能會要求禁用該組。如果此操作可以解決問題，那么您必須向成組解決方案的提供商尋求更進一步的幫助。 （Windows 2000、Windows Server 2003）

•

群集的節點必須屬于一個域。域配置必須滿足以下要求，以便避免在身份驗證過程中出現單點故障：

•

這個域必須最少具有兩個域控制器，

•

如果使用 DNS 解析域中的名稱，則最少必須配置兩個 DNS Server。DNS 服務器應當支持動態更新，

•

每個域控制器和群集節點必須配置一個主 DNS Server 和最少一個輔助 DNS Server。如果域控制器同時也是 DNS Server，那么對于主 DNS 解析，每個域控制器都應當指向本身，對于輔助解析，則應當指向其他 DNS Server，

•

最少必須有兩個域控制器配置為全局編錄服務器。

（Windows 2000、Windows Server 2003）

地理位置分散的群集

本節討論對于地理位置分散的群集附加的一些要求：

•

群集中的節點可以位于不同的物理網絡中；但是群集節點之間專用網絡連接和公用網絡連接必須是使用類似于虛擬 LAN (VLAN) 技術的單一、非路由的 LAN。 （Windows 2000、Windows Server 2003）

•

任何兩個群集節點間的往返通信延遲都不能超過 500 毫秒。 （Windows 2000、Windows Server 2003）

•

對于 LAN，每個 VLAN 故障的出現都必須獨立于其他所有群集網絡。 （Windows 2000、Windows Server 2003）

•

由于地理位置分散的群集的復雜性，任何問題都需要得到硬件制造商或硬件供應商的幫助。通常，需要提供一些第三方軟件和驅動程序群集才能正常工作。 Microsoft Product Support Services 可能不知道這些組件如何與 Windows Clustering 交互。 （Windows 2000、Windows Server 2003）

群集網絡最佳做法

本節介紹部署服務器群集的網絡最佳做法。

硬件規劃建議 •

在所有群集節點中使用相同的 NIC；也就是說，每個適配器都具有相同的制造商、型號和固件版本。 （Windows 2000、Windows Server 2003）

•

保留一個網絡專用于群集節點之間的內部通信。這是專用網絡。使用其他網絡與客戶端通信。這些是公用網絡。不要在專用網絡上使用 NIC 組。 （Windows 2000、Windows Server 2003）

網絡接口控制器配置建議 •

人工選擇每個群集 NIC 的速度和雙工模式。不要使用自動檢測。一些適配器丟失數據包時會自動協商網絡設置。一個網絡中的所有適配器都必須配置為使用相同的速度和雙工模式。如果適配器連接到某個交換機，請確保這個交換機的端點配置與這些適配器的端點配置匹配。 （Windows 2000、Windows Server 2003）

•

對于專用網絡，請對所有節點使用靜態 IP 地址。請從以下一個范圍中選擇地址：

•

10.0.0.0 - 10.255.255.255（A 類網絡）

•

172.16.0.0 - 172.31.255.255（B 類網絡）

•

192.168.0.0 - 192.168.255.255（C 類網絡）

（Windows 2000、Windows Server 2003）

•

對于公用網絡，請對所有節點使用靜態 IP 地址。不推薦通過 DHCP 進行動態配置。因為無法續訂租期會打斷群集操作。 （Windows 2000、Windows Server 2003）

•

不要在專用 NIC 上配置 DNS 服務器、WINS 服務器或默認網關。 （Windows 2000、Windows Server 2003）

•

應當在公用 NIC 上配置 WINS 或 DNS 服務器。如果網絡名稱資源將會部署在公用網絡上，那么 DNS 服務器就應當支持動態更新；否則系統就會在故障轉移時提示進行名稱到 IP 地址映射更新。 （Windows 2000、Windows Server 2003）

•

如果群集節點使用公用 NIC 與遠程子網上的客戶端或服務通信，則請務必在這些 NIC 上配置默認網關。請注意在具有多個公用網絡的群集中，配置多個網絡中的節點作為一個默認網關可能會導致路由問題。 （Windows 2000、Windows Server 2003）

•

在每個群集節點上，請將網絡連接順序設置為：

•

公用網絡 – 最高優先級

•

專用網絡

•

遠程網絡連接 – 最低優先級

（Windows 2000、Windows Server 2003）

•

更改每個網絡連接的默認名稱，以便清楚地表明每個網絡的用途。例如，您可以將專用網絡連接的名稱從本地網絡連接 (x) 更改為專用群集網絡。 （Windows 2000、Windows Server 2003）

•

專用 LAN 應當是獨立的。只有群集節點可以連接到專用子網。如果存在多個群集，請對所有群集的專用網絡使用相同的子網。但是，不能將其他網絡基礎結構（例如域控制器、WINS 服務器、DHCP 服務器等）放置到專用子網中。 （Windows 2000、Windows Server 2003）

•

若要創建獨立的網絡分段，您可以使用具有創建 VLAN 分段能力的交換機或是使用集線器，如果是 2 節點服務器群集，也可以使用交叉線纜。 （Windows 2000、Windows Server 2003）

•

您應當禁用 TCP/IP 的介質探測策略，以便確保如果線纜斷開或是介質探測丟失，TCP/IP 配置和相應的群集網絡配置不會失效。將以下注冊表值添加到每個節點：

HKEY_LOCAL_MacHINESystemCurrentControlSetServicesTcpipParameters 值名稱：DisableDHCPMediaSense 數據類型：REG_DWord 數據：1

（Windows 2000）

群集服務配置建議 •

將專用網絡角色設置為“只用于內部群集通信”。確認每個公用網絡的角色被設置為“所有通信”（這是默認值）。 （Windows 2000、Windows Server 2003）

•

配置內部群集通信最優先使用專用網絡。 （Windows 2000、Windows Server 2003）

實施最佳做法的過程

本節介紹實施最佳做法的過程：

在配置群集服務之前配置網絡接口控制器 •

按照如下方法配置每個 NIC 的速度：

•

打開“控制面板”。打開“網絡連接”。右鍵單擊相應的連接對象，然后選擇“屬性”。單擊“配置”，然后選擇“高級”。

•

使用下拉列表，設置所需的網絡速度。

•

確保其他設置（例如“雙工模式”）與網絡上的所有適配器相同。

•

按照如下方法配置專用 NIC 的“Internet 協議”設置：

•

返回“網絡連接”。打開相應連接對象的“屬性”。

•

確保選中“Internet 協議 (TCP/IP)”復選框。

•

突出顯示“Internet 協議”，然后選擇“屬性”。

•

單擊“使用以下 IP 地址”單選按鈕，然后輸入一個靜態地址。

•

確保沒有為專用網絡配置任何默認網關。

•

請確認“使用以下 DNS Server 地址”框中沒有任何值。單擊“高級”。在“DNS”選項卡上，確認沒有定義任何值。請確?！霸?DNS 中注冊此連接的地址”和“在 DNS 注冊中使用此連接的 DNS 后綴”復選框沒有選中。注意，如果群集節點是 DNS 服務器，那么 IP 地址 127.0.0.1 將會出現在列表中，并一直位于列表中。

•

按照以下方法配置網絡連接順序：

•

返回“網絡連接”。選擇“高級”。選擇“高級設置”。在“連接”框中，按照如下方式排列網絡連接順序：

公用網絡

專用網絡

遠程訪問連接

•

按照以下方法更改網絡連接的默認名稱：

•

返回“網絡連接”。右鍵單擊網絡連接對象。選擇“重命名”。編輯名稱值。

•

用于代表某個網絡（例如專用網絡）的連接對象的名稱在所有節點上都必須一致。如果連接對象的名稱不一致，“群集服務”將會選擇一個名稱，并更改其他名稱以匹配這個名稱。

在配置群集服務之后配置群集網絡屬性

Windows 2000

在安裝群集軟件時，每個網絡都會出現一個“配置群集網絡”對話框（以任意順序）。對于公用網絡，請確保名稱和 IP 地址匹配公用網絡的網絡接口。選中復選框“為群集使用啟用這個網絡”。選中“所有通信（混合網絡）”選項。對于專用網絡，請確保名稱和 IP 地址匹配專用網絡的網絡接口。選中復選框“為群集使用啟用這個網絡”。選中“只用于內部群集通信”選項。

安裝期間的默認配置是將公用網絡適配器配置為“所有通信”，將專用（信號）網絡適配器配置為“只用于內部群集通信”。Microsoft 建議您保留此默認配置。為了您的群集能夠正確安裝和工作，您必須將最少一個網絡配置為“內部群集通信”或“所有通信”。

Windows Server 2003

Windows Server 2003 群集配置向導在配置期間不提供更改網絡設置的方式。所有網絡的默認設置都是啟用“所有通信”。這將確保群集可以正常工作。為了符合最佳做法，您應當按照以 下方法將其中一個網絡設置為專用網絡，并將專用網絡設置為內部群集通信最優先使用的網絡：

•

按照以下方法將專用網絡角色設置為“內部群集通信”：

•

在群集管理器中，雙擊群集名稱。您將會看到一個 Cluster Configuration 文件夾。

•

雙擊 Cluster Configuration 文件夾，然后雙擊 Networks 文件夾就可以看到所有可用的群集網絡。

•

選擇要為專用群集通信配置的網絡，然后選擇“屬性”。

•

在這個網絡的“屬性”中，您將會看到一些角色（例如“只用于客戶端訪問”）。對于專用網絡，請確保選中“為群集使用啟用這個網絡”復選框以及“只用于內部通信”角色。

•

按照以下方法專用網絡配置為內部群集通信最優先使用的網絡：

•

在“群集管理器”中，選擇群集，然后選擇“屬性”。

•

從“網絡優先級”選項卡中，確認專用網絡處于最頂端。

•

如果沒有，請使用“向上移動”按鈕來提高它的優先級。

IPSec

盡管可以對在服務器群集中可實現故障轉移的應用程序使用 Internet 協議安全 (IPSec)，但 IPSec 并非專為故障轉移的情況而設計，因此我們推薦您不要對服務器群集中的應用程序使用 IPSec。

主要的問題就是如果發生故障轉移的話，Internet 密鑰交換 (IKE) 安全關聯 (SAs) 并不會從一臺服務器傳送到另一臺服務器，因為它們是存儲在每個節點上的本地數據庫中的。

在受 IPSec 保護的連接中，會在第一階段協商時創建一個 IKE SA。在第二階段中會創建兩個 IPSec SA。一個超時值會與 IKE 和 IPSec SA 關聯。如果沒有使用“主密鑰完全向前保密”，則系統就會使用 IKE SA 的密鑰資料創建 IPSec SA。在這種情況下，客戶端必須等待入站 IPSec SA 的默認超時時間或有效期限結束，然后等待與 IKE SA 有關的超時時間或有效期限。

“安全關聯空閑計時器”(Security Association Idle Timer) 默認超時時間是 5 分鐘，在出現故障轉移的情況下，客戶端至少必須等候 5 分鐘，直到所有資源在線后，才可以使用 IPSec 重新建立連接。

盡管沒有為群集環境優化設計 IPSec，但如果安全連接的重要性超過故障轉移導致客戶端停機時間的威脅，則您也可以使用 IPSec。

NetBIOS

在 Windows Server 2003 中，群集服務不要求使用 NetBIOS；但是如果禁用 NetBIOS 的話，有一些服務就會受到影響。您應當了解以下情況：

•

默認情況下，在配置群集時，在群集的“IP 地址”資源中是 啟用 NetBIOS 的。一旦群集創建完畢，您就應當通過取消選中“群集 IP 地址”資源屬性頁的參數頁上的復選框來禁用 NetBIOS。

•

在您創建其他“IP 地址”資源時，您應當取消選中“NetBIOS”復選框。

•

在禁用 NetBIOS 時，您將不能在打開指向某個群集的連接時使用“群集管理器”的“瀏覽”功能?！叭杭芾砥鳌笔褂?NetBIOS 來枚舉域中的所有群集。

•

打印和文件服務會被禁用 – 不會有任何虛擬名稱被添加為重定向器終結點。

•

如果指定群集名稱，則“群集管理器”將無法工作?！叭杭芾砥鳌闭{用 GetNodeClusterState，后者使用遠程注冊表 API，注冊表 API 則反過來根據虛擬名稱使用命名管道。