У службі AD балансування завантаження здійснюється автоматично на стороні сервера завдяки поділу процесів виявлення контролерів домену та підключення до них. Але служба LDS є всього лише каталогом LDAP і тому не має вбудованих механізмів балансування власної завантаження, незважаючи на широкі можливості реплікації. Тому, замість того щоб постійно очікувати відмови примірника LDS, ви можете задіяти службу Microsoft Network Load Balancing (NLB) для реалізації механізму балансування завантаження. У даній статті я детально опишу 6 кроків, за допомогою яких можна швидко організувати і запустити балансування навантаження серверів LDS
ІТ-інфраструктура для вашого підприємства
Служба каталогів Active Directory Lightweight Directory Services (AD LDS) спрощує розгортання каталогів додатків в організаціях, не піддаючи додатковому ризику корпоративний ліс AD. Одночасно з ростом популярності AD LDS сформувалася потреба в масштабованості екземплярів даної служби і в забезпеченні високого рівня доступності. Служба LDS побудована на основі коду, використаного для створення AD, тому вона має ідентичні механізми реплікації і наведені цифри щодо, проте деякі правила, що забезпечують високий рівень доступності, незастосовні до примірників LDS.
Але спочатку давайте познайомимося з основами служби NLB.
Служба Network Load Balancing
Служба NLB, вбудована в платформу Windows Server, надає базові можливості кластеризації для мереж, що працюють по протоколу TCP / IP, не використовуючи для цього загальні ресурси. Служба NLB не забезпечує узгодженості даних на вузлах кластера. Якщо дані динамічно змінюються, то для їх синхронізації необхідні інші засоби. Тому служба NLB зазвичай використовується для сховищ статичних даних, наприклад для обслуговування ферми веб-серверів, підключеної до серверної базі даних. Ви можете задіяти NLB і для обслуговування сховищ з динамічним вмістом, але в цьому випадку служба NLB передає всю відповідальність за синхронізацію даних на вузлах механізмів сервера. Служба LDS ідеально підходить під цю схему, тому що вбудований механізми реплікації дозволяють їй виконувати синхронізацію даних.
Малюнок. Схема роботи NLB
Крок 1. Планування конфігурації NLB
Перш ніж почати установку служби NLB, необхідно буде прийняти кілька рішень, що визначають схему роботи служби NLB з фермою серверів LDS. Вибір рішень на початковому рівні допоможе мінімізувати кількість проблем, з якими ви зіткнетеся в ході впровадження служби NLB. Якщо ви вже використовуєте службу LDS і хочете просто поширити механізми балансування завантаження на додаткові сервери, планування знизить ризик зупинки механізмів LDS при установці служб NLB.
Потім необхідно визначити, скільки мережевих адаптерів буде встановлено на кожному вузлі. До даного питання можна підійти з різних сторін: якщо ви вирішите працювати з кластером в режимі unicast, вам знадобиться додаткова мережева карта, щоб забезпечити можливість взаємодії між собою вузлів LDS. З іншого боку, додатковий мережевий інтерфейс може підвищити продуктивність. Одна мережева карта буде обслуговувати кластер, а додаткова буде використовуватися для обробки решти мережевого трафіку, наприклад для вирішення завдань реплікації і резервного копіювання.
Крок 2. Запуск служби LDS
Крок 3. Установка служби NLB на всі вузли
Для установки служби NLB на вузли LDS також можна використовувати командний рядок. Щоб запустити установку, виконайте команду:
Крок 4. Створення кластера NLB
Після того як служба NLB буде встановлена на всі вузли, ви можете використовувати один з серверів для створення кластера. Запустіть засіб Network Load Balancing Manager з меню Administrative Tools або виконайте команду Nlbmgr.
Вікно NLB Manager складається з трьох частин. У лівій панелі ви побачите список всіх кластерів NLB, до яких існує підключення. Права панель містить інформацію про обраний кластері або вузлі. Нижня частина вікна містить журнал, що відображає останні виконані операції.
Запустіть майстер New Cluster, вибравши пункт New в меню Cluster. Для початку необхідно підключитися до першого додають в кластер сервера LDS.
Екран 1. Додавання сервера в кластер
Екран 2. Вказівка параметрів кластера
Екран 3. Правила для портів
Крок 5. Встановлення сертифікату SSL
Налагодження механізму шифрування SSL в реплицируемой екземплярі LDS, для балансування завантаження в якому використовується служба NLB, - процес досить складний. При установці сертифікатів необхідно враховувати три фактори. По-перше, як згадувалося раніше, в сертифікаті перевірки автентичності сервера повинно бути вказано ім'я кластера, а не ім'я сервера. Якщо для підключення до окремих вузлів планується використовувати їх власні імена, то ви можете застосувати додаткове ім'я суб'єкта (SAN) для звернення до вузла або групові сертифікати. По-друге, сертифікат повинен бути встановлений в сховище особистого сертифіката тієї облікового запису, від імені якої працює служба LDS. Важливо переконатися в тому, що сховище особистого сертифіката для цього облікового запису на кожному сервері LDS містить тільки сертифікат перевірки автентичності сервера і нічого більше. Для додавання сертифіката в потрібне сховище можна використовувати наступний підхід.
- Запустіть оснащення Certificates консолі Microsoft Management Console (MMC). При завантаженні оснастки виберіть варіант «Управління сертифікатами облікового запису служби» (Service Account).
- У списку служб виберіть службу, що відповідає тому примірнику LDS, для якого налаштовується балансування завантаження.
- Клацніть правою кнопкою миші на вузлі Personal для облікового запису служби та в контекстному меню виберіть пункт All Tasks-> Import.
Екран 4. Дозволи для облікового запису Network Service.
Крок 6. Додавання вузлів в кластер
Надійність і відмовостійкість
Отже, ми отримали функціонуючий кластер NLB. Тепер можна використовувати різні інструменти для тестування підключень LDAP до служби каталогів з боку клієнтів. Впровадивши механізми кластеризації NLB в реплицируемой екземпляр LDS, ви підвищите надійність каталогу LDS і додасте додатковий рівень відмовостійкості в практично бездоганну службу каталогів.
Кен Сен-Сір ([email protected]) - архітектор рішень компанії Microsoft з більш ніж 10 річним досвідом роботи. Має сертифікат Microsoft Certified Master in Directory Services
Поділіться матеріалом з колегами і друзями