為Active Directory 與DNS配置網(wǎng)絡(luò)負(fù)載平衡

■ 石家莊 王春海 馬衛(wèi)華

編者按：Windows 網(wǎng)絡(luò)負(fù)載平衡（NLB）支持單播、多播和IGMP 多播三種方式。采用單播模式的NLB 配置簡(jiǎn)單，可以跨網(wǎng)段訪問，但會(huì)出現(xiàn)端口泛洪的問題，因此一般不用此工作模式。采用多播模式的NLB 配置，如果不對(duì)交換機(jī)進(jìn)行配置，只能同網(wǎng)段訪問，其他網(wǎng)段無法訪問。本文介紹了vSphere 虛擬化環(huán)境中，在虛擬機(jī)中配置NLB 的內(nèi)容，同時(shí)介紹了對(duì)應(yīng)物理交換機(jī)的配置。

在企業(yè)中使用Active Direc tory 及DNS 的時(shí)候，如果用戶數(shù)量較多，需要配置多臺(tái)Active Direc tory 與DNS 服務(wù)器，每臺(tái)Active Directory 與DNS 的 服 務(wù)器有一個(gè)IP 地址，多臺(tái)服務(wù)器就有多個(gè)IP 地址。用戶配置的時(shí)候需要添加多個(gè)，或者分部門指定使用不同的服務(wù)器，這樣管理起來不夠方便。另外，Active Directory 服 務(wù)器默認(rèn)配置一個(gè)域名（例如msft.com），如果單位有多個(gè)域名，例如msft.com.cn、msft.net、msft.com、msft.cn 等，如果有多個(gè)DNS服務(wù)器，在其中一個(gè)DNS 服務(wù)器修改了信息，還需要在其他DNS服務(wù)器中手動(dòng)修改。本文介紹使用Active Directory、DNS 與Windows 網(wǎng)絡(luò)負(fù)載平衡（NLB）解決這些問題。

用戶當(dāng)前環(huán)境，DNS 服務(wù)器都部署在虛擬化環(huán)境中，當(dāng)前虛擬化環(huán)境拓?fù)渑c連接示意如圖1 所示。

在圖1 的拓?fù)渲校颗_(tái)服務(wù)器配置了2 塊2端 口10 Gbit/s網(wǎng)卡，每塊網(wǎng)卡的端口1 用于ESXi 管理與虛擬機(jī)流量（TRUNK），連接到圖1 中左邊的2 臺(tái)交換機(jī)中（網(wǎng)卡1 的端口1 連接到交換機(jī)1，網(wǎng)卡2 的端口1 連接到交換機(jī)2）；每塊網(wǎng)卡的端口2 用于vSAN 流量，專門連接到圖1 中右邊2 臺(tái)vSAN 交換機(jī)（網(wǎng)卡1 的端口2 連接到右邊交換機(jī)1，網(wǎng)卡2 的端口2 連接到右邊交換機(jī)2）。每2 臺(tái)交換機(jī)使用40 Gbit/s 端口采用堆疊方式連接。

圖1 虛擬化架構(gòu)

在虛擬化環(huán)境中，創(chuàng)建了7 臺(tái)虛擬機(jī)，每臺(tái)虛擬機(jī)分配2 個(gè)vCPU、4 GB 內(nèi)存，安裝Windows Server 2019 數(shù)據(jù)中心版。在vSphere Client中，查看這7 臺(tái)虛擬機(jī)的運(yùn)行狀態(tài)如圖2 所示。

這7 臺(tái)服務(wù)器的計(jì)算機(jī)名稱依次為DC01～DC07，對(duì)應(yīng)的IP 地址分別為172.16.5.51～172.16.5.5 7，DNS 與IP 地址對(duì)應(yīng)信息如下。

在第一臺(tái)服務(wù)器DNS01中升級(jí)到Active Directory服務(wù)器，設(shè)置域名為msft.com。DC02～DC07 加入到DC01.msft.com 的Active Directory，是額外的域控制器。在“Active Directory用戶和計(jì)算機(jī)”的“Domain Controllers”中可以看到這7 臺(tái)域控制器的信息，如圖3所示。

圖2 7 臺(tái)虛擬機(jī)資源占用截圖

圖3 當(dāng)前共7 臺(tái)域控制器

圖4 所有服務(wù)器

說明：本示例中Active Directory 域名使用msft.com代替。在實(shí)際的生產(chǎn)環(huán)境中，使用用戶實(shí)際的域名。

然后修改DC01～DC07計(jì)算機(jī)的hosts 文件，每一臺(tái)計(jì)算機(jī)的hosts 文件都添加如下的信息：

在“服務(wù)器→所有服務(wù)器”，添加其他的域控制器，添加之后如圖4 所示。

然后在每臺(tái)服務(wù)器上添加“網(wǎng)絡(luò)負(fù)載平衡”。

然后在第一臺(tái)計(jì)算機(jī)上DC01 創(chuàng)建群集，設(shè)置群集的IP 地址為172.16.5.11，群集操作模式為“多播”，完整Internet 名稱留空。

注意：此處記錄下多播的MAC 地址，本示例中為03bfac10-050b。稍后需要在核心交換機(jī)中將群集的IP 地址172.16.5.11 與MAC 地 址03bf-ac10-050b 進(jìn)行靜態(tài)綁定。也可以使用“IGMP 多播”。同樣也需要記錄下MAC 地址。使用多播或IGMP 多播，都需要在核心交換機(jī)中將MAC 地址與IP 地址進(jìn)行綁定。

然后將其他節(jié)點(diǎn)主機(jī)DC02～DC07 添加到群集。

配置完成后，在“服務(wù)器管理器→所有服務(wù)器”中，可以看到每臺(tái)服務(wù)器都添加了群集地址172.16.5.11。

在DNS 管理器中，針對(duì)其他需解析域名，創(chuàng)建Active Directory 集成區(qū)域。

這樣在DC01～DC07 的任意一臺(tái)DNS 服務(wù)器中創(chuàng)建的Active Directory 集成的DNS 區(qū)域，以及在DNS 中創(chuàng)建或修改的記錄，都會(huì)同步在其他DNS 服務(wù)器中進(jìn)行同樣的更改。

修改每一臺(tái)域控制器的IP 地址參數(shù)，修改DNS服務(wù)器為172.16.5.11 及127.0.0.1。網(wǎng)絡(luò)中的其他計(jì)算機(jī)，修改DNS 地址為172.16.5.11 即可。

最后還要修改核心交換機(jī)的配置。在本示例中，兩臺(tái)S6720S-26Q-SI 配置為堆疊，ESXi 主機(jī)的2 個(gè)萬兆端口依次連接到每臺(tái)S6720S-26Q-SI的1～6端口，1～6 個(gè)端口配置為TRUNK。172.16.5.11 屬于VLAN1005。

需要在連接到ESXi 主機(jī)交換機(jī)的每個(gè)端口進(jìn)行配置，并且在全局配置中將172.16.5.11 與03bf-ac10-050b 進(jìn)行綁定。交換機(jī)配置方法如下。