Windows server 2008 r2 балансировка нагрузки

Network Load Balancing, также называемый NLB, это отдельная дополнительная служба в Windows Server 2008 / R2. Компоненты службы NLB предназначены для управления балансировкой сетевого трафика (посланного на виртуальный ip адрес кластера) между несколькими серверными операционными системами, включенными в состав кластера NLB.

Как установить NLB

Есть несколько вариантов установки NLB в Windows Server 2008:

При помощи консоли Server Manager, просто нажмите Add Feature и выберите Network Load Balancing С помощью командной строки windows server 2008 / R2 : “ocsetup NetworkLoadBalancingFullServer” При помощи команды ServerManagerCmd! В командной строке наберите: “servermanagercmd –installnlb”

Приступим к процедуре установки и настройки Network Load Balancing (NLB). Для установки NLB вы должны быть членом группы локальных администраторов на всех серверах.

Нажмите Start, выберите Administrative Tools, а потом щелкните по Server Manager. Добавьте новую функцию Windows Server 2008 при помощи кнопки Add Features.

В мастере «Add Features Wizard», выберите Network Load Balancing, затем щелкните Next. После того, как установка NLB закончена, необходимо проверить, что в свойствах сетевого адаптера появилась опция NLB.

Откройте консоль управления Network Load Balancing Manager, щелкните по Network Load Balancing Clusters, и выберите создать новый кластер New Cluster. Чтобы подключится к серверу, который должен стать членом нового кластера, в окне Hostвведите имя или адрес хоста и щелкните Connect. Выберите сетевой интерфейс, который вы хотите задействовать под кластер и потом нажмите Next.

· В окне параметров хоста (HostParameters), выберите значение Priority(уникальный идентификатор хоста). Этот параметр задает уникальный ID для каждого хоста кластера NLB. Хост с наименьшим номером среди всех текущих членов NLB кластера будет обрабатывать весь сетевой трафик, не попадающий ни под какие настроенные правила портов. Вы можете переопределить данные приоритеты, или задать правила балансировки для целого диапазона портов (на вкладке Portrules). В окне свойств хоста (HostParameters), можно также добавить выделенные ip-адреса для обработки определенного трафика (если это необходимо).

· Нажмите Далее.

· В свойствах кластера задайте IP адрес и маску подсети(для адресов IPv6, маска подсети не нужна). Введите полное fqdn имя, по которому пользователи должны находить NLB кластер.

· В окне Clusteroperationmode , выберите Unicast, для того чтобы указать, что для кластерных операций должен использоваться unicast (одноадресный) MAC адрес. В режиме unicast, MAC адрес кластера назначается сетевому адаптеру компьютера, причем встроенный заводской адрес не используется. Рекомендуется использовать настройки unicast, заданные по умолчанию.

· Нажмите Далее.

· В правилах для портов (PortRules) можно отредактировать стандартные правила портов.

· Чтобы добавить дополнительные сервера в кластер, необходимо щелкнуть по кластеру и выбрать AddHosttoCluster. Настройка параметров новых серверов NLB кластеров (приоритет хоста, выделенный IP адрес, параметры нагрузки) выполняется точно так же. Так как вы добавляете дополнительные хосты в уже сконфигурированный кластер, все общие параметры кластера остаются теми же.

1. Краткое введение в балансировку нагрузки.

Балансировка нагрузки также называется распределением нагрузки. Это относится к балансировке нагрузки, которая динамически регулирует нагрузку на систему и распределяет нагрузку на несколько рабочих узлов, чтобы уменьшить влияние несбалансированной нагрузки каждого узла в системе. Повысьте эффективность системы. .
В широко используемых крупномасштабных серверных системах есть компоненты балансировки нагрузки, такие как балансировка сетевой нагрузки NLB от Microsoft, Oracle RAC Oracle, балансировка нагрузки Cisco (SLB), балансировка нагрузки Apach + Tomcat, они могут отличаться от оборудования или программного обеспечения. С другой стороны, он реализует баланс нагрузки каждого узла системы, эффективно повышает эффективность работы крупномасштабной серверной системы, тем самым повышая пропускную способность системы. В этой статье используется NAT для балансировки сетевой нагрузки Microsoft в качестве примера, чтобы кратко представить установку и использование балансировки нагрузки Windows Server 2008 R2.
В Windows Server 2008 R2 есть функция «Балансировка сетевой нагрузки» (NLB,Network Load Balancing), это служба на основе TCP / IP, которая может сопоставлять зарегистрированный IP-адрес с IP-адресами нескольких внутренних доменов, позволяя нескольким хостам одновременно отвечать на сетевые запросы. Использование балансировки сетевой нагрузки NLB позволяет подключаться к 32 хостам, что позволяет 32 хостам совместно использовать большое количество сервисов. Windows Server 2008 R2 также имеет функцию «отказоустойчивого кластера», которая использует распределение нагрузки для постоянного хранения совместно используемой информации нескольких серверов. Когда на одном из серверов возникает проблема, запрос автоматически распределяется между другими серверами. На сервере. Использование функции «отказоустойчивого кластера» может лучше обеспечить нормальную работу «кластера балансировки сетевой нагрузки», что способствует общему управлению различными ресурсами в распределенной системе, а также использованию общей информации и ее механизма обслуживания для расширения вычислительная мощность системы. Функция «отказоустойчивой кластеризации» будет подробно описана в следующей статье.

2. Основные функции NLB

1. Поддержка функции кластера, кластер поддерживает до 32 серверов.
2. Поддержка функции трансляции сетевых адресов (NAT), может автоматически пересылать запрос каждому серверу в кластере NLB.
3. Реализуйте конвейерное управление, позволяющее одновременно отправлять несколько запросов в кластер NLB.
4. Поддерживает многоадресное и многопортовое управление.Каждый сервер может быть привязан к нескольким виртуальным IP-адресам, и каждый виртуальный IP-адрес может устанавливать несколько открытых портов.
5. Поддерживает функцию быстрого восстановления после сбоя.При выходе из строя и перезапуске сервера кластер автоматически возобновляет работу.
6. Поддерживает несколько режимов работы кластера: одноадресная, многоадресная и многоадресная рассылка IGMP.
7. Поддержка управления журналом событий, вы можете быстро проверить записи событий кластера.

3. Как использовать NLB

3.1 Откройте «Диспетчер служб» и добавьте функцию «Балансировка сетевой нагрузки».

3.2. После завершения установки откройте «Диспетчер балансировки сетевой нагрузки».

3.3. Создайте новый кластер и подключитесь к узлу в качестве кластерного сервера.

3.4. Привяжите номер приоритета к этому хосту и выделенный IP-адрес, один хост может быть привязан к нескольким IP-адресам.

3.5. Установите IP-адрес кластера для балансировки нагрузки.Если существует несколько IP-адресов, система будет использовать первый IP-адрес в качестве IP-адреса кластера для проверки информации.

3.6. Настройка параметров кластера Здесь вы можете указать полное Интернет-имя кластера и определить его режим работы. Здесь необходимо небольшое пояснение:

3.6.1 Одноадресный режим
Относится к перенаправлению каждого хост-узла на один и тот же виртуальный MAC-адрес. В этом случае связь между узлами не может быть достигнута.

3.6.2 Многоадресный режим
Означает, что каждый хост-узел сохраняет исходный MAC-адрес в дополнение к коммуникационному MAC-адресу, выделенному для NLB, чтобы можно было реализовать нормальную связь между узлами. Однако не все маршрутизаторы или коммутаторы поддерживают режим многоадресной рассылки, поэтому при его использовании необходимо соблюдать осторожность.

3.6.3 Режим многоадресной рассылки IGMP
В зависимости от функции многоадресного режима сообщения IGMP по умолчанию отправляются каждые 60 секунд. Он может гарантировать, что обмен данными, отправляемый в кластер балансировки сетевой нагрузки, проходит только через порты, обслуживающие узел кластера, а не через все порты коммутатора.

Примечание: Поскольку не все маршрутизаторы или коммутаторы поддерживают режим многоадресной рассылки, лучше использовать режим одноадресной рассылки с двумя сетевыми картами, когда нет уверенности, и заранее установить ARP, иначе это может вызвать ошибку, заключающуюся в невозможности доступа к IP-адресу кластера через сегменты сети.

3.7 Привязать открытые порты кластера, здесь вы можете установить определенный диапазон открытых портов для хоста. Включение его в протоколы TCP и UDP мало что объясняет, как правило, используется только протокол TCP, чтобы сделать передачу данных более надежной и безопасной. Вот краткое объяснение режима проверки:

3.7.1 Мульти-хост
Этот параметр указывает, что несколько хостов в кластере обрабатывают сетевые соединения, связанные с правилами порта. Распределяя сетевую нагрузку между несколькими хостами, этот режим фильтрации обеспечивает масштабируемую производительность и отказоустойчивость. Вы можете указать балансировку нагрузки между хостами или каждый хост для обработки определенного количества нагрузки. В варианте схожести с несколькими хостами есть 3 варианта:

• Параметр «Нет»: укажите, что несколько подключений с одного и того же IP-адреса клиента могут обрабатываться разными хостами (отсутствие схожести клиентов). Первый запрос может быть направлен на хост A, а второй запрос может быть направлен на хост B. Чтобы разделить сеанс между несколькими хостами, система должна сделать сеанс постоянным заранее. Если вы используете ASP.NET для разработки, вы можете использовать команду:
  aspnet_regsql.exe -S 〈SQL Server IP> -U 〈User Name> -P 〈Password> -E -ssadd -sstype c -d 〈Database Name>
  Создание базы данных для сохранения сеанса
• Параметр «Один»: указывает, что балансировка сетевой нагрузки должна направлять несколько запросов с одного и того же IP-адреса клиента на один и тот же узел кластера. Это настройка по умолчанию для подобия.
• «Сетевой» вариант：Относится к обозначению подобия, что балансировка сетевой нагрузки направляет несколько запросов из одного и того же диапазона адресов TCP / IP класса C на один и тот же узел кластера. Например, когда клиент использует несколько прокси-серверов для доступа к кластеру, запрос выглядит так, как будто он исходит с разных компьютеров. Включение параметра подобия «Сеть» позволяет правильно обрабатывать данные сеанса нескольких прокси-серверов на одном клиенте.

3.7.2 Один хост
Этот параметр указывает, что один хост в кластере обрабатывает сетевую связь по соответствующим правилам порта в соответствии с указанным приоритетом обработки. Этот режим фильтрации обеспечивает отказоустойчивость конкретного порта для обработки сетевых соединений.

3.7.3 Отключить диапазон портов
Этот параметр указывает на блокировку всех сетевых подключений, связанных с правилами порта. В этом случае драйвер балансировки сетевой нагрузки отфильтрует все соответствующие сетевые пакеты или дейтаграммы. Этот режим фильтрации позволяет блокировать сетевой трафик, отправляемый на определенный диапазон портов.

3.8 После завершения настройки кластера щелкните кластер правой кнопкой мыши и выберите «Добавить узел в кластер», повторите шаги установки 3.3 и 3.4 для подключения нескольких узлов кластера.

В-четвертых, тест кластерной системы с балансировкой сетевой нагрузки

Создайте проект ASP.NET, добавьте следующую страницу Default.aspx, а затем создайте кластер, привяжите IP к 192.168.1.110, при редактировании «правил порта» выберите режим фильтрации «multi-host no correlation». Наконец, к кластеру добавляются два хоста, Virtual-PC-A1 и Virtual-PC-A2. При использовании стороннего клиента для доступа, когда вы нажимаете соединение NewPage несколько раз, вы можете обнаружить, что система подключит запрос к другому хосту.

 1 <html xmlns="http://www.w3.org/1999/xhtml">
 2 <head runat="server">
 3     <title></title>
 4     <script type="text/C#" runat="server">
 5         protected void Page_Load(object sender, EventArgs e)
 6         {
 7             String hostName = System.Net.Dns.GetHostName();
 8             Response.Write(hostName+"<br/>");
 9             IPAddress[] addressList = System.Net.Dns.GetHostAddresses(hostName);
10             foreach(IPAddress address in addressList)
11                Response.Write(address.ToString()+"<br/>");
12         }
13     </script>
14 </head>
15 <body>
16     <form id="form1" runat="server" >
17     <div align="left"> 
18        <a href="http://192.168.1.110/Default.aspx" target="_blank">New Page</a>     
19     </div>
20     </form>
21 </body>
22 </html>

Результаты теста

Пять, меры предосторожности при установке NLB

5.1. Если вам необходимо использовать службу «домен», обычно перед установкой диспетчера «балансировки сетевой нагрузки» сначала добавьте роль «доменных служб Active Directory» и настройте лес и домен.

 
Если серверу необходимо использовать IIS или ASP.NET, рекомендуется добавить роль сервера веб-сервера (IIS) и функции .NET Framework 3.5 перед установкой NLB.

5.2 Для создания «Кластера балансировки сетевой нагрузки» необходимо включить функцию «Включить обнаружение сети» в «Расширенных настройках общего доступа».

Если не удается открыть функцию «Включить обнаружение сети», сначала можно открыть следующие 3 службы в диспетчере служб:

• Function Discovery Resource Publication
• SSDP Discovery
• UPnP Device Host

5.3. Если вы используете инструменты виртуализации, такие как VMware, Hyper-V и другие виртуальные хосты, которые не могут быть найдены при совместном использовании информации в сети, вы можете попробовать проверить, использует ли «сетевой адаптер» такое же «сетевое соединение» при настройке виртуальную машину, и была включена функция «Служба общего доступа к сети».

5.4. Настройте кластер в «Диспетчере балансировки сетевой нагрузки». Когда кластер подключается к узлу, отображается сообщение об ошибке, такое как «Сервер подключения RPC недоступен». Вы можете попробовать проверить, открыл ли узел «Удаленный доступ». Вызов процедур (RPC) »и« Локатор удаленного вызова процедур (RPC) »и проверьте, установлено ли для« Состояние »« Служба, зависимая от свойств удаленного вызова процедур (RPC) »значение« Запущено »или «Тип запуска» установлен на «Авто».

5.5. Если хост клонируется с помощью инструмента виртуализации, когда кластер подключается к хосту, отображается сообщение «у указанного хоста нет интерфейса, который можно использовать для установки нового кластера». Это может быть вызвано тем, что несколько хостов используют тот же MAC-адрес при клонировании хоста.Вы можете попробовать удалить драйвер сетевого адаптера, а затем обновить программное обеспечение драйвера.

5.6. Если при подключении кластера к узлу появляется сообщение об ошибке, «Диспетчер NLB на узле« MyPC »не может продолжать работу, поскольку служба кластеров Microsoft не установлена». Вы можете проверить, успешно ли установлена ​​на сервере служба «Балансировка сетевой нагрузки», затем открыть «Свойства подключения по локальной сети» и выбрать «Балансировка сетевой нагрузки (NLB)».

Заключительные замечания

Чтобы удовлетворить внутренние потребности крупных предприятий и добиться высокой производительности, доступности и надежности корпоративных серверов, основные поставщики программного и аппаратного обеспечения создали ряд решений, и балансировка сетевой нагрузки (NLB) Microsoft является лишь одним из них. … Однако, поскольку у меня ограниченные знания и я не являюсь экспертом в управлении сетевыми службами, эта статья включает в себя только вводную установку NLB.
Дополнительные сведения см. В библиотеке TechNet.http://technet.microsoft.com/zh-cn/library/cc778263.aspx
Прокомментируйте ошибки и лазейки в этой статье.
Друзья, интересующиеся разработкой .NETДобро пожаловать в группу QQ:230564952 Обсуди вместе!

Применение и управление сервисными инструментами

Подробное объяснение конфигурации интеграции Apache2.2 + Tomcat7.0
Начало работы с балансировкой нагрузки в Windows Server 2008 R2
Полное раскрытие приложений цифровых сертификатов (включая создание сертификатов, шифрование, дешифрование, подпись и проверку подписи) 

Служба каталогов Active Directory Lightweight Directory Services (AD LDS) упрощает развертывание каталогов приложений в организациях, не подвергая дополнительному риску корпоративный лес AD. Одновременно с ростом популярности AD LDS сформировалась потребность в масштабируемости экземпляров данной службы и в обеспечении высокого уровня доступности. Служба LDS построена на основе кода, использованного для создания AD, поэтому она имеет идентичные механизмы репликации и характеристики производительности, однако некоторые правила, обеспечивающие высокий уровень доступности, неприменимы к экземплярам LDS.

. Но сначала давайте познакомимся с основами службы NLB.

Служба Network Load Balancing

Служба NLB, встроенная в платформу Windows Server, предоставляет базовые возможности кластеризации для сетей, работающих по протоколу TCP/IP, не используя для этого общие ресурсы. Служба NLB не обеспечивает согласованности данных на узлах кластера. Если данные динамически изменяются, то для их синхронизации необходимы другие средства. Поэтому служба NLB обычно используется для хранилищ статических данных, например для обслуживания фермы веб-серверов, подключенной к серверной базе данных. Вы можете задействовать NLB и для обслуживания хранилищ с динамическим содержимым, но в этом случае служба NLB передает всю ответственность за синхронизацию данных на узлах механизмам сервера. Служба LDS идеально подходит под данную схему, так как встроенные механизмы репликации позволяют ей выполнять синхронизацию данных.

При настройке службы NLB вы задаете виртуальное имя и IP-адрес. Этот адрес является общим для всех узлов, входящих в кластер NLB. Балансировка загрузки выполняется на основе портов, поэтому вы можете выполнять балансировку работы нескольких служб с различными параметрами на одних и тех же узлах. Также можно установить «вес» и приоритет узла в кластере, чтобы обеспечить приоритетное использование оборудования с более высокой производительностью. При подключении клиента к набору серверов LDS, объединенных в кластер с помощью службы NLB, используется виртуальное имя или IP-адрес. Служба NLB, запущенная на каждом узле кластера, определит, какой из серверов фермы ответит клиенту. Принцип работы службы NLB на верхнем уровне показан на рисунке.

Рисунок. Схема работы NLB

Шаг 1. Планирование конфигурации NLB

Прежде чем начать установку службы NLB, необходимо будет принять несколько решений, определяющих схему работы службы NLB с фермой серверов LDS. Выбор решений на начальном уровне поможет минимизировать количество проблем, с которыми вы столкнетесь в ходе внедрения службы NLB. Если вы уже используете службу LDS и хотите просто распространить механизмы балансировки загрузки на дополнительные серверы, планирование снизит риск остановки механизмов LDS при установке служб NLB.

Для начала нужно определить параметры кластерной сети. Необходимо задать IP-адрес кластера — каждый узел кластера будет прослушивать обращения по этому адресу. Кроме того, необходимо указать имя кластера, которое клиенты будут использовать для обращения к службе каталогов. Хоть и это звучит тривиально, назначение имени хоста — важный шаг, в частности если вы планируете использовать протокол SSL. При получении серверного сертификата для узлов LDS сертификат должен содержать общее имя кластера вместо имени отдельного сервера. Если это требование не будет соблюдено, вы столкнетесь с ошибкой имени сертификата, поэтому необходимо назначить имя кластера до того, как будет выполнен запрос на получение сертификата проверки подлинности сервера.

Далее необходимо выбрать режим работы кластера. Есть два варианта: одноадресный, unicast, или многоадресный, multicast. При использовании службы NLB каждый узел кластера будет принимать трафик, направленный получателю, IP-адрес или имя которого совпадает с адресом и именем кластера. Это объясняется тем, что служба NLB назначает кластеру уникальный MAC-адрес. Каждый узел кластера прослушивает трафик, направленный по данному MAC-адресу. Используя встроенный в NLB алгоритм фильтрации, узел принимает решение либо обрабатывать пакет, либо отбросить его. Так как все узлы кластера используют один и тот же алгоритм, пакет в итоге обрабатывается только одним узлом. При выборе режима работы кластера вы определяете алгоритм «прослушивания» узлами кластера пакетов, направленных по МАС-адресу кластера. При использовании режима unicast система подменяет МАС-адрес сетевой карты узла МАС-адресом кластера. То есть все узлы кластера LDS имеют один и тот же MAC-адрес. Каждый узел продолжит обрабатывать запросы клиентов, однако узлы LDS не смогут обмениваться информацией друг с другом, если только в них не установлена вторая сетевая карта. Без второй сетевой карты репликация службы LDS выполняться не будет. Однако при работе в режиме multicast сетевая карта сохраняет свой исходный МАС-адрес и получает дополнительный МАС-адрес многоадресной рассылки. В данной конфигурации узлы кластера могут взаимодействовать друг с другом без дополнительной сетевой карты. В большинстве случаев беспроигрышным вариантом будет использование режима multicast, но важно убедиться, что ваш коммутатор может преобразовывать одноадресные IP-адреса в МАС-адреса многоадресной рассылки.

Затем необходимо определить, сколько сетевых адаптеров будет установлено на каждом узле. К данному вопросу можно подойти с разных сторон: если вы решите работать с кластером в режиме unicast, вам понадобится дополнительная сетевая карта, чтобы обеспечить возможность взаимодействия между собой узлов LDS. С другой стороны, дополнительный сетевой интерфейс может повысить производительность. Одна сетевая карта будет обслуживать кластер, а дополнительная будет использоваться для обработки остального сетевого трафика, например для решения задач репликации и резервного копирования.

Наконец, необходимо обдумать «близость клиентов». Прежде чем клиенты смогут обращаться к каталогу LDS, сначала они должны создать привязку к нему, необходимую для установки соединения и предоставления учетных данных. При использовании схемы с несколькими серверами LDS, для которых осуществляется балансировка загрузки, возникает вероятность того, что клиенты, используя имя кластера, создадут привязку к одному серверу, а их последующие запросы LDS будут перенаправлены к другому узлу кластера. Проблема в том, что клиент будет авторизован лишь на том сервере, к которому он привязан, а не на том, к которому он обращается. Если включена функция «близость клиентов», система следит за тем, чтобы клиент всегда использовал один и тот же узел кластера. У функции «близость клиентов» доступно три режима: None, Single и Network.

Выбор режима None не обязательно означает, что сетевые соединения будут взаимодействовать с различными узлами кластера. Метод расчета параметра «близости» в режиме None выбирается на основе IP-адреса клиента и используемого клиентом исходного порта. Поэтому, если вы используете средство, подобное службе LDP (ldp.exe) для проверки «близости», используемый порт не меняется вплоть до отключения от каталога и повторного подключения. В рамках сессии LDAP используется один и тот же узел LDS, но данная схема подходит не для всех клиентов, работающих по протоколу LDAP. При использовании режима Single алгоритм выбора узла LDS будет учитывать только IP-адрес клиента. Таким образом, один и тот же клиент будет использовать один и тот же сервер до тех пор, пока не изменится IP-адрес клиента. При выборе режима Network система не учитывает ни IP-адрес клиента, ни исходный порт. Вместо этого используется схема, в которой каждый клиент, представляющий одну и ту же подсеть, будет обращаться к одному и тому же узлу LDS. Вы можете применять данный метод для реализации географического принципа балансировки загрузки на своем кластере.

Шаг 2. Запуск службы LDS

Следующий шаг в развертывании фермы LDS — отладка службы LDS без взаимодействия с механизмами NLB. Установите и настройте сетевые адаптеры, после чего запустите службу LDS и убедитесь в ее корректной работе, но повремените с установкой серверных сертификатов. Желательно иметь по крайней мере один запущенный реплицированный экземпляр. Руководство по корректной установке и настройке можно найти в статье Microsoft «AD LDS Getting Started Step-by-Step Guide» по адресу technet.microsoft.com/en-us/library/cc770639.aspx. Примените средство, подобное LDP или ADSIEdit (adsiedit.msc), на клиентских машинах и убедитесь, что вы можете независимо подключиться к каждому из серверов LDS и что реплицируемые данные на обоих серверах совпадают.

Шаг 3. Установка службы NLB на все узлы

Теперь все готово к установке службы NLB на каждый из серверов LDS, содержащих реплику экземпляра каталога. Существует два способа установки службы NLB в системе Windows Server 2008: через графический интерфейс или из командной строки. Для установки службы NLB через графический интерфейс используйте инструмент Server Manager. Выберите элемент Features в дереве консоли и щелкните мышью на кнопке Add Features в основной части окна. В мастере Add Features Wizard установите флажок для параметра Network Load Balancing и нажмите на кнопке Install. Помните, что необходимо установить службу NLB на каждый сервер LDS, входящий в кластер.

Для установки службы NLB на узлы LDS также можно использовать командную строку. Чтобы запустить установку, выполните команду:

servermanagercmd -install nlb

Шаг 4. Создание кластера NLB

После того как служба NLB будет установлена на все узлы, вы можете использовать один из серверов для создания кластера. Запустите средство Network Load Balancing Manager из меню Administrative Tools или выполните команду Nlbmgr.

Окно NLB Manager состоит из трех частей. В левой панели вы увидите список всех кластеров NLB, к которым существует подключение. Правая панель содержит информацию о выбранном кластере или узле. Нижняя часть окна содержит журнал, отображающий последние выполненные операции.

Запустите мастер New Cluster, выбрав пункт New в меню Cluster. Для начала необходимо подключиться к первому добавляемому в кластер серверу LDS.

Диалоговое окно Host Parameters, показанное на экране 1, регулирует индивидуальные параметры добавляемого узла. Параметр Priority позволяет задать для каждого узла уникальный идентификатор; узел с самым низким приоритетом будет обрабатывать все пакеты, для которых не определены правила для портов (мы обсудим их позже). Если у вас установлено несколько сетевых карт, вы должны убедиться что IP-адрес, указанный в данном окне, не совпадает с IP-адресом, используемым кластером. Если установлен один сетевой адаптер, вы увидите, что IP-адреса, присвоенные этой карте, будут отображаться в данном окне под заголовком dedicated IP addresses.

Экран 1. Добавление сервера в кластер

В диалоговых окнах Cluster IP Addresses и Cluster Parameters (экран 2), необходимо указать IP-адрес и имя, определенные на шаге 1. Здесь можно выбрать режим работы кластера. При выборе режима multicast вы увидите, что МАС-адрес изменится с адреса одноадресной рассылки на адрес многоадресной рассылки. На экране 2 видно, что МАС-адрес изменился с 02 bf-0a-00-00-92 на 03 bf-0a-00-00-92.

Экран 2. Указание параметров кластера

И наконец, необходимо задать правила для портов, используемые службой кластерного каталога. Правила для портов указывают кластеру NLB, какие порты необходимо «прослушивать». По умолчанию все порты являются кластерными, но вы можете создать более жесткие правила, ограничив «область прослушивания» лишь TCP-портами для клиентского доступа (экран 3). Необходимо создать отдельное TCP-правило для каждого порта LDAP. По умолчанию служба LDS использует порт 389 для незашифрованных запросов LDAP и порт 636 для запросов с SSL-шифрованием, при условии что данные порты уже не задействованы службой каталогов. В противном случае при установке экземпляра каталога вам будет предложено задействовать другие порты. Так как правила для портов распространяются только на обмен с узлом, имеющим МАС-адрес кластера, использование конфигурации по умолчанию (все порты — кластерные) никак не повлияет на процессы репликации службы LDS и соединения между серверами. Но помните, что все порты, для которых не применяется ни одно правило, управляются узлом, имеющим самый низкий приоритет.

Экран 3. Правила для портов

Шаг 5. Установка сертификата SSL

Отладка механизма шифрования SSL в реплицируемом экземпляре LDS, для балансировки загрузки в котором используется служба NLB, — процесс достаточно сложный. При установке сертификатов необходимо учитывать три фактора. Во первых, как упоминалось ранее, в сертификате проверки подлинности сервера должно быть указано имя кластера, а не имя сервера. Если для подключения к отдельным узлам планируется использовать их собственные имена, то вы можете применить дополнительное имя субъекта (SAN) для обращения к узлу или групповые сертификаты. Во вторых, сертификат должен быть установлен в хранилище личного сертификата той учетной записи, от имени которой работает служба LDS. Важно убедиться в том, что хранилище личного сертификата для данной учетной записи на каждом сервере LDS содержит только сертификат проверки подлинности сервера и ничего более. Для добавления сертификата в нужное хранилище можно использовать следующий подход.

1. Запустите оснастку Certificates консоли Microsoft Management Console (MMC). При загрузке оснастки выберите вариант «Управление сертификатами учетной записи службы» (Service Account).
2. В появившемся списке служб выберите службу, соответствующую тому экземпляру LDS, для которого настраивается балансировка загрузки.
3. Щелкните правой кнопкой мыши на узле Personal для учетной записи службы и в контекстном меню выберите пункт All Tasks->Import.

В конце вам необходимо предоставить службе LDS право на чтение сертификата в хранилище. Например, если для управления службой LDS в системе Windows Server 2008 используется учетная запись Network Service, необходимо предоставить ей право на чтение папки %PROGRAMDATA%MicrosoftCryptoRSAMachineKey (экран 4).

Экран 4. Разрешения для учетной записи Network Service.

Шаг 6. Добавление узлов в кластер

После завершения настройки кластера NLB, состоящего из одного узла, вы должны иметь возможность свободно обращаться к службе каталогов, используя имя кластера и IP-адрес. Осталось только добавить остальные серверы LDS в состав кластера NLB. Если вы используете шифрование SSL, не забудьте импортировать сертификат в нужное хранилище и настроить разрешения для папки на всех добавляемых в кластер узлах.

Надежность и отказоустойчивость

Итак, мы получили функционирующий кластер NLB. Теперь можно использовать различные инструменты для тестирования подключений LDAP к службе каталогов со стороны клиентов. Внедрив механизмы кластеризации NLB в реплицируемый экземпляр LDS, вы повысите надежность каталога LDS и добавите дополнительный уровень отказоустойчивости в практически безупречную службу каталогов.

Кен Сен-Сир (ken.stcyr@microsoft.com) — архитектор решений компании Microsoft с более чем 10 летним опытом работы. Имеет сертификат Microsoft Certified Master in Directory Services