VPN 虚拟网络.docx
- 文档编号:7597978
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:33
- 大小:1.02MB
VPN 虚拟网络.docx
《VPN 虚拟网络.docx》由会员分享,可在线阅读,更多相关《VPN 虚拟网络.docx(33页珍藏版)》请在冰豆网上搜索。
VPN虚拟网络
VPN虚拟网络
那个地点就选择刚才新建的VPN组就能够了。
群集网络要求
服务器群集关于网络基础结构的要求。
假设要服务器群集解决方案能够正常运行,必须满足这些要求。
一样要求
适用于所有服务器群集部署的要求。
群集的所有硬件配置都必须从〝群集硬件兼容性列表〞(HCL)中选择。
网络接口操纵器(NIC)以及认证的群集配置中使用的任何其他组件都必须具有Windows徽标且包含在〝Microsoft硬件兼容性列表〞中。
注意:
使用已记录但并未显现在群集HCL中的组件来构建的群集配置不是合格的配置。
〔Windows2000、WindowsServer2003〕
两个或多个独立网络必须连接群集多个节点,以便幸免单点故障。
必须使用两个本地局域网(LAN);不支持使用单一网络的群集配置。
(Windows2000、WindowsServer2003)
每个群集网络故障的显现都必须独立于所有其他群集网络。
也确实是说,两个群集网络不能具有可导致两个网络同时显现故障的共用组件。
例如,在大多数情形下,假如使用多端口NIC将某个节点连接到两个群集网络就不满足那个要求,因为端口不是独立的。
同样地,共用一个交换机的两个网络也有可能显现单点故障。
确保您的群集满足这一要求的最简单的方法确实是使用物理上独立的组件来构建群集网络。
〔Windows2000、WindowsServer2003〕
所有用于将多个节点连接到同一群集网络的适配器都必须使用相同的通信配置,例如相同的〝速度〞、〝双工模式〞、〝流量操纵〞和〝介质类型〞。
假如适配器连接到某个交换机,那么那个交换机的端点配置必须匹配这些适配器的端点配置。
〔Windows2000、WindowsServer2003〕
每个群集网络必须配置为一个IP子网,同时子网号必须与其他群集网络的子网号不同。
例如,一个群集能够使用配置为以下子网地址的两个网络:
10.1.x.x和10.2.x.x,掩码为255.255.0.0。
节点的地址能够由DHCP动态指定,但我们举荐人工配置静态地址〔参见〝群集网络最正确做法〞一节〕。
不支持使用〝动态专用IP地址〞(APIPA)来配置群集网络。
同时,APIPA也不能用于连接到多个网络的运算机。
〔Windows2000、WindowsServer2003〕
假设要支持群集节点之间的内部通信,那么最少必须配置两个群集网络,以幸免单点故障。
也确实是说,这些网络角色的〝群集服务〞必须配置为〝只用于内部群集通信〞或〝所有通信〞。
通常,其中会有一个网络专用于连接内部群集通信〔参见〝群集网络最正确做法〞一节〕。
〔Windows2000、WindowsServer2003〕
目前还不支持在所有群集网络上同时使用NIC组。
最少会有一个支持群集节点间的内部通信的群集网络不能成组。
通常,那个不能成组的网络确实是专用于连接这种类型通信的网络。
在其他群集网络上使用NIC组是能够同意的;然而,假如某个成组网络中显现通信问题,MicrosoftProductSupportServices可能会要求禁用该组。
假如此操作能够解决问题,那么您必须向成组解决方案的提供商寻求更进一步的关心。
〔Windows2000、WindowsServer2003〕
群集的节点必须属于一个域。
域配置必须满足以下要求,以便幸免在身份验证过程中显现单点故障:
那个域必须最少具有两个域操纵器,
假如使用DNS解析域中的名称,那么最少必须配置两个DNSServer。
DNS服务器应当支持动态更新,
每个域操纵器和群集节点必须配置一个主DNSServer和最少一个辅助DNSServer。
假如域操纵器同时也是DNSServer,那么关于主DNS解析,每个域操纵器都应当指向本身,关于辅助解析,那么应当指向其他DNSServer,
最少必须有两个域操纵器配置为全局编录服务器。
〔Windows2000、WindowsServer2003〕
地理位置分散的群集
本节讨论关于地理位置分散的群集附加的一些要求:
群集中的节点能够位于不同的物理网络中;然而群集节点之间专用网络连接和公用网络连接必须是使用类似于虚拟LAN(VLAN)技术的单一、非路由的LAN。
〔Windows2000、WindowsServer2003〕
任何两个群集节点间的往返通信延迟都不能超过500毫秒。
〔Windows2000、WindowsServer2003〕
关于LAN,每个VLAN故障的显现都必须独立于其他所有群集网络。
〔Windows2000、WindowsServer2003〕
由于地理位置分散的群集的复杂性,任何问题都需要得到硬件制造商或硬件供应商的关心。
通常,需要提供一些第三方软件和驱动程序群集才能正常工作。
MicrosoftProductSupportServices可能不明白这些组件如何与WindowsClustering交互。
〔Windows2000、WindowsServer2003〕
群集网络最正确做法
本节介绍部署服务器群集的网络最正确做法。
硬件规划建议
在所有群集节点中使用相同的NIC;也确实是说,每个适配器都具有相同的制造商、型号和固件版本。
〔Windows2000、WindowsServer2003〕
保留一个网络专用于群集节点之间的内部通信。
这是专用网络。
使用其他网络与客户端通信。
这些是公用网络。
不要在专用网络上使用NIC组。
〔Windows2000、WindowsServer2003〕
网络接口操纵器配置建议
人工选择每个群集NIC的速度和双工模式。
不要使用自动检测。
一些适配器丢失数据包时会自动协商网络设置。
一个网络中的所有适配器都必须配置为使用相同的速度和双工模式。
假如适配器连接到某个交换机,请确保那个交换机的端点配置与这些适配器的端点配置匹配。
〔Windows2000、WindowsServer2003〕
关于专用网络,请对所有节点使用静态IP地址。
请从以下一个范畴中选择地址:
10.0.0.0-10.255.255.255〔A类网络〕
172.16.0.0-172.31.255.255〔B类网络〕
192.168.0.0-192.168.255.255〔C类网络〕
〔Windows2000、WindowsServer2003〕
关于公用网络,请对所有节点使用静态IP地址。
不举荐通过DHCP进行动态配置。
因为无法续订租期会打断群集操作。
〔Windows2000、WindowsServer2003〕
不要在专用NIC上配置DNS服务器、WINS服务器或默认网关。
〔Windows2000、WindowsServer2003〕
应当在公用NIC上配置WINS或DNS服务器。
假如网络名称资源将会部署在公用网络上,那么DNS服务器就应当支持动态更新;否那么系统就会在故障转移时提示进行名称到IP地址映射更新。
〔Windows2000、WindowsServer2003〕
假如群集节点使用公用NIC与远程子网上的客户端或服务通信,那么请务必在这些NIC上配置默认网关。
请注意在具有多个公用网络的群集中,配置多个网络中的节点作为一个默认网关可能会导致路由问题。
〔Windows2000、WindowsServer2003〕
在每个群集节点上,请将网络连接顺序设置为:
公用网络–最高优先级
专用网络
远程网络连接–最低优先级
〔Windows2000、WindowsServer2003〕
更换每个网络连接的默认名称,以便清晰地说明每个网络的用途。
例如,您能够将专用网络连接的名称从本地网络连接(x)更换为专用群集网络。
〔Windows2000、WindowsServer2003〕
专用LAN应当是独立的。
只有群集节点能够连接到专用子网。
假如存在多个群集,请对所有群集的专用网络使用相同的子网。
然而,不能将其他网络基础结构〔例如域操纵器、WINS服务器、DHCP服务器等〕放置到专用子网中。
〔Windows2000、WindowsServer2003〕
假设要创建独立的网络分段,您能够使用具有创建VLAN分段能力的交换机或是使用集线器,假如是2节点服务器群集,也能够使用交叉线缆。
〔Windows2000、WindowsServer2003〕
您应当禁用TCP/IP的介质探测策略,以便确保假如线缆断开或是介质探测丢失,TCP/IP配置和相应的群集网络配置可不能失效。
将以下注册表值添加到每个节点:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
值名称:
DisableDHCPMediaSense
数据类型:
REG_DWORD
数据:
1
〔Windows2000〕
群集服务配置建议
将专用网络角色设置为〝只用于内部群集通信〞。
确认每个公用网络的角色被设置为〝所有通信〞〔这是默认值〕。
〔Windows2000、WindowsServer2003〕
配置内部群集通信最优先使用专用网络。
〔Windows2000、WindowsServer2003〕
实施最正确做法的过程
本节介绍实施最正确做法的过程:
在配置群集服务之前配置网络接口操纵器
按照如下方法配置每个NIC的速度:
打开〝操纵面板〞。
打开〝网络连接〞。
右键单击相应的连接对象,然后选择〝属性〞。
单击〝配置〞,然后选择〝高级〞。
使用下拉列表,设置所需的网络速度。
确保其他设置〔例如〝双工模式〞〕与网络上的所有适配器相同。
按照如下方法配置专用NIC的〝Internet协议〞设置:
返回〝网络连接〞。
打开相应连接对象的〝属性〞。
确保选中〝Internet协议(TCP/IP)〞复选框。
突出显示〝Internet协议〞,然后选择〝属性〞。
单击〝使用以下IP地址〞单项选择按钮,然后输入一个静态地址。
确保没有为专用网络配置任何默认网关。
请确认〝使用以下DNSServer地址〞框中没有任何值。
单击〝高级〞。
在〝DNS〞选项卡上,确认没有定义任何值。
请确保〝在DNS中注册此连接的地址〞和〝在DNS注册中使用此连接的DNS后缀〞复选框没有选中。
注意,假如群集节点是DNS服务器,那么IP地址127.0.0.1将会显现在列表中,并一直位于列表中。
按照以下方法配置网络连接顺序:
返回〝网络连接〞。
选择〝高级〞。
选择〝高级设置〞。
在〝连接〞框中,按照如下方式排列网络连接顺序:
公用网络
专用网络
远程访问连接
按照以下方法更换网络连接的默认名称:
返回〝网络连接〞。
右键单击网络连接对象。
选择〝重命名〞。
编辑名称值。
用于代表某个网络〔例如专用网络〕的连接对象的名称在所有节点上都必须一致。
假如连接对象的名称不一致,〝群集服务〞将会选择一个名称,并更换其他名称以匹配那个名称。
在配置群集服务之后配置群集网络属性
Windows2000
在安装群集软件时,每个网络都会显现一个〝配置群集网络〞对话框〔以任意顺序〕。
关于公用网络,请确保名称和IP地址匹配公用网络的网络接口。
选中复选框〝为群集使用启用那个网络〞。
选中〝所有通信〔混合网络〕〞选项。
关于专用网络,请确保名称和IP地址匹配专用网络的网络接口。
选中复选框〝为群集使用启用那个网络〞。
选中〝只用于内部群集通信〞选项。
安装期间的默认配置是将公用网络适配器配置为〝所有通信〞,将专用〔信号〕网络适配器配置为〝只用于内部群集通信〞。
Microsoft建议您保留此默认配置。
为了您的群集能够正确安装和工作,您必须将最少一个网络配置为〝内部群集通信〞或〝所有通信〞。
WindowsServer2003
WindowsServer2003群集配置向导在配置期间不提供更换网络设置的方式。
所有网络的默认设置差不多上启用〝所有通信〞。
这将确保群集能够正常工作。
为了符合最正确做法,您应当按照以下方法将其中一个网络设置为专用网络,并将专用网络设置为内部群集通信最优先使用的网络:
按照以下方法将专用网络角色设置为〝内部群集通信〞:
在群集治理器中,双击群集名称。
您将会看到一个ClusterConfiguration文件夹。
双击ClusterConfiguration文件夹,然后双击Networks文件夹就能够看到所有可用的群集网络。
选择要为专用群集通信配置的网络,然后选择〝属性〞。
在那个网络的〝属性〞中,您将会看到一些角色〔例如〝只用于客户端访问〞〕。
关于专用网络,请确保选中〝为群集使用启用那个网络〞复选框以及〝只用于内部通信〞角色。
按照以下方法专用网络配置为内部群集通信最优先使用的网络:
在〝群集治理器〞中,选择群集,然后选择〝属性〞。
从〝网络优先级〞选项卡中,确认专用网络处于最顶端。
假如没有,请使用〝向上移动〞按钮来提高它的优先级。
IPSec
尽管能够对在服务器群集中可实现故障转移的应用程序使用Internet协议安全(IPSec),但IPSec并非专为故障转移的情形而设计,因此我们举荐您不要对服务器群集中的应用程序使用IPSec。
要紧的问题确实是假如发生故障转移的话,Internet密钥交换(IKE)安全关联(SAs)并可不能从一台服务器传送到另一台服务器,因为它们是储备在每个节点上的本地数据库中的。
在受IPSec爱护的连接中,会在第一时期协商时创建一个IKESA。
在第二时期中会创建两个IPSecSA。
一个超时值会与IKE和IPSecSA关联。
假如没有使用〝主密钥完全向前保密〞,那么系统就会使用IKESA的密钥资料创建IPSecSA。
在这种情形下,客户端必须等待入站IPSecSA的默认超时时刻或有效期限终止,然后等待与IKESA有关的超时时刻或有效期限。
〝安全关联闲暇计时器〞(SecurityAssociationIdleTimer)默认超时时刻是5分钟,在显现故障转移的情形下,客户端至少必须等候5分钟,直到所有资源在线后,才能够使用IPSec重新建立连接。
尽管没有为群集环境优化设计IPSec,但假如安全连接的重要性超过故障转移导致客户端停机时刻的威逼,那么您也能够使用IPSec。
NetBIOS
在WindowsServer2003中,群集服务不要求使用NetBIOS;然而假如禁用NetBIOS的话,有一些服务就会受到阻碍。
您应当了解以下情形:
默认情形下,在配置群集时,在群集的〝IP地址〞资源中是启用NetBIOS的。
一旦群集创建完毕,您就应当通过取消选中〝群集IP地址〞资源属性页的参数页上的复选框来禁用NetBIOS。
在您创建其他〝IP地址〞资源时,您应当取消选中〝NetBIOS〞复选框。
在禁用NetBIOS时,您将不能在打开指向某个群集的连接时使用〝群集治理器〞的〝扫瞄〞功能。
〝群集治理器〞使用NetBIOS来枚举域中的所有群集。
打印和文件服务会被禁用–可不能有任何虚拟名称被添加为重定向器终结点。
假如指定群集名称,那么〝群集治理器〞将无法工作。
〝群集治理器〞调用GetNodeClusterState,后者使用远程注册表API,注册表API那么反过来依照虚拟名称使用命名管道。
配置群集服务
您必须在安装的第一个时期提供所有初始配置信息。
该步骤是通过使用〝群集配置向导〞来完成的。
如下方流程图所示,〝Form(形成)〞(创建一个新群集)和〝Join(加入)〞(添加节点)所采取的路径有所不同,然而它们共有一些相同的设置页面,即〝凭证登录〞、〝分析〞以及〝重新分析并启动服务〞。
而在以下页面上那么有少许不同:
〝欢迎〞、〝选择运算机〞和〝群集服务帐户〞。
在本课的下面两个部分中,您将执行反映所有这些配置路径的向导页面。
当您完成了所有的步骤,本白皮书将在第三部分中详细描述〝分析〞和〝重新分析并启动服务〞页面,以及这些屏幕所提供的信息的具体意思。
注意:
在节点1上进行群集服务配置的过程中,您必须关闭所有其它节点,并开启所有共享储备设备。
配置第一个节点
1.依次单击〝开始〞、〝所有程序〞和〝治理工具〞,然后单击〝群集治理器〞。
2.当显现〝打开群集连接向导〞提示时,在〝执行〞下拉列表中,单击〝创建新群集〞,如下方图9所示。
图9.〝执行〞下拉列表。
3.确认您具有配置群集所必需的前提条件,如下方图10所示。
单击〝下一步〞。
图10.前提条件列表属于〝新建服务器群集向导欢迎〞页面的一部分。
4.键入群集的唯独NetBIOS名称(最多15个字符),然后单击〝下一步〞。
(在下方图11所示的例子中,群集被命名为〝MyCluster(我的群集)〞)建议遵守DNS命名规那么。
更多信息,请在Microsoft知识库中参阅以下文章:
NetBIOS后缀(NetBIOS名称的第16个字符)〝NetBIOSSuffixes(16thCharacteroftheNetBIOSName)〞
DNS名称空间规划(DNSNamespacePlanning)
图11.建议在命名群集时遵守DNS命名规那么。
5.假如您在本地登录一个不属于〝具有本地治理特权的域帐户〞的帐户,向导将提示您指定一个帐户。
群集服务可不能使用该帐户进行启动。
注意:
假如您拥有正确的凭证,步骤5所提到的提示,如图12所示,可能可不能显现。
图12.〝新建服务器群集向导〞提示您指定一个帐户。
6.由于可能对群集进行远程配置,因此您必须确认或键入将要作为第一个节点创建群集的服务器的名称,如下方图13所示。
单击〝下一步〞。
图13.选择将要作为群集中第一个节点的运算机名称。
注意:
〝安装〞向导能够验证所有的节点是否都能够看到共享磁盘。
在复杂的储备区域网络中,磁盘的目标识别符(TID)有时可能有所不同,而且〝安装〞程序可能错误地检测到磁盘配置对其无效。
要解决那个问题,您能够单击〝高级〞按钮,然后单击〝高级(最小)配置〞。
附加信息,请在Microsoft知识库中参阅下方文章:
群集安装程序在您添加节点时可能不工作(ClusterSetupMayNotWorkWhenYouAddNodes)
7.下方图14显示〝安装〞程序现在将分析节点,查找可能导致安装显现问题的硬件或软件问题。
检查所有警告或错误信息。
您还能够单击〝详细信息〞按钮,了解有关每个警告或提示的详细信息。
图14.〝安装〞程序分析节点,查找可能存在的硬件或软件问题。
8.键入唯独的群集IP地址(本例为:
172.26.204.10),然后单击〝下一步〞。
如下方图15所示,〝新建服务器群集向导〞通过使用子网掩码选择正确的网络,自动与其中一个公用网络关联群集IP地址。
群集IP地址只能用于治理,而不能用于客户端连接。
图15.〝新建服务器群集向导〞自动与其中一个公用网络关联群集IP地址。
9.键入在预安装时创建的群集服务帐户的〝用户名〞和〝密码〞。
(在下方图16的例子中,用户名为:
〝Cluster(群集)〞)在〝域〞下拉列表中选择域名,然后单击〝下一步〞。
这时,〝群集配置向导〞将验证用户帐户和密码。
图16.向导提示您提供在预安装时所创建的帐户。
10.检查〝摘要〞页面,如下方图17所示,确认所有将用于创建群集的信息均准确无误。
假如需要,您能够使用仲裁按钮,更换由默认自动选择的磁盘指派的仲裁磁盘。
本屏幕上所显示的摘要信息可用于在显现灾难复原状况时,重新配置群集。
建议您储存并打印一份硬拷贝,与服务器上的更换治理日志保持一致。
注意:
〝仲裁〞按钮也可用于指定一个多数节点集(MajorityNodeSet,MNS)仲裁模型。
在您创建MNS群集时,这是要紧的配置区别之一。
图17.建议采纳的〝群集配置〞页面。
11.检查所有在群集创建过程中遇到的警告或错误。
具体操作是单击加号查看更多信息,然后单击〝下一步〞。
显现在〝创建群集〞页面的警告和错误如图18所示。
图18.显现在〝创建群集〞页面上的警告和错误。
12.单击〝完成〞,终止安装。
下方图19显示最终的步骤。
图19.设置一个新的服务器群集的最终步骤。
注意:
要查看详细的摘要,单击〝查看日志〞按钮,或者查看储存在该位置:
%SystemRoot%
验证群集安装
使用〝群集治理器〞(CluAdmin.exe),在节点1上验证群集服务安装。
验证群集安装
1.依次单击〝开始〞、〝所有程序〞和〝治理工具〞,然后单击〝群集治理器〞。
2.确认所有的资源均顺利地实现了联机,如下方图20所示。
图20.〝群集治理器〞验证所有的资源均顺利地实现联机。
注意原那么上,不要将任何东西放到群集组中,不要从群集组中取出任何东西,也不要使用群集组中的任何东西执行群集治理以外的操作。
配置第二个节点
在另一个节点上安装群集服务所需的时刻要比花在第一个节点上的时刻少。
〝安装〞程序基于第一个节点的配置,在第二个节点上配置群集服务网络设置。
与此同时,您还能够通过远程操作为群集添加多个节点。
注意:
关于本部分,开启节点1和所有的共享磁盘,然后开启所有其它节点。
这时,群集服务将操纵关于共享磁盘的访问,以便杜绝任何可能破坏卷的机会。
1.在节点1上打开〝群集治理器〞。
2.单击〝文件〞,单击〝新建〞,然后单击〝节点〞。
3.将启动〝添加群集运算机向导〞,单击〝下一步〞。
4.假如您没有通过正确的凭证进行登录,将要求您指定一个对群集中所有节点具有治理权益的域帐户。
5.输入您要将其添加到群集的节点的机器名称,单击〝添加〞。
重复该步骤,如下方图21所示,添加您想要的其它节点。
当您添加完了所有的节点,单击〝下一步〞。
图21.对群集添加节点。
6.〝安装〞向导将对所有节点执行分析,以便确认它们得到了正确的配置。
7.键入用于启动群集服务的帐户密码。
8.检查所显示的用于确认的摘要信息。
摘要信息将用于在其它节点加入群集时对其进行配置。
9.检查群集创建过程中遇到的所有警告或错误,然后单击〝下一步〞。
10.单击〝完成〞,终止安装。
心跳配置
现在,每个节点上的网络都已得到了正确的配置,而且群集服务也已配置完毕,这时您需要配置网络角色,以便定义各个网络在群集中的功能。
那个地点有一份〝群集治理器〞中网络配置选项的列表:
1.针对群集应用启用:
假如选定了该复选框,群集服务将使用该网络。
默认对所有网络选定该复选框。
2.仅用于客户端访问(公用网络):
假如您想让群集服务仅使用该网络适配器与其它
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 虚拟网络 虚拟 网络