摘要

本文为 Microsoft Windows 2000 或 Windows Server 2003 服务器群集的网络基础结构提供了服务器群集要求和最佳做法。若要群集可以正常运行，必须满足这些要求。最佳做法是从部署反馈和现场发现的问题中得来的一些建议。

群集网络要求

本节介绍服务器群集对于网络基础结构的要求。若要服务器群集解决方案可以正常运行，必须满足这些要求。

一般要求

本节介绍适用于所有服务器群集部署的要求。

地理位置分散的群集

本节讨论对于地理位置分散的群集附加的一些要求：

群集网络最佳做法

本节介绍部署服务器群集的网络最佳做法。

硬件规划建议

网络接口控制器配置建议

群集服务配置建议

实施最佳做法的过程

本节介绍实施最佳做法的过程：

在配置群集服务之前配置网络接口控制器

在配置群集服务之后配置群集网络属性

Windows 2000

在安装群集软件时，每个网络都会出现一个“配置群集网络”对话框（以任意顺序）。对于公用网络，请确保名称和 IP 地址匹配公用网络的网络接口。选中复选框“为群集使用启用这个网络”。选中“所有通信（混合网络）”选项。对于专用网络，请确保名称和 IP 地址匹配专用网络的网络接口。选中复选框“为群集使用启用这个网络”。选中“只用于内部群集通信”选项。

安装期间的默认配置是将公用网络适配器配置为“所有通信”，将专用（信号）网络适配器配置为“只用于内部群集通信”。Microsoft 建议您保留此默认配置。为了您的群集能够正确安装和工作，您必须将最少一个网络配置为“内部群集通信”或“所有通信”。

Windows Server 2003

Windows Server 2003 群集配置向导在配置期间不提供更改网络设置的方式。所有网络的默认设置都是启用“所有通信”。这将确保群集可以正常工作。为了符合最佳做法，您应当按照以 下方法将其中一个网络设置为专用网络，并将专用网络设置为内部群集通信最优先使用的网络：

IPSec

尽管可以对在服务器群集中可实现故障转移的应用程序使用 Internet 协议安全 (IPSec)，但 IPSec 并非专为故障转移的情况而设计，因此我们推荐您不要对服务器群集中的应用程序使用 IPSec。

主要的问题就是如果发生故障转移的话，Internet 密钥交换 (IKE) 安全关联 (SAs) 并不会从一台服务器传送到另一台服务器，因为它们是存储在每个节点上的本地数据库中的。

在受 IPSec 保护的连接中，会在第一阶段协商时创建一个 IKE SA。在第二阶段中会创建两个 IPSec SA。一个超时值会与 IKE 和 IPSec SA 关联。如果没有使用“主密钥完全向前保密”，则系统就会使用 IKE SA 的密钥资料创建 IPSec SA。在这种情况下，客户端必须等待入站 IPSec SA 的默认超时时间或有效期限结束，然后等待与 IKE SA 有关的超时时间或有效期限。

“安全关联空闲计时器”(Security Association Idle Timer) 默认超时时间是 5 分钟，在出现故障转移的情况下，客户端至少必须等候 5 分钟，直到所有资源在线后，才可以使用 IPSec 重新建立连接。

尽管没有为群集环境优化设计 IPSec，但如果安全连接的重要性超过故障转移导致客户端停机时间的威胁，则您也可以使用 IPSec。

NetBIOS

在 Windows Server 2003 中，群集服务不要求使用 NetBIOS；但是如果禁用 NetBIOS 的话，有一些服务就会受到影响。您应当了解以下情况：