ISASERVER2004之配置网络负载平衡(NLB).doc

窗体顶端在这次实验中，将通过对ISAServer2004企业版进行配置，以使用NLB功能来达到对外访问的负载。在这次实验中，使用了四台计算机，分别是Denver-Florence-FirenzeIstanbul其中：Florence（红色）和 Firenze（红色）运行 ISA Server 2004 Enterprise Edition。这两台计算机配备三个网卡，分别用于连接内部网络、外围网络和外部网络 (Internet)。Florence 和 Firenze 处于名为ITALY 的阵列中。只有 Florence 运行配置存储服务器 (CSS)。D（绿色）是内部网络上 域的域控制器。Denver 上运行 DNS、RADIUS 和 Exchange 2003，同时也是证书颁发机构 (CA)。I（紫色）是外部网络 (Internet) 上的 Web服务器和客户端计算机。Istanbul 上运行 Outlook 2003。Istanbul不是某个域的成员。By RickyFang：1、I比较特别，采用的是工作组的方式，具体做法就如下图：2、这些实验中利用了C:windowssystem32driversetchosts文件来代替了一些DNS的作用，例如用 解析Florence等机器。如在Florence机器上的HOSTS文件内容如下：“# ISA Server 2004 labs - Hosts file (Florence)# This file must be in %windir%System32driversetc folder,# this will replace the existing hosts file. localhost # on internal network # on perimeter network # on external network florence # CSS name/array-member - to intra-array network firenze # array-member - to intra-array network”3、这次实验中，Florence（红色）和 Firenze（红色）的外围网络用于NLB的通信，且由于位于工作组中 采用了SSL的身份验证方式来验证ISA服务器（Florence（红色）和 Firenze（红色）与配置存储服务器（Florence）通信，至于如何实现此种方式，而又为何选择此种方式，本人将在另一篇试验文档中给于详细的说明和创新步骤。且同时说明的还有如何配置企业的CA证书。4、这次实验中的NLB，并不是直接通过配置“网络连接”来实现的，而是通过ISA控制面板来实现的，这个和ISA控制面板 来配置VPN接入而不使用2K3SP1自带的“路由与远程访问”一样的。5、推荐在WINDOWS 2OO3 SERVER企业版上来完成此ISA功能的实现。 OK，下面开始实验之旅，不过还请您要仔细看清楚，本文用了大量的图片和文字说明。以使各位能更详细、深入的了解ISASERVERR之NLB功能。在Florence计算机上执行以下步骤。1.在Florence计算机上，在启用NLB之前考察“内部连接”网卡的当前配置。a.在Florence计算机上，依次单击“开始”菜单、“控制面板”、“网络连接”，右键单击“内网”，然后单击“属性”。请注意，在“内部连接属性”对话框中，此网卡尚未启用“网络负载平衡”。注意：请不要在此对话框中启用网络负载平衡(NLB)。您可以从ISAServer控制台启用和配置NLB。b.单击“取消”以关闭“内网属性”对话框。2.在ISAServer控制台中，启用NLB集成，并对“内部”网络启用NLB。虚拟IP地址：子网掩码：a.在“开始”菜单上，依次单击“所有程序”、“MicrosoftISAServer”，然后单击“ISAServer管理”。b.在ISAServer控制台中，依次展开“阵列”、“ITALY”、“配置”，然后在左窗格中，选择“网络”。c.在右窗格中，选择“网络”选项卡。d.在任务窗格的“任务”选项卡上，单击“启用网络负载平衡集成”。启用NLB集成将导致以下两个操作：*ISAServer控制NLB驱动程序并添加其他功能，例如，当任意ISAServer服务失败时警告NLB驱动程序，当对阵列上的多个网络启用NLB时支持网络通讯的处理。*ISAServer管理NLB的配置，并覆盖您可能在ISAServer外部做出的任意手动NLB更改。注意：也可以采用非集成模式在ISAServer上使用NLB。不过，该配置不具备ISAServer的NLB驱动程序控制所提供的附加功能。a.在“网络负载平衡向导”对话框中，单击“下一步”。b.在“选择负载平衡网络”页面上，选择“内部”，然后单击“设置虚拟IP”。c.在“设置虚拟IP地址”对话框中，填写以下信息：*虚拟IP地址：*掩码：然后单击“确定”。NLB虚拟IP地址(VIP)用在两个阵列成员上。地址必须属于与Florence()和Firenze()上的专用IP地址(DIP)相同的IP子网。d.在“选择负载平衡网络”页面上，单击“确定”。e.在“正在完成网络负载平衡集成向导”页面上，单击“完成”。此时将显示一个消息框，指出您为配置存储服务器(CSS)指定的名称应当解析为阵列内IP地址。这仅适用于CSS安装在阵列成员上且启用了NLB的情况。f.单击“确定”以关闭消息框。g.在左窗格中，右键单击“ITALY”，然后单击“属性”。h.在“ITALY属性”对话框中，选择“配置存储”选项卡。阵列使用名称Florence来指定Florence计算机上的CSS。Florence和Firenze均使用主机文件将名称Florence解析为Florence()的阵列内IP地址。这表明，在您启用NLB集成之后，阵列满足消息框中所列出的要求。i.单击“取消”以关闭“ITALY属性”对话框。3.考察“内部”网络上的NLB和CARP配置。a.在左窗格中，选择“网络”，然后在右窗格的“网络”选项卡上，右键单击“内部”，然后单击“属性”。b.在“内部属性”对话框中，选择“NLB”选项卡。对“内部”网络启用NLB。虚拟IP地址为。c.选择“CARP”选项卡，并确保此网络上未启用CARP。ISAServer支持在同一网络上同时使用CARP和NLB，但在本实验中将只使用NLB。By RickyFang:CARP:缓存 列路由协议，平衡WEB请求和缓存阵列中服务器上的内容，只有在启用缓存后才使用CARP。d.单击“确定”以关闭“内部属性”对话框。4.在“监视/服务”选项卡上考察“网络负载平衡”服务的状态。a.在左窗格中，选择“监视”，然后在右窗格中，选择“服务”选项卡。如果启用了NLB集成，则ISAServer将在“服务”选项卡上显示“网络负载平衡”服务的状态。该服务并不是真正的Windows服务，但代表NLB网络驱动程序。由于您尚未应用配置更改，因此“网络负载平衡”服务的当前状态为“不可用”。b.请不要单击“应用”保存更改5.启动“阵列状态监视器”以迅速查看当前的CSS状态和NLB状态。文件：C:ToolsStatusArrayStatus.htaa. 使用 Windows 资源管理器（或“我的电脑”）打开C:ToolsStatus 文件夹。b. 在 Status 文件夹中，右键单击 ArrayStatus.hta，然后单 击“打开”。“阵列状态监视器”是一个用于此实验室的 HTML 应用程序。它可持续显示阵列的 CSS 同步状态和 NLB状态。这些信息与“监视”节点处 ISA Server 控制台中“配置”选项卡（CSS 状态）和“服务”选项卡（NLB 状态上所显示的信息是相同的。BY:RickyFang:这些各位在做实验时，并不一定要以此方式来监视，可以采用观察“ISA 控制面板里的监视-服务”里的选项来实现。c. 关闭 Status 文件夹。6. 应用更改并重新启动“防火墙”服务。a.在ISAServer控制台中，单击“应用”以保存更改。b.在“ISAServer警告”对话框中，更改当前部分，然后选择“保存更改，并重启动服务”，然后单击“确定”。c.单击“确定”以关闭“正在保存配置更改”对话框。d.等待，直到CSS状态变为“已同步”且NLB状态变为“正在运行”。该过程可能需要5到10分钟。Florence和Firenze收到新的配置之后，ISAServer将在这两台计算机上启用和配置NLB。NLB状态“正在配置”表示NLB驱动程序仍在将计算机聚合为统一的状态。注意：在等待NLB聚合并显示状态“正在运行”的5至10分钟时间内，您可以继续进行下一步操作。BY RickyFang：我截了多幅图，以便各位更能清楚变化的过程。7.考察NLB主机ID，以及用于阵列内通信的网络。a.在左窗格中，选择“服务器”。b.在右窗格中，右键单击“Florence”，然后单击“属性”。“主机ID”号表示由ISAServer分配的NLB主机标识符。Florence使用主机ID2，Firenze使用主机ID3。NLB群集中的所有主机必须使用介于1到32之间的唯一主机ID。ISAServer不分配主机ID1，因此NLB群集中的阵列成员最多为31个。注意：请勿把术语搞混。NLB使用术语“群集”和“主机”，而ISAServer使用术语“阵列”和“成员”。WLBS（WindowsNT负载平衡服务）是NLB的一个旧名称。c.在“Florence属性”对话框中，选择“通信”选项卡。Florence（和Firenze）使用“外围”网络(23.1.1.x)上的IP地址在阵列成员之间进行通信。这是在实验室设置过程中所执行的配置更改。ISAServer上的默认设置是使用“内部”网络上网卡的第一个IP地址来进行阵列内通信。注意：在ISAServer上启用NLB时，阵列内通信网络不得进行负载平衡。这对于所谓的“NLB检测信号”并不是必需的，但为了允许正常的阵列内通信，必须如此。（不过，WindowsServer2003ServicePack1中去掉了这一要求。）d.单击“取消”以关闭“Florence属性”对话框。8.删除所有现有的Web发布规则和服务器发布规则。a.在左窗格中，选择“防火墙策略(ITALY)”。By RickyFang：这个段的内容所描述的本人之前并没有创建，故各位可以仅做参考罢了。NLB的行为是动态的，并受现有的Web发布规则和服务器发布规则的影响，为确保NLB的行为与本实验中的描述和步骤完全一致，您必须删除所有现有的Web发布规则和服务器发布规则。b.对于每个服务器发布规则，在右窗格中的“防火墙策略规则”列表中，右键单击规则，单击“删除”，然后单击“确定”以确认要删除规则。注意：服务器发布规则通过“顺序”列中一个包含小的灰色服务器符号的正方形图标表示。c.对于每个Web发布规则，右键单击规则，单击“删除”，然后单击“确定”以确认要删除规则。注意：Web发布规则通过“顺序”列中一个与蓝色工作站符号相连的灰色服务器符号表示。9.创建新的访问规则。名称：允许Web访问(NLB)应用于：HTTP源网络：内部目标网络：外部a.在右窗格中，在“防火墙策略规则”列表中选择第一个规则，以表明新规则添加到规则列表中的位置。b.在任务窗格的“任务”选项卡上，单击“创建阵列访问规则”。c.在“新建访问规则向导”对话框中的“访问规则名称”文本框中，键入“允许Web访问(NLB)”，然后单击“下一步”。d.在“规则操作”页面上，选择“允许”，然后单击“下一步”。e.在“协议”页面上的“此规则应用到”列表框中，选择“所选的协议”，然后单击“添加”。f.在“添加协议”对话框中，*依次单击“通用协议”、“HTTP”、“添加”，然后单击“关闭”以关闭“添加协议”对话框。g.在“协议”页面上，单击“下一步”。h.在“访问规则源”页面上，单击“添加”。i.在“添加网络实体”对话框中，*依次单击“网络”、“内部”和“添加”，然后单击“关闭”以关闭“添加网络实体”对话框。j.在“访问规则源”页面上，单击“下一步”。k.在“访问规则目标”页面上，单击“添加”。l.在“添加网络实体”对话框中，*依次单击“网络”、“外部”和“添加”，然后单击“关闭”以关闭“添加网络实体”对话框。m.在“访问规则目标”页面上，单击“下一步”。n.在“用户集”页面上，单击“下一步”。o.在“正在完成新建访问规则向导”页面上，单击“完成”。此时，将创建一个新的防火墙策略规则，该规则允许从“内部”网络通过HTTP协议访问“外部”网络。10.完全启用NLB集成之后，应用更改。a.在应用新规则之前，请确保ISAServer阵列上已完全启用了NLB集成。等待，直到CSS状态变为“已同步”，且NLB状态变为“正在运行”。b.单击“应用”以应用新规则，然后单击“确定”。等待，直到CSS状态变为“已同步”，且NLB状态变为“正在运行”。在Denver计算机上执行以下步骤。11.在Denver计算机上，连接到/web.asp.使用代理服务器地址：:8080和:8080a.在Denver计算机上，打开InternetExplorer。在“地址”框中，键入/web.asp，然后按Enter键。此时将出现Istanbul上的“Web服务器信息演示