第一部分:废话
一开始不打算写第二版了,主要是这两个版本小帅感觉都没什么实际意义,问题是没有类似的纯微软网络存在(我在第一版日志里的留言中也提到了)。去年年底在西雅图参加微软MVP峰会之后感觉自己越来越什么都不懂,要学的太多了。直到上个月硬盘上的数据彻底见上帝的时候才惊讶的发现原来装在自己脑袋里面的东西根本就没多少……还是把该总结的总结出来吧。不废话了,开始!
第二部分:物理计算机配置
主板:华硕P5WD2-Premium (Intel 955X芯片组)
CPU:Intel 820 D(双核2.8E*2,超到3.09*2)
内存:金邦DDRII 533 1G*2
硬盘:迈拓九代SATA 120G*2
显卡:PCI-E Nvidia Geforce 6600GT
电源:磐石500
水冷系统:SYSCOOLING(3头)
SYSCOOLING水冷有够恶,硅胶管接头脱落漏水(小帅喝多了拽的,当时也没注意)把才买一个星期的主板烧了个遍体鳞伤,还外带一块硬盘。华硕真是大方,不跟我一般见识不说还给我免费换了一块新的。热泪盈眶啊,后来才知道,因为主板烧的他们都没办法修。个人感觉高端的华硕(2000元以上的)做工、用料(600毫升冷却液在主板上蒸发了40分钟再好的用料也白扯)、三包都没的说绝对一流,低端的华硕(800元以下)干脆就别买,尤其换代芯片组的产品都是代工的,这样的华硕主板就跟嫖客送给小姐的见面礼一样缩水。内存要是Infineon英飞凌的就更好了,可惜当时没米。SATAII以后等“大人”批准了再说吧。
第三部分:网络逻辑拓、物理拓扑、IP配置及实现目的
逻辑拓扑配置:
物理拓扑配置:
IP Address配置:
实验目录:MainOffice站点与BranchOffice站点之间利用ISA Server 2004 EE NLB的虚拟IP地址采用PPTP形成Site To Site VPN,保证两个站点之间的正常通讯,并提供负载均衡。建立Exchange的群集。两台DC也提供了整个企业在AD数据库信息的备份。所有ISA计算机都是域的成员计算机。
小帅在使用Microsoft Office Visio 2003制作这两张拓扑图的时候十分的细致,也十分注重色彩之间的搭配,尽量将能标注的地方都标注出来。两个站点的所有主机IP都是互相对应的。“搭建企业级虚拟Microsoft网络(第一版)”
第二版没有使用Vmware Workstation作为虚拟机软件,因为NLB的单播形式在VMware
不能正常的工作(Windows Server 2003的群集Cluster是运行在多播的形式下)。http://www.vmware.com/support/kb/enduser/std_adp.php?p_faqid=1556
当你使用VMware的时候会出现一个节点可以生成NLB地址,但是另一个却不能。所以如果使用VMware来搭建ISA 2004 EE的NLB是不会成功的,当然除非你禁用ISA集成的NLB,而自行配置Windows NLB运行在多播的形式下。
全部虚拟机操作系统都为Windows Server 2003 SP1。
第四部分:涉及的微软技术
1、Virtual Server 2005 R2
2、Router and Remote Access Service
3、Windows 2003 AD 单域多站点配置
4、ISA 2004 Enterprise:Array/NLB/VPN Site to Site
5、Windows Server 2003 Cluster
6、Exchange Server 2003相关
第五部分:部署步骤概述
(一)、Virtual Server 2005 R2虚拟机模板制作
可以利用Virtual Server 2005 R2的差异磁盘,但在本次实验中,小帅的虚拟机达到了11台,所以为了虚拟机的性能考虑并没有使用差异磁盘的功能,而是直接建立了一个Virtual Server 2005的模板虚拟机之后,利用2003光盘上的Setupmgr.exe为Sysprep的无应答安装写好一个应答文件,然后运行Sysprep.exe关闭模板计算机留做备用。如图1显示的是小帅创建的模板虚拟机为F:\OSTemplates\2003SP1VS。
有关Virtual Server 2005 R2下载请参阅:
http://www.microsoft.com/windowsserversystem/virtualserver/software/default.mspx
有关Virtual Server 2005 R2的具体特性及帮助请参阅:
http://www.microsoft.com/windowsserversystem/virtualserver/evaluation/vsoverview.mspx
Virtual Server Host Clustering(Virtual Server宿主群集)是R2新的特性,在物理节点上利用Virtual Server 2005 R2及Windows Server 2003的特性来实现。有别于小帅在下面创建的Exchange 2003 Server Cluster,请参阅下面的Word文档链接了解Virtual Server Host Clustering(英文):
http://www.microsoft.com/downloads/details.aspx?FamilyID=09cc042b-154f-4eba-a548-89282d6eb1b3&displaylang=en
(二)、创建虚拟网络
依次创建出network00,network01,network02,network03四个网络,其中network00是于物理计算机的网卡连接到相同的网络。其他各网络分别独立。如图2
利用上面虚拟机模板创建实验需要的所有虚拟机如图3,并按“物理拓扑配置”及“IP Address配置”将所有虚拟机添加网卡并连接到创建的“Virtual Networks”、启动虚拟机生成新SID并配置IP地址。如图4
注:
共11台虚拟机,其中routertemp虚拟机为临时虚拟机,在配置多站点的时候会使用到,在真实的网络环境中,应该是临时的专线或VPN等形式。
storage01、storage02分别为MainOffice站点和BranchOffice站点的配置存储服务器。
在“IP Address配置”图中的白色的地址为临时地址,因为ISA 2004 EE的VPN Site to Site还没有形成和创建第二台域控制器dc02的需要。
excnode01及excnode02这两台虚拟机的内存分配为256M,其他所有虚拟机的内存均为128M。
F:\Enterprise\ShareDisk下面放置的是Exchange Server 2003 Cluster的共享磁盘,有关磁盘的创建在下面的部分介绍。
(三)、在MainOffice站点部署域jzlld.org
1、将dc01提升为jzlld.org域中的第一台域控制器并安装DNS服务,重新启动之后在DNS正向查找区内建立DNS区域名为jzlld.org,复制作用域设置为“至Active Directory域jzlld.org中的所有DNS服务器”,此时会自动出现_msdcs.jzlld.org的DNS区域(默认复制作用域为“至Active Directory林jzlld.org中的所有DNS服务器”),在反向查找区域创建DNS区域名为10.0.0.subnet,复制作用域为“至Active Directory域jzlld.org中的所有域控制器”,确认所有注册记录正常。必要时可以使用net stop和net start命令来重新启动netlogon服务。
建立好dc01.jzlld.org之后配置站点和服务,修改默认的站点名称为MainOffice,建立一个新站点BranchOffice,建立2个子网对象10.0.0.0(属于MainOffice站点)和20.0.0.0(属于BranchOffice站点)。如图5
2、将storage01、isa01、isa02、excnode01、excnode02加入到域jzlld.org后关闭待用。
在dc01上创建MainOffice、BranchOffice、EXCluster(为MainOffice子OU)组织单元、将这些计算机帐户移动到MainOffice组织单元。如图6
(四)、创建Windows 2003 Server Cluster
1、创建两个Fixed Size Virtual Hard Disk(必须为Fixed Size):Quorum.vhd和ShareDisk.vhd,将其放在F:\Enterprise\ShareDisk下,其中Quorum.vhd为500M,ShareDisk.vhd为4G。
2、为excnode01和excnode02虚拟机分别添加2个SCSI Adapter,注意两台虚拟机的SCSI adapter ID的值。如图7、8
3、准备工作
启动excnode01,对新添加的两快SCSI磁盘签名,创建分区使用NTFS格式化,设置盘符分别为Q、S。Q盘用做仲裁磁盘,S盘用做存储磁盘。
启动excnode02,分配与excnode01相同的盘符(必须相同)
。
重命名excnode01及excnode02计算机的网卡,连接到network01的网卡为Public,连接到network03的网卡为Private。
设置excnode01及excnode02计算机的Private网卡TCP/IP属性高级-DNS签中“在DNS中注册此连接的地址”为空。
设置excnode01及excnode02计算机的Private网卡TCP/IP属性高级-WINS签中“NetBIOS设置”为“禁用TCP/IP上的NetBIOS”。
设置excnode01及excnode02计算机的控制面板-网络连接-“高级”菜单栏-高级设置:将Public网卡移动到Private网卡上面。
4、将excnode01及excnode02加入到jzlld.org域,在dc01上将这两个计算机对象放置在EXCluster组织单元内。
5、将两台计算机重新启动之后,配置Windows Server 2003 Cluster服务。
在dc01的ExCluster组织单元内创建一个群集专用的域帐户Cluster
在excnode01上创建群集MSCluster,并将excnode02节点加入到该群集(步骤略)
设置群集上的心跳设置
启动“群集管理器”-“网络”-右击“Private”-“属性”-选中“仅用于内部群集通信(专用网络)”
启动“群集管理器”-“网络”-右击“Public”-“属性”-选中“所有通信(混合网络)”
设置心跳优先
启动“群集管理器”-右击群集名称-“属性”-“网络优先级”-确认“Private”网络列于最顶部。
完成Windows Server 2003 Cluster如图9
其中“磁盘S”资源位于“组0”资源组中
(五)、创建Exchange 2003 Cluster在两个节点计算机上
1、在dc01上为Exchange 2003安装做森林及域的准备工作,依次运行Exchange 2003安装光盘上的setup.exe /forestprep和setup.exe /domainprep
2、在excnode01及excnode02节点计算机上分别安装Exchange必须的服务
NET Framework
ASP.NET
Internet 信息服务 (IIS)
World Wide Web Publishing 服务
简单邮件传输协议 (SMTP) 服务
网络新闻传输协议 (NNTP) 服务
3、在群集中创建MSDTC资源
右键“群集组”-新建“资源”,在“名称”内,输入“MSDTC”,在“资源类型”中选择“分布式事务协调器”。在“组”中,选中“群集组”,然后单击“下一步”。在“可能的所有者”中,选择excnode01及excnode02,然后单击“下一步”。在“依存”中,同时选择默认群集组中的“磁盘Q”和“网络名称”资源,然后单击“添加”。单击“完成”,然后单击“确定”确认资源已经创建完毕。用鼠标右键单击“MSDTC”资源,然后单击“联机”。
4、在excnode01、excnode02节点上分别依次完成Exchange安装
5、创建Exchange虚拟服务器
此处我们使用默认的“组0”,该组是默认创建的,其内仅有一个磁盘资源S。将其重命名为MSExchange
创建 IP 地址资源:单击“新建”-“资源”。在“名称”框中,键入“IP Address”。在“资源类型”列表中,选择“IP 地址”。资源组为“MSExchange”,将excnode01和excnode02添加为可能的所有者。“依存资源”为空。在“地址”框中,输入群集组的静态 IP 地址10.0.0.101/8。网络为“Public”。允许以NetBIOS名称形式访问此群集。然后将该资源“联机”
创建网络名称资源:单击“新建”-“资源”。在“名称”框中,键入“MSExchange”。在“资源类型”列表中,选择“网络名称”。资源组为“MSExchange”,将excnode01和excnode02添加为可能的所有者。“依存资源”为“IP Address”资源。在“名称”中,键入Exchange虚拟服务器的网络名“MSEXHANGE”。选中“DNS注册必须成功”复选框。将该资源“联机”
向 Exchange 虚拟服务器添加磁盘资源:资源组“MSExchange”中已经有“磁盘S”资源了。
创建 Exchange 2003 系统助理资源:单击“新建”-“资源”。在“名称”框中,键入“Exchange System Attendant”。在“资源类型”列表中,选中“Microsoft Exchange System Attendant”,资源组为“MSExchange”。将excnode01和excnode02添加为可能的所有者。“依存资源”为网络名称资源“MSExchange”和磁盘资源“磁盘S”。选中“第一个管理组”,选中“第一个路由组” “输入数据目录路径”框中,接受默认位置“S:\EXCHSRVR”。注意此位置为共享物理磁盘资源。Exchange 会用这个位置来存储事务日志文件、默认公用存储文件和邮箱存储文件(pub1.edb、pub1.stm、priv1.edb 和 priv1.stm)。完成后将该资源“联机”。
如图10显示完成配置的Exchange群集状态
将创建出来的“MSExchange”Exchange群集计算机对象由“Computer”容器移动到“EXCluster”容器。如图11
(六)、升级Exchange 2003 Cluster到SP2
Exchange 2003群集补丁的轮替式升级有别于Exchange 2000群集,这是微软对轮替式做了一定的修改。在未升级补丁之前,虚拟服务器MSExchange的binaries如图12
1、默认excnode01为主动节点,而excnode02为被动节点,Exchange虚拟服务器在excnode01上。将excnode02节点上的群集服务停止,然后将Exchange SP2应用到该节点(由于操作系统为Windows Server 2003 SP1所以不需要安装831464补丁,如果操作系统为Windows Server 2003那么需要安装该补丁,推荐最好操作系统为Windows Server 2003 SP1)。
此处小帅是使用一个命令行工具CDImage.exe来将整个Exchange SP2的文件夹做成一个ISO映像,然后挂接到excnode01上。这个工具没有集成在操作系统里面,但是非常的小才71K。也可以和BBIE.exe(也是一个命令行工具,也非常的小,用来抓可启动光盘上的引导代码)结合使用-b参数来制作OS启动光盘,甚至制作多合一光盘-o参数(真正的启动不是启动进DOS那种)。命令参数如图13
这个命令的意思是运行D:\CDimage目录下的cdimage命令,将E:\MSSP\E3SP2CHS文件夹内的所有文件(包括隐藏文件)作成一个名为E3SP2CHS.ISO的文件,卷标为E3SP2CHS,允许长文件名,并将其放在E:\ISO文件夹内,其中E:\MSSP\E3SP2CHS为小帅事先解压好的Exchange SP2。小帅已经在Virtual Server 2005 R2的“Virtual Server Search Paths”添加了E:\ISO,便于虚拟机使用ISO文件。
2、重启excnode02后,打开“群集管理控制台”将Exchange虚拟服务器离线,但保持和该虚拟服务器相关的“IP地址资源”、“网络名称”、“存储资源”联机,该操作可直接将“Exchange System Attendant”资源脱机即可。
3、将Exchnage虚拟服务器做“移动组”操作移动到excnode02。
4、右击“Exchange System Attendant”资源选择“升级虚拟服务器”,当升级完成后会出现“已经成功升级Exchange虚拟服务器”的提示。如图14(该操作必须在excnode02上运行,因为此时excnode01上还未升级SP2补丁)
5、右键将每一个Exchange资源重新设置成“联机”状态,此时SP2已经应用到excnode02节点,并且Exchange虚拟服务器的活动目录对象也已经显示该虚拟服务器运行SP2。
6、将excnode01节点上的群集服务停止,然后将Exchange SP2应用到该节点。重启之后将Exchange虚拟服务器移动回excnode01节点测试成功。
如图15显示的是升级之后的Exchange虚拟服务器的binaries
多节点Exchange群集的升级请参考:
《WindowsITPro》2005年9月中的文章《升级Exchange 2003群集》非常的详细。http://www.support.microsoft.com/?kbid=867624
该技术文档为升级SP1,同样适用于 Exchange Server 2003 的任意 Service Pack。
(七)、部署MainOffice站点ISA周边
1、启动storage01、isa01、isa02三台虚拟机,将storage01的缺省网关临时性指定到10.0.0.10,为分站点BranchOffice内的storage02复制配置存储做准备。在storage01上安装ISA 2004 EE配置其为企业中的第一台配置存储服务器。
2、将isa01的内外网网卡名称更改为“internal”和“external”。然后安装ISA 2004 EE并创建阵列MainOffice。设置10.0.0.0/8为内部网络。
3、将isa02的内外网网卡名称更改为“internal”和“external”,然后安装ISA 2004 EE并将其加入到阵列MainOffice。在storage01上刷新同步。如图16
(八)、配置临时路由创建分站点BranchOffice
1、启动routertemp,并配置其上的RRAS服务使其充当一个临时路由器并确认其正常工作(当两个站点间的VPN Site to Site配置成功之后该计算机将被关闭)。如图17
2、将dc01的缺省网关临时性的指向10.0.0.10,启动dc02,将其DNS服务器地址临时性的指向10.0.0.4,缺省网关临时性的指向20.0.0.10。运行dcpromo将其提升为jzlld.org中的第二台域控制器。dc02的服务器对象会自动出现在“BranchOffice”的站点下面。
3、重新启动dc02之后,在其上安装DNS服务。等待一段时间让dc02与dc01同步应用程序目录分区(注意此时反向查找区域中的10.0.0.subnet区域会最先出现在dc02的DNS控制台,因为该DNS区域是保存在Domain分区中的,所以在dc02被提升的时候实际上该分区已经被复制过来了,而jzlld.org区域和_msdcs.jzlld.org区域都是保存在应用程序目录分区的,所以复制是需要时间),直到dc02的DNS控制台中出现dc01上的默认创建的DNS区域之后,再将dc02的DNS服务器地址修改为20.0.0.4。(绝对不要直接在dc02上创建jzlld.org区域,如果这样DNS的区域记录就会丢失,大型复杂性网络可想而知)
将dc02也提升为GC。然后重新启动dc02让全局编目的信息同步。
4、启动storage02、isa03、isa04,将这三台虚拟机加入域jzlld.org,在dc02上将这三个计算机对象放置在已经创建好的BranchOffice组织单元内。然后使用“站点和服务”与dc01同步。
5、将storage01的缺省网关临时性指定到20.0.0.10,在storage02上安装ISA 2004 EE,选择从storage01上复制存储配置。
5、将isa03的内外网网卡名称修改为“internal”和“external”,然后安装ISA 2004 EE并创建阵列BranchOffice。设置20.0.0.0/8为内部网络。
6、将isa04的内外网网卡的名称更改为“internal”和“external”,然后安装ISA 2004 EE并将其加入到阵列BranchOffice,在storage02上刷新同步。如图18
(九)、配置MainOffice阵列上的NLB
1、为isa01、isa02连接到network01网络的internal网卡配置NLB,虚拟IP为10.0.0.1/8
2、为isa01、isa02连接到network00网络的external网卡配置NLB,虚拟IP为202.0.1.1/16
操作步骤省略,如图19
(十)、配置BranchOffice阵列上的NLB
1、为isa03、isa04连接到network02网络的internal网卡配置NLB,虚拟IP为20.0.0.1/8
2、为isa03、isa04连接到network00网络的external网卡配置NLB,虚拟IP为202.0.2.1/16
操作步骤省略,如图20
(十一)、配置MainOffice阵列上的VPN Site to Site
1、在dc01上的MainOffce组织单元内建立用于VPN播入的帐户BrachOffice,设置“用户拨入属性”为“允许”,注意该帐户必须与远程站点的名字相同,另外该帐户不是用来初始化MainOffice站点到BrachOffice站点的VPN连接,而是用来为BrachOffice站点初始化VPN连接的。
同样在dc01上的BranchOffce组织单元内建立MainOffice站点用于VPN播入的帐户MainOffice,设置“用户拨入属性”为“允许”。同步两台DC。
2、建立远程站点BranchOffice(20.0.0.0-20.255.255.255)。
设置的呼叫IP为202.0.2.1(阵列BranchOffice的虚拟IP),协议为PPTP(如果要使用L2TP可以配置证书),初始化帐户为MainOffice。如图21
3、创建“网络规则”:内部网络与远程站点BranchOffice为双向的路由关系。如图22
4、创建“阵列访问规则”:允许内部和远程站点BranchOffice通讯。如图23
5、配置VPN访问
配置VPN的地址池范围为isa01:192.168.1.1-192.168.1.50;isa02:192.168.1.51-192.168.1.100(注意阵列中的两个节点都要配置,除非你打算让对方只拨叫其中的一个阵列节点而不拨叫NLB生成的虚拟IP来初始化VPN连接)如图24
启用VPN客户端访问的时候设置“允许最大的VPN客户端数量”最多可设置为48个。这个地方一定要注意。在阵列MainOffice上一共设置了100个IP,每个阵列节点50个IP,此时如果设置超过了48个就会出现如图25的提示。
(十二)、配置BranchOffice阵列上的VPN Site to Site
1、建立远程站点MainOffice(10.0.0.0-10.255.255.255)
设置的呼叫IP为202.0.1.1(阵列MainOffice的虚拟IP),协议为PPTP(如果要使用L2TP可以配置证书),初始化帐户为BranchOffice。如图26
2、创建“网络规则”:内部网络与远程站点MainOffice为双向的路由关系。如图27
3、创建“阵列访问规则”:允许内部和远程站点MainOffice通讯。如图28
4、配置VPN访问
在storage02上设置VPN地址池分配isa03:192.168.2.1-192.168.2.50;isa04:192.168.2.51-192.168.2.100。然后“启用VPN客户端访问“。如图29
启用VPN访问的时候仍然注意是48个连接。
(十二)、将临时性的缺省网关修改为各自阵列的NLB虚拟IP
1、关闭routertemp虚拟计算机。
2、修改MainOffice站点内dc01、storage01的缺省网关为10.0.0.1
3、修改BranchOffice站点内dc02、storage02的缺省网关为20.0.0.1
(十三)、测试并验证VPN Site to Site
1、 在dc01(10.0.0.4)上ping 20.0.0.4(dc02的IP地址)如图30
2、打开isa01、isa02的“路由和远程访问”管理控制台。如图31、32
3、打开isa03、isa04的“路由和远程访问”管理控制台。如图33、34
注;从图中可以看出当VPN Site to Site初始化成功之后,建立VPN Site to Site连接是isa01与isa03,这两台计算机各有7个地址。而isa02、isa04这两台计算机各有5各地址。每个地址的接口小帅使用netsh子命令显示出来,注意isa01和isa03的“内部”接口,VPN在建立连接的时候会分给自身VPN服务器地址就在这个接口上。
当然也可以在阵列中创建其他“访问规则”来实现各自站点内部的所有计算机访问Internet网络(在此假设的网络为network00)。
第六部分:总结
最费时费力的就是配置虚拟环境了,花费的时间也很多,要不断的重启虚拟机。要在一个环境的基础上搭建另一个环境设置。还要保证不出错。这些虚拟机小帅会留下来。做进一步的测试使用,毕竟这么费劲弄这么一个文档出来TMD不容易。
Show一下(第二版)中所有10台虚拟机吧,“全家福”,呵呵!最外面是物理主机的桌面。
自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |