Windows叢集網路設定最佳做法

要開始做叢集了，找點資料來看看：

閱讀提示：本文為 Microsoft Windows 2000 或 Windows Server 2003 伺服器叢集的網路基礎結構提供了伺服器叢集要求和最佳做法。若要群集可以正常運行，必須滿足這些要求。最佳做法是從部署反饋和現場發現的問題中得來的一些建議。

叢集網路要求
本節介紹伺服器叢集對於網路基礎結構的要求。若要伺服器叢集解決方案可以正常運行，必須滿足這些要求。
一般要求
本節介紹適用於所有伺服器叢集部署的要求。
群集的所有硬體設定都必須從“群集硬體相容性列表”(HCL) 中選擇。網路介面控制器 (NIC) 以及認證的群集配置中使用的任何其他組件都必須具有 Windows 徽標且包含在“Microsoft 硬體相容性列表”中。
注意： 使用已記錄但並未出現在群集 HCL 中的組件來構建的群集配置不是合格的配置。
兩個或多個獨立網路必須串連群集多個節點，以便避免單點故障。必須使用兩個本地區域網路 (LAN)；不支援使用單一網路的群集配置。
每個叢集網路故障的出現都必須獨立於所有其他叢集網路。也就是說，兩個叢集網路不能具有可導致兩個網路同時出現故障的共用組件。例如，在大多數情況  下，如果使用多連接埠 NIC 將某個節點串連到兩個叢集網路就不滿足這個要求，因為連接埠不是獨立的。同樣地，共用一個交換器的兩個網路也有可能出現單點故障。確保您的群集滿足這一要求 的最簡單的方法就是使用物理上獨立的組件來構建叢集網路。
所有用於將多個節點串連到同一叢集網路的適配器都必須使用相同的通訊配置，例如相同的“速度”、“雙工模式”、“流量控制”和“介質類型”。如果適配器串連到某個交換器，則這個交換器的端點配置必須匹配這些適配器的端點配置。
每個叢集網路必須配置為一個 IP 子網，並且子網號必須與其他叢集網路的子網號不同。例如，一個群集可以使用配置為以下子網地址的兩個網路： 10.1.x.x 和 10.2.x.x，掩碼為 255.255.0.0。節點的地址可以由 DHCP 動態指定，但我們推薦人工配置靜態地址（參見 “叢集網路最佳做法”一節）。不支援使用“動態專用 IP 地址”(APIPA) 來配置叢集網路。並且，APIPA 也不能用於串連到多個網路的電腦。
若要支援叢集節點之間的內部通訊，則最少必須配置兩個叢集網路，以避免單點故障。也就是說，這些網路角色的“叢集服務”必須配置為“只用於內部群集通訊”或“所有通訊”。通常，其中會有一個網路專用於串連內部群集通訊（參見“叢集網路最佳做法”一節）。
目前還不支援在所有叢集網路上同時使用 NIC 組。最少會有一個支援叢集節點間的內部通訊的叢集網路不能成組。通常，這個不能成組的網路就是專用於串連這種類型通訊的網路。在其他叢集網路上使用 NIC 組是可以接受的；但是，如果某個成組網路中出現通訊問題，Microsoft Product Support Services 可能會要求禁用該組。如果此操作可以解決問題，那麼您必須向成組解決方案的供應商尋求更進一步的協助。
群集的節點必須屬於一個域。網域設定必須滿足以下要求，以便避免在身分識別驗證過程中出現單點故障：
這個域必須最少具有兩個網域控制站，如果使用 DNS 解析域中的名稱，則最少必須配置兩個 DNS Server。DNS 伺服器應當支援動態更新，每個網域控制站和叢集節點必須配置一個主 DNS Server 和最少一個輔助 DNS Server。如果網域控制站同時也是 DNS Server，那麼對於主 DNS 解析，每個網域控制站都應當指向本身，對於輔助解析，則應當指向其他 DNS Server，最少必須有兩個網域控制站配置為通用類別目錄伺服器。
地理位置分散的群集
本節討論對於地理位置分散的群集附加的一些要求：
群集中的節點可以位於不同的物理網路中；但是叢集節點之間專用網路連接和公用網路連接必須是使用類似於虛擬 LAN (VLAN) 技術的單一、非路由的 LAN。
任何兩個叢集節點間的往返通訊延遲都不能超過 500 毫秒。
對於 LAN，每個 VLAN 故障的出現都必須獨立於其他所有叢集網路。
由於地理位置分散的群集的複雜性，任何問題都需要得到硬體製造商或硬體供應商的協助。通常，需要提供一些第三方軟體和驅動程式群集才能正常工作。  Microsoft Product Support Services 可能不知道這些組件如何與 Windows Clustering 互動。
叢集網路最佳做法
本節介紹部署伺服器叢集的網路最佳做法。
硬體規劃建議
在所有叢集節點中使用相同的 NIC；也就是說，每個適配器都具有相同的製造商、型號和韌體版本。
保留一個網路專用於叢集節點之間的內部通訊。這是專用網路。使用其他網路與用戶端通訊。這些是公用網路。不要在專用網路上使用 NIC 組。
網路介面控制器配置建議
人工選擇每個群集 NIC 的速度和雙工模式。不要使用自動檢測。一些適配器遺失資料包時會自動協商網路設定。一個網路中的所有適配器都必須配置為使用相同的速度和雙工模式。如果適配器串連到某個交換器，請確保這個交換器的端點配置與這些適配器的端點配置匹配。
對於專用網路，請對所有節點使用靜態 IP 地址。請從以下一個範圍中選擇地址：

10.0.0.0 - 10.255.255.255（A 類網路） 172.16.0.0 - 172.31.255.255（B 類網路） 192.168.0.0 - 192.168.255.255（C 類網路）

對於公用網路，請對所有節點使用靜態 IP 地址。不推薦通過 DHCP 進行動態配置。因為無法續訂租期會打斷群集操作。
不要在專用 NIC 上配置 DNS 伺服器、WINS 伺服器或預設閘道。
應當在公用 NIC 上配置 WINS 或 DNS 伺服器。如果網路名稱資源將會部署在公用網路上，那麼 DNS 伺服器就應當支援動態更新；否則系統就會在容錯移轉時提示進行名稱到 IP 地址映射更新。
如果叢集節點使用公用 NIC 與遠程子網上的用戶端或服務通訊，則請務必在這些 NIC 上配置預設閘道。請注意在具有多個公用網路的群集中，配置多個網路中的節點作為一個預設閘道可能會導致路由問題。
在每個叢集節點上，請將網路連接順序設定為：
公用網路 – 最高優先順序
專用網路
遠程網路連接 – 最低優先順序
更改每個網路連接的預設名稱，以便清楚地表明每個網路的用途。例如，您可以將專用網路連接的名稱從本網串連 (x) 更改為專用叢集網路。
專用 LAN 應當是獨立的。只有叢集節點可以串連到專用子網。如果存在多個群集，請對所有群集的專用網路使用相同的子網。但是，不能將其他網路基礎結構（例如網域控制站、WINS 伺服器、DHCP 伺服器等）放置到專用子網中。
若要建立獨立的網路分段，您可以使用具有建立 VLAN 分段能力的交換器或是使用集線器，如果是 2 節點伺服器叢集，也可以使用交叉線纜。
您應當禁用 TCP/IP 的介質探測策略，以便確保如果線纜斷開或是介質探測丟失，TCP/IP 配置和相應的叢集網路配置不會失效。將以下註冊表值添加到每個節點：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\  Services\Tcpip\Parameters  值名稱：DisableDHCPMediaSense  資料類型：REG_DWORD  資料：1

叢集服務配置建議
將專用網路角色設定為“只用於內部群集通訊”。確認每個公用網路的角色被設定為“所有通訊”（這是預設值）。
配置內部群集通訊最優先使用專用網路。
實施最佳做法的過程
本節介紹實施最佳做法的過程：
在配置叢集服務之前配置網路介面控制器
按照如下方法配置每個 NIC 的速度：

開啟“控制台”。開啟“網路連接”。按右鍵相應 的連線物件，然後選擇“屬性”。  單擊“配置”，然後選擇“進階”。  使用下拉式清單，設定所需的網路速度。  確保其他設定（例如“雙工模式”）與網路上的所有 適配器相同。  按照如下方法配置專用 NIC 的“Internet 協議”設定：  返回“網路連接”。開啟相應連線物件的“屬性”。  確保選中“Internet 協議 (TCP/IP)”複選框。  反白“Internet 協議”，然後選擇“屬性”。  單擊“使用以下 IP 地址”選項按鈕，然後輸入一 個靜態地址。  確保沒有為專用網路設定任何預設閘道。

請確認“使用以下 DNS Server 地址”框中沒有任何值。單擊“進階”。在“DNS”選項卡上，確認沒有定義任何值。請確保“在 DNS 中註冊此串連的地址”和“在 DNS 註冊中使用此串連的 DNS 尾碼”複選框沒有選中。注意，如果叢集節點是 DNS 伺服器，那麼 IP 地址  127.0.0.1 將會出現在列表中，並一直位於列表中。
按照以下方法配置網路連接順序：
返回“網路連接”。選擇“進階”。選擇“進階設定”。在“串連”框中，按照如下方式排列網路連接順序：
公用網路
專用網路
遠端存取串連
按照以下方法更改網路連接的預設名稱：
返回“網路連接”。按右鍵網路連接對象。選擇“重新命名”。編輯名稱值。
用於代表某個網路（例如專用網路）的連線物件的名稱在所有節點上都必須一致。如果連線物件的名稱不一致，“叢集服務”將會選擇一個名稱，並更改其他名稱以匹配這個名稱。
在配置叢集服務之後配置叢集網路屬性
Windows 2000
在安裝群集軟體時，每個網路都會出現一個“配置叢集網路”對話方塊（以任意順序）。對於公用網路，請確保名稱和 IP 地址匹配公用網路的網路介面。選中複選框“為群集使用啟用這個網路”。選中“所有通訊（混合網路）”選項。對於專用網路，請確保名稱和 IP 地址匹配專用網路的網路介面。選中複選框“為群集使用啟用這個網路”。選中“只用於內部群集通訊”選項。
安裝期間的預設配置是將公用網路介面卡配置為“所有通訊”，將專用（訊號）網路介面卡配置為“只用於內部群集通訊”。Microsoft 建議您保留此預設配置。為了您的群集能夠正確安裝和工作，您必須將最少一個網路設定為“內部群集通訊”或“所有通訊”。
Windows Server 2003
Windows Server 2003 群集設定精靈在配置期間不提供更改網路設定的方式。所有網路的預設設定都是啟用“所有通訊”。這將確保群集可以正常工作。為了符合最佳做法，您應當按照以 下方法將其中一個網路設定為專用網路，並將專用網路設定為內部群集通訊最優先使用的網路：

按照以下方法將專用網路角色設定為“內部群集通訊”：  在群集管理器中，雙擊群集名稱。您將會看到一個 Cluster  Configuration 檔案夾。  雙擊 Cluster Configuration 檔案夾，然後雙擊 Networks  檔案夾就可以看到所有可用的叢集網路。  選擇要為專用群集通訊配置的網路，然後選擇“屬性”。  在這個網路的“屬性”中，您將會看到一些角色（例如“只用於 用戶端訪問”）。對於專用網路，  請確保選中“為群集使用啟用這個網路”複選框以及“只用於內 部通訊”角色。  按照以下方法專用網路設定為內部群集通訊最優先使用的網路：  在“群集管理器”中，選擇群集，然後選擇“屬性”。  從“網路優先順序”選項卡中，確認專用網路處於最頂端。  如果沒有，請使用“向上移動”按鈕來提高它的優先順序。

按照以下方法更改網路連接的預設名稱：
返回“網路連接”。按右鍵網路連接對象。選擇“重新命名”。編輯名稱值。
用於代表某個網路（例如專用網路）的連線物件的名稱在所有節點上都必須一致。如果連線物件的名稱不一致，“叢集服務”將會選擇一個名稱，並更改其他名稱以匹配這個名稱。
IPSec
儘管可以對在伺服器叢集中可實現容錯移轉的應用程式使用 Internet 協議安全 (IPSec)，但 IPSec 並非專為容錯移轉的情況而設計，因此我們推薦您不要對伺服器叢集中的應用程式使用 IPSec。
主要的問題就是如果發生容錯移轉的話，Internet 金鑰交換 (IKE) 安全性關聯 (SAs) 並不會從一台伺服器傳送到另一台伺服器，因為它們是儲存在每個節點上的本機資料庫中的。
在受 IPSec 保護的串連中，會在第一階段協商時建立一個 IKE SA。在第二階段中會建立兩個 IPSec SA。一個逾時值會與 IKE 和  IPSec SA 關聯。如果沒有使用“主要金鑰完全向前保密”，則系統就會使用 IKE SA 的密鑰資料建立 IPSec SA。在這種情況下，用戶端必須等待入站 IPSec SA 的預設逾時時間或有效期間限結束，然後等待與 IKE SA 有關的逾時時間或有效期間限。
“安全性關聯空閑計時器”(Security Association Idle Timer) 預設逾時時間是 5 分鐘，在出現容錯移轉的情況下，用戶端至少必須等候 5 分鐘，直到所有資源線上後，才可以使用 IPSec 重建立立串連。
儘管沒有為群集環境最佳化設計 IPSec，但如果安全連線的重要性超過容錯移轉導致用戶端停機時間的威脅，則您也可以使用 IPSec。
NetBIOS
在 Windows Server 2003 中，叢集服務不要求使用 NetBIOS；但是如果禁用 NetBIOS 的話，有一些服務就會受到影響。您應當瞭解以下情況：
預設情況下，在配置群集時，在群集的“IP 地址”資源中是 啟用 NetBIOS 的。一旦群集建立完畢，您就應當通過取消選中“群集 IP 地址”資源屬性頁面的參數頁上的複選框來禁用 NetBIOS。
在您建立其他“IP 地址”資源時，您應當取消選中“NetBIOS”複選框。
在禁用 NetBIOS 時，您將不能在開啟指向某個群集的串連時使用“群集管理器”的“瀏覽”功能。“群集管理器”使用 NetBIOS 來列舉欄位中的所有群集。
列印和文件服務會被禁用 – 不會有任何虛擬名稱被添加為重新導向器終結點。
如果指定群集名稱，則“群集管理器”將無法工作。“群集管理器”調用 GetNodeClusterState，後者使用遠端登錄 API，註冊表 API 則反過來根據虛擬名稱使用具名管道。