爲Active Directory與DNS配置網絡負載平衡

Windows網絡負載平衡（NLB）支持單播、多播、IGMP多播等三種方式。採用單播模式的NLB配置簡單，能夠跨網段訪問，但會出現端口泛洪的問題，所以通常不用此工做模式。採用多播模式的NLB配置，若是不對交換機進行配置，只能同網段訪問，其餘網段沒法訪問。本文介紹了vSphere虛擬化環境中，在虛擬機中配置NLB的內容，同時介紹了對應物理交換機的配置。

在企業中使用Active Directory及DNS的時候，若是用戶數量較多，須要配置多臺Active Directory與DNS服務器，每臺Active Directory與DNS的服務器有一個IP地址，多臺服務器就有多個IP地址。用戶配置的時候須要添加多個，或者分部門指定使用不一樣的服務器，這樣管理起來不夠方便。另外，Active Directory服務器默認配置一個域名（例如msft.com），若是單位有多個域名，例如msft.com.cn、msft.net、msft.com、msft.cn等，若是有多個DNS服務器，在其中一個DNS服務器修改了信息，還須要在其餘DNS服務器中手動修改。本節介紹使用Active Directory、DNS與Windows網絡負載平衡（NLB）解決這些問題。

用戶當前環境，DNS服務器都部署在虛擬化環境中，當前虛擬化環境拓撲與鏈接示意如圖1所示。

圖1 虛擬化架構

在圖1的拓撲中，每臺服務器配置了2塊2端口10G bit/s網卡，每塊網卡的端口1用於ESXi管理與虛擬機流量（TRUNK），鏈接到圖1中左邊的2臺交換機中（網卡1的端口1鏈接到交換機1，網卡2的端口1鏈接到交換機2）；每塊網卡的端口2用於vSAN流量，專門鏈接到圖1中右邊2臺vSAN交換機（網卡1的端口2鏈接到右邊交換機1，網卡2的端口2鏈接到右邊交換機2）。每2臺交換機使用40 Gbit/s端口採用堆疊方式鏈接。

在虛擬化環境中，建立了7臺虛擬機，每臺虛擬機分配2個vCPU、4GB內存，安裝Windows Server 2019數據中心版。在vSphere Client中，查看這7臺虛擬機的運行狀態如圖2所示。

圖2 7臺虛擬機資源佔用截圖

這7臺服務器的計算機名稱依次爲DC01～DC07，對應的IP地址分別爲172.16.5.51～172.16.5.57，DNS與IP地址對應信息以下。

DC01 172.16.5.51

DC02 172.16.5.52

DC03 172.16.5.53

DC04 172.16.5.54

DC05 172.16.5.55

DC06 172.16.5.56

DC07 172.16.5.57

在第一臺服務器DNS01中升級到Active Directory服務器，設置域名爲msft.com。DC02～DC07加入到DC01.msft.com的Active Directory，是額外的域控制器。在「Active Directory用戶和計算機」的「Domain Controllers」中能夠看到這7臺域控制器的信息，如圖3所示。

圖3 當前一共7臺域控制器

【說明】本示例中Active Directory域名使用msft.com代替。在實際的生產環境中，使用你實際的域名。

而後修改DC01～DC07計算機的hosts文件，每一臺計算機的hosts文件都添加以下的信息：

172.16.5.51 DC01

172.16.5.52 DC02

172.16.5.53 DC03

172.16.5.54 DC04

172.16.5.55 DC05

172.16.5.56 DC06

172.16.5.57 DC07

172.16.5.51 DC01.MSFT.COM

172.16.5.52 DC02.MSFT.COM

172.16.5.53 DC03.MSFT.COM

172.16.5.54 DC04.MSFT.COM

172.16.5.55 DC05.MSFT.COM

172.16.5.56 DC06.MSFT.COM

172.16.5.57 DC07.MSFT.COM

在「服務器→全部服務器」， 添加其餘的域控制器，添加以後如圖4所示。

圖4 全部服務器

而後在每臺服務器上添加「網絡負載平衡」，如圖5所示。

圖5 添加網絡負載平衡

而後在第一臺計算機上DC01建立羣集，設置羣集的IP地址爲172.16.5.11，羣集操做模式爲「多播」，完整Internet名稱留空，如圖6所示。

圖6 羣集參數

【注意】此處記錄下多播的MAC地址，本示例中爲03bf-ac10-050b。稍後須要在覈心交換機中將羣集的IP地址172.16.5.11與MAC地址03bf-ac10-050b進行靜態綁定。也可使用「IGMP多播」。一樣也須要記錄下MAC地址。使用多播或IGMP多播，都須要在覈心交換機中將MAC地址與IP地址進行綁定。

而後將其餘節點主機DC02～DC07添加到羣集，添加以後如圖7所示。

圖7 配置羣集完成

配置完成後，在「服務器管理器→全部服務器」中，能夠看到每臺服務器都添加了羣集地址172.16.5.11，如圖8所示。

圖8 羣集地址已經啓用

在DNS管理器中，針對其餘須要解析的域名，建立Active Directory集成的區域，如圖9所示。

圖9 建立Active Directory集成的DNS區域

這樣在DC01～DC07的任意一臺DNS服務器中建立的Active Directory集成的DNS區域，以及在DNS中建立或修改的記錄，都會同步在其餘DNS服務器中進行一樣的更改。如圖10所示，這是當前生產環境中建立的DNS區域及記錄。

圖10 DNS管理器

修改每一臺域控制器的IP地址參數，修改DNS服務器爲172.16.5.11及127.0.0.1。網絡中的其餘計算機，修改DNS地址爲172.16.5.11便可。

最後還要修改核心交換機的配置。在本示例中，兩臺S6720S-26Q-SI配置爲堆疊，ESXi主機的2個萬兆端口依次鏈接到每臺S6720S-26Q-SI的1～6端口，1～6個端口配置爲TRUNK。172.16.5.11屬於VLAN1005。

須要在鏈接到ESXi主機交換機的每一個端口進行配置，而且在全局配置中將172.16.5.11與03bf-ac10-050b進行綁定。交換機配置方法以下。

interface Vlanif1005

ip address 172.16.5.254 255.255.255.0

quit

port-group group-member  interface GigabitEthernet0/0/1 to GigabitEthernet0/0/6

port link-type trunk

port trunk allow-pass vlan 2 to 4094

mac-address multiport 03bf-ac10-050b 1005

quit

port-group group-member  interface GigabitEthernet1/0/1 to GigabitEthernet1/0/6

port link-type trunk

port trunk allow-pass vlan 2 to 4094

mac-address multiport 03bf-ac10-050b 1005

quit

arp static 172.16.5.11 03bf-ac10-050b