2012 web NLB HA https
2012server web HA
在2012上架设网站,为了应付突发性的访问量,需要做NLB。
实验环境:一台实体机hyperv开4台虚机,4个虚拟机在一个vlan,就是互相能访问
1、2012 dc 192.168.1.1/24 //ad dc, ad cs
2、2012 node1 (虚机) 192.168.1.2/24 dns192.168.1.1 //iis web 节点1
3、2012 node2 (虚机) 192.168.1.3/24 dns192.168.1.1//iis web 节点2
4、win8 client 192.168.1.100 //模拟外网计算机访问web
对外域名主机 www.abc.com vip: 192.168.1.200
实验目标:实验外网客户机访问web时候在node1和node2实现轮流访问
配置流程:
一、配置实验环境:
1.1 dc上安装ad ,提升域控,安装ad cs,配置ad cs的根证书,重新启动dc;
1.2 node1,node2加入域,重新启动后,用域账户登录,如果是普通与账户,注意做功能的时候提权
查看node1,node2是否有拿到dc的根证书.
cmd--mmc--控制台--文件--添加和删除瓜管理单元--(选)证书--添加--(打勾)计算机账户确定;
控制台--证书--受信任的根证书颁发机构--证书 //看是否有dc上的根证书
二、配置hyperv实体机
2.1 hyperv管理器--node1--(右键)设置--网络适配器--高级功能--(打勾)启用mac地址欺骗
三、配置node1,node2的iis服务器
3.1 node1和node2分别配置iis
服务器管理器--添加角色--web服务器(iis)-->完成 //在各自计算机节点ie输入localhost看是不是能打开windows server默认网页.
3.2 node1和node2配置web site,为方便看效果,node1配置网站web1,node2配置网站web2.
node1--服务器管理器--iis--选(服务器)--(右键)iis服务器--node1--网站--default web site--(右键)浏览-- //打开c:\inetpub\wwwroot文件夹
(右键)新建文本文件--文件名("default.htm"或者"index.html")--文件内容"this is node1 web site" //ie中输入localhost验证
node2同样处理,只是在新建文件内的文件内容是"this is node2 web site";
3.3 在客户机的浏览器内分别输入node1和node2的ip,看网站显示都是正确.
四、配置www.abc.com在node1和node2 双服务器上的负载均衡.
4.1 在node1,node2上配置负载平衡
node1,node2--添加角色和功能--功能--(打勾)网络负载平衡--完成
power-shell命令
// estn node2.abc.com
// node2.powershell>install-windows feature nlb
// exsn
关闭2个虚机,打开2个虚拟机的hyperv的 设置项, 网卡适配器--高级功能--打勾 开启mac 地址欺骗.
4.2 配置nlb
node1--工具--网络负载平衡管理器--进入--(选择)网络负载均衡管理器
--(右键)新建群集
--主机名:node1.abc.com
--主机参数--优先级:1
--集群ip地址:添加地址192.168.1.200/24 //虚拟ip地址,外网访问或者映射该地址。 可以多个地址
--集群参数:单播 //单播,多播,igmp
--端口规则:编辑--端口范围:从80到80 //http的专用端口
--端口规则: 筛选模式:单一主机 // 先选无,方便检查
--完成 //cmd--ipconfig 看是否有2个ip地址192.168.1.2 192.168.1.200
网络负载均衡管理器--192.168.1.200--(右键)添加主机到群集
--主机:node2.abc.com 连接
--优先级:2
--完成 //刷状态,2个节点都要绿色正常
//etsn node2.abc.com | ipconfig | etxn 看ip 192.168.1.3 192.168.1.200
五、检查nlb和故障灾备测试
客户机win8
ie--打开--192.168.1.100--随机打开node1或者node2 web网站。
在客户端正在访问web1的时候,强行关闭node1计算机,在客户端刷新192.168.1.200网站,自动切换到web2,自动跳到node2
测试成功,目标完成。
六、node权重调整
6.1 node1--工具--网络负载平衡管理器--进入--(选择)网络负载均衡管理器--节点(192.168.1.200)--(右键)集群属性--端口规则--编辑--筛选模式
--(打勾)多个主机 //多主机随机切换,单机就是使用一个,其他备份
-- 相关性:无 --客户端连接到vip后每五分钟切换随机主机,实现完全平衡。
单一 --客户端连接vip后第一次被分配到哪个主机,以后一直登陆那个主机
网络 --客户端连接vip后被分配到主机,客户端站点的计算机都分配到这个主机
6.2 node1--工具--网络负载平衡管理器--进入--(选择)网络负载均衡管理器--节点(192.168.1.200)--子节点--(右键)主机属性--端口规则--编辑--筛选模式--(打勾)相等
//相等:所有主机负载平均;或者针对主机单独制定负荷比例。
七、目标2:把vip升值成信任网站https
7.1增加443端口
node1--工具--网络负载平衡管理器--进入--(选择)网络负载均衡管理器--节点 (192.168.1.200)--(右键)集群属性--端口规则--添加--端口范围(443到443)--确定。
7.2 dc -- 服务器管理器 -- ad cs -- (右)证书颁发机构 -- 证书模板 -- (右)管理 、
--证书模板---模板显示名称(计算机)-- (右)复制模板 --调出 新模板的属性界面
常规项: 模板名称(计算机node)--
使用者姓名项(打勾)在请求中提供
请求处理项(打勾)允许导出私钥
完成
7.3 dc -- 服务器管理器 -- ad cs -- (右)证书颁发机构 -- 证书模板 -- (右)新建--要颁发的证书模板 -- 选择证书模板名称计算机node
7.4 node1导出证书
node1--cmd-- gpupdate /force
cmd--mmc--控制台--文件--添加管理单元--证书--添加--(打勾)计算机账户--确定
控制台--证书--受信任的根证书颁发机构--看根证书是否正常
控制台--证书--个人--所有任务--申请新证书--选择注册证书策略--下一步--请求证书--(打勾)计算机node -- (点击)注册此证书需要详细信息-- 证书属性 -- 使用者 -- 类型(公用名)-- 值(www.abc.com)-- 应用 -- 返回(请求证书)-- 注册 -- 完成
控制台--证书--个人--(选)www.abc.com证书--(右)所有任务 -- 导出 -- 下一步 -- (打勾)是,导出私钥--(默认)下一步 --安全(输入密码)-- 浏览目录--文件名 -- 完成
7.5 node2导入证书
node2--mmc -- 控制台 -- 文件 --添加管理单元 --证书--添加--(打勾)计算机账户--确定
控制台--证书--个人 -- 所有任务 -- 导入 -- 选择(node1导出的证书)--输入密码--默认下一步--完成
7.6 node1 node2开https
node1--服务器管理器--iis--(右)iis管理器--node1--网站--default web site--(右)编辑绑定
--网站绑定--添加
--添加网站绑定--类型(https)--ssl证书(选www.abc.com)--确认
--node2同样处理
7.7 修改dns记录
如果需要解析域名来实现负载均衡,只要把vip地址与对应的域名在dns服务器中绑定即可。
dc -- dns --dns管理器 -- dns -- 正向查找区域 -- abc.com --添加主机 -- 名称 www -- ip地址: 192.168.1.200-- 添加主机
八、检验测试
8.1 client打开ie--输入https://www.abc.com //正常显示
8.2 cmd>netstat -ano | find "443" //看https接入的来源ip地址
8.3 故障调试
node1 正常维护
node1--工具--网络负载平衡管理器--进入--(选择)网络负载均衡群集--节点--node1 -- (右)控制主机--停止
8.4在client看https是否正常工作,从node1的web1自动切换到node2的web2.以及ip来源地址.
以上