為Active Directory 與DNS配置網(wǎng)絡(luò)負載平衡

■ 石家莊 王春海 馬衛(wèi)華

編者按：Windows 網(wǎng)絡(luò)負載平衡（NLB）支持單播、多播和IGMP 多播三種方式。采用單播模式的NLB 配置簡單，可以跨網(wǎng)段訪問，但會出現(xiàn)端口泛洪的問題，因此一般不用此工作模式。采用多播模式的NLB 配置，如果不對交換機進行配置，只能同網(wǎng)段訪問，其他網(wǎng)段無法訪問。本文介紹了vSphere 虛擬化環(huán)境中，在虛擬機中配置NLB 的內(nèi)容，同時介紹了對應(yīng)物理交換機的配置。

在企業(yè)中使用Active Direc tory 及DNS 的時候，如果用戶數(shù)量較多，需要配置多臺Active Direc tory 與DNS 服務(wù)器，每臺Active Directory 與DNS 的 服 務(wù)器有一個IP 地址，多臺服務(wù)器就有多個IP 地址。用戶配置的時候需要添加多個，或者分部門指定使用不同的服務(wù)器，這樣管理起來不夠方便。另外，Active Directory 服 務(wù)器默認配置一個域名（例如msft.com），如果單位有多個域名，例如msft.com.cn、msft.net、msft.com、msft.cn 等，如果有多個DNS服務(wù)器，在其中一個DNS 服務(wù)器修改了信息，還需要在其他DNS服務(wù)器中手動修改。本文介紹使用Active Directory、DNS 與Windows 網(wǎng)絡(luò)負載平衡（NLB）解決這些問題。

用戶當(dāng)前環(huán)境，DNS 服務(wù)器都部署在虛擬化環(huán)境中，當(dāng)前虛擬化環(huán)境拓撲與連接示意如圖1 所示。

在圖1 的拓撲中，每臺服務(wù)器配置了2 塊2端 口10 Gbit/s網(wǎng)卡，每塊網(wǎng)卡的端口1 用于ESXi 管理與虛擬機流量（TRUNK），連接到圖1 中左邊的2 臺交換機中（網(wǎng)卡1 的端口1 連接到交換機1，網(wǎng)卡2 的端口1 連接到交換機2）；每塊網(wǎng)卡的端口2 用于vSAN 流量，專門連接到圖1 中右邊2 臺vSAN 交換機（網(wǎng)卡1 的端口2 連接到右邊交換機1，網(wǎng)卡2 的端口2 連接到右邊交換機2）。每2 臺交換機使用40 Gbit/s 端口采用堆疊方式連接。

圖1 虛擬化架構(gòu)

在虛擬化環(huán)境中，創(chuàng)建了7 臺虛擬機，每臺虛擬機分配2 個vCPU、4 GB 內(nèi)存，安裝Windows Server 2019 數(shù)據(jù)中心版。在vSphere Client中，查看這7 臺虛擬機的運行狀態(tài)如圖2 所示。

這7 臺服務(wù)器的計算機名稱依次為DC01～DC07，對應(yīng)的IP 地址分別為172.16.5.51～172.16.5.5 7，DNS 與IP 地址對應(yīng)信息如下。

在第一臺服務(wù)器DNS01中升級到Active Directory服務(wù)器，設(shè)置域名為msft.com。DC02～DC07 加入到DC01.msft.com 的Active Directory，是額外的域控制器。在“Active Directory用戶和計算機”的“Domain Controllers”中可以看到這7 臺域控制器的信息，如圖3所示。

圖2 7 臺虛擬機資源占用截圖

圖3 當(dāng)前共7 臺域控制器

圖4 所有服務(wù)器

說明：本示例中Active Directory 域名使用msft.com代替。在實際的生產(chǎn)環(huán)境中，使用用戶實際的域名。

然后修改DC01～DC07計算機的hosts 文件，每一臺計算機的hosts 文件都添加如下的信息：

在“服務(wù)器→所有服務(wù)器”，添加其他的域控制器，添加之后如圖4 所示。

然后在每臺服務(wù)器上添加“網(wǎng)絡(luò)負載平衡”。

然后在第一臺計算機上DC01 創(chuàng)建群集，設(shè)置群集的IP 地址為172.16.5.11，群集操作模式為“多播”，完整Internet 名稱留空。

注意：此處記錄下多播的MAC 地址，本示例中為03bfac10-050b。稍后需要在核心交換機中將群集的IP 地址172.16.5.11 與MAC 地 址03bf-ac10-050b 進行靜態(tài)綁定。也可以使用“IGMP 多播”。同樣也需要記錄下MAC 地址。使用多播或IGMP 多播，都需要在核心交換機中將MAC 地址與IP 地址進行綁定。

然后將其他節(jié)點主機DC02～DC07 添加到群集。

配置完成后，在“服務(wù)器管理器→所有服務(wù)器”中，可以看到每臺服務(wù)器都添加了群集地址172.16.5.11。

在DNS 管理器中，針對其他需解析域名，創(chuàng)建Active Directory 集成區(qū)域。

這樣在DC01～DC07 的任意一臺DNS 服務(wù)器中創(chuàng)建的Active Directory 集成的DNS 區(qū)域，以及在DNS 中創(chuàng)建或修改的記錄，都會同步在其他DNS 服務(wù)器中進行同樣的更改。

修改每一臺域控制器的IP 地址參數(shù)，修改DNS服務(wù)器為172.16.5.11 及127.0.0.1。網(wǎng)絡(luò)中的其他計算機，修改DNS 地址為172.16.5.11 即可。

最后還要修改核心交換機的配置。在本示例中，兩臺S6720S-26Q-SI 配置為堆疊，ESXi 主機的2 個萬兆端口依次連接到每臺S6720S-26Q-SI的1～6端口，1～6 個端口配置為TRUNK。172.16.5.11 屬于VLAN1005。

需要在連接到ESXi 主機交換機的每個端口進行配置，并且在全局配置中將172.16.5.11 與03bf-ac10-050b 進行綁定。交換機配置方法如下。