上一篇我们介绍了Exchange2013 sp1 DAG详细安装配置及介绍,
今天呢介绍如何部署Exchange2013 SP1 CAS服务NLB配置,那什么是NLB呢,说白了,NLB就是Exchange CAS角色的高可用,为了提高服务器可用性的一个高可用服务,需要在本机启用windows 系统自带的网络负载均衡来完成。在Exchange2010版本的啥时候启用网络负载均衡后,还需要为CAS均均衡创建一个CAS阵列,而在Exchange2013版本开始就不需要单独创建CAS阵列了,NLB会自动判断CAS在线状况,具体见下:
环境介绍:
Hostname:Iternal-DC
IP:10.10.1.254
Roles:DC、DNS、CA、见证服务
Hostname:Iternal-Ex01
IP:10.10.1.50
Roles:Exchange Mailbox
Hostname:Iternal- Ex02
IP:10.10.1.51
Roles:Exchange Mailbox
Hostname:Iternal- Ex03
IP:10.10.1.52
Head Line:100.100.100.1
Roles:Exchange CAS
Hostname:Iternal- Ex04
IP:10.10.1.53
Head Line:100.100.100.2
Roles:Exchange CAS
Hostname:Iternal-TMG
IP:10.10.1.1
Roles:Gateway
DAG Name:DAG.iternalsoft.com
IP:10.10.1.200
NLB Name:NLB.iternalsoft.com
IP:10.10.1.201
既然做NLB,所以还需要创建一台CAS Server,我们首先在Iternal-Ex04上安装必须条件:在此我们通过powershell来安装所需角色和功能。
因为Iternal-Ex03为CAS角色,所以运行以下powershell命令即可。
Install-WindowsFeature AS-HTTP-Activation,Desktop-Experience,NET-Framework-45-Features,RPC-over-HTTP-proxy,RSAT-Clustering,RSAT-Clustering-CmdInterface,RSAT-Clustering-Mgmt,RSAT-Clustering-PowerShell,Web-Mgmt-Console,WAS-Process-Model,Web-Asp-Net45,Web-Basic-Auth,Web-Client-Auth,Web-Digest-Auth,Web-Dir-Browsing,Web-Dyn-Compression,Web-Http-Errors,Web-Http-Logging,Web-Http-Redirect,Web-Http-Tracing,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Lgcy-Mgmt-Console,Web-Metabase,Web-Mgmt-Console,Web-Mgmt-Service,Web-Net-Ext45,Web-Request-Monitor,Web-Server,Web-Stat-Compression,Web-Static-Content,Web-Windows-Auth,Web-WMI,Windows-Identity-Foundation
安装重启后,开始安装必备软件:
MicrosoftUnifiedCommunicationsManagedAPI4.0,CoreRuntime64-bit
MicrosoftOffice2010FilterPack64位
MicrosoftOffice2010FilterPackSP164位
安装好所有的必备条件后,我们开始安装Exchange2013 SP1,我们放入光盘,运行即可
选择自定义设置
我们选择安装CAS服务即可
准备安装
开始安装
安装完成:
然后我们给两台CAS服务器(Iternal-EX03、Iternal-EX04)均添加到两块网卡,其中一块做Head Line使用。首先是iternal-ex03
心跳线网卡属性我们按照以下选项勾选即可。
配置心跳地址:100.100.100.1,然后单击高级
我们去掉勾选----在dns中注册次连接的地址及附加注dns后缀父后缀
然后单击wins,去掉启用LMHOSTS查找及禁用TCP/IP上的Netbios
然后我们设置网卡优先级,设置管理网络优先级高即可
我们还是按照上面的方法为iternal-ex04设置心跳网络配置
同样设置dns、wins及网卡优先级相关的设置
设置好后,我们测试心跳网络的通信
到此环境架构基本完成,接下来就是安装网络负载均衡,在安装及配置网络负载均衡前,我们需要提前在DNS下创建一条A记录,主要用于CAS服务器配置的NLB,NLB命名及IP地址必须独一无二
以上环境准备好后,我们开始安装网络负载均衡角色了,我们首先在Iternal-ex03上操作,
打开服务器管理—添加角色和功能---选择网络负载均衡
我们也可以用powershell来安装所需要的功能
我们打开powershell后先导入服务器管理工具,具体命令见下:
Import-Module ServerManager
Add-WindowsFeature NLB
以下为图形安装
勾选网络负载平衡
开始安装
安装完成
我们同样在Iternal-EX04上安装网络负载平衡功能,方法同上
添加网络负载平衡角色
安装完成
两台CAS服务器安装好网络负载平衡功能后,我们就是开始配置网络负载平衡功能了
首先在iternal-ex03上打开网络负载平衡功能
右击网络负载平衡群集----新建群集
输入群集本地服务器地址(任意输入一台)然后单机连接,然后选择群集网络(本地地址)下一步—internal
默认即可,下一步
添加群集地址,我们在前面已经定义了群集的管理地址:
NLB.Iternalsoft.com 10.10.1.201
单击下一步
输入NLB的完整internet地址:NLB.Iternalsoft.com
单击完成
配置结束
接着我们将Iternal-Ex04添加到NLB网络中
右击NLB.Iternalsoft.com网络右击---添加主机到群集
我们输入iternal-ex04,然后单击连接---选择本地网络,单击下一步
默认单击下一步
单击完成
开始配置群集,配置更改结束
注:NLB 群集的三种操作模式
单播
在每个群集成员上,NLB 覆盖网络适配器上制造商提供的 MAC 地址。NLB 对所有成员都使用相同的单播 MAC 地址。这种模式的优点是它可以无缝地与大多数路由器和交换机协同工作。缺点是到达群集的流量会扩散到交换机虚拟 LAN (VLAN) 上的所有端口,并且主机之间的通信不能通过 NLB 绑定到的适配器。
多播
NLB 保留原厂 MAC 地址不变,但是向网络适配器中增加了一个第 2 层多播 MAC 地址。所有入站流量都会到达这个多播 MAC 地址。优点是这种方法可以通过在交换机的“内容可寻址存储器”(CAM) 表中创建静态项,从而使得入站流量仅到达群集中的主机。当然,这种方法也有缺点,因为 CAM 项必须静态关联一组交换机端口。如果没有这些 CAM 项,入站流量仍然会扩散到交换机 VLAN 上的所有端口。还有一个缺点就是很多路由器不会自动将单播 IP 地址(群集的虚拟 IP 地址)与多播 MAC 地址关联起来。如果进行静态配置的话,一些路由器可以存在这种关联。
IGMP 多播
就像多播操作模式一样,NLB 保留原厂 MAC 地址不变,但是向网络适配器中增加了一个 IGMP 多播地址。此外,NLB 主机会发出这个组的 IGMP 加入消息。如果交换机探测到这些消息,它可以使用所需的多播地址来填充自己的 CAM 表,这样入站流量就不会扩散到 VLAN 上的所有端口。这是这种群集模式的主要优点。缺点是有一些交换机不支持 IGMP 探测。除此之外,路由器仍然支持单播 IP 地址到多播 MAC 地址的转换。
群集配置完成后,我们可以通过刚才的NLB.ITERNAL.COM来尝试访问一下了
https://nlb.iternalsoft.com/ecp
我们登陆后验证一下,成功登陆
然后我们发现CAS服务器的独立名称也是能登陆的
https://iternal-ex03.iternalsoft.com/ecp
我们再尝试通过另外一台CAS服务器名称登陆
https://iternal-ex04.iternalsoft.com/ecp
其实我们做到这已经看到效果了。当然在Exchange2010中,如果要做NLB的话,创建完成后,需要创建一个CAS服务器阵列,然后通过命令来指定数据库的RPCclientAccessServer,但是在Exchange2013中就已经遗弃了这个功能。所以无需要再次修改。
我们可以通过以下命令查看到服务器的RPC指向的不是NLB.iternalsoft.com而是单独的CAS服务器名称
我们通过get-mailboxDatabase | fl RpcClientAccessServer 查看到服务器的RPC都指向当前的CAS服务器名称:
然后我们通过对数据库的RPC查看到以下信息
Get-MailboxDatabase –Identity “DatabaseName” | fl RpcClientAccessServer
Get-MailboxDatabase –Identity “DatabaseName” | select RpcClientAccessServer
我们可以通过以下命令来修改指定数据库所对应连接的RpcClientAccessServer
Set-MailboxDatabase -Identity "DatabaseName" -RpcClientAccessServer "Cluster Name"
Set-MailboxDatabase -Identity " DatabaseName " -RpcClientAccessServer " Cluster Name "
如果不修改的话,指定的CAS服务器出现故障,那对应的数据库用户就无法正常工作,那样就达不到效果。所以需要修改,
我们先确认当前服务器下的数据库信息
Get-mailboxdatabase
然后我们需要修改Mailbox01、Mailbox02的RPCclientaccessserver
更改前我们先确认NLB的群集名称是否解析正常
看客户端访问阵列
Get-clientaccessserver
注:如果在Exchange2010下我们需要创建CAS整列,当然在创建CAS整列之前,需要确认CAS群集域名能正常解析。而在Exchange2013就不需要此操作了。
首先查看站点信息:get-adsite
再次创建阵列
New-ClientAccessArray –FQDN nlb.domain.com –Site Default-First-Site-Name –name nlb.domain.com
FQDN: 是CAS阵列的完全和个域名
Site Default-First-Site-Name 是Active Direcoory站点名称
Name是CAS阵列的阵列名称
查看CAS阵列
Get-clientAccessArray
删除CAS阵列
Remove-ClientAaccessArray –identity xxx.domain.com
更改RPC客户端连接的客户端访问服务器
Get-MailboxDatabase | select RPCclientAccessServer
Set-MailboxDatabase –identity “DatabaseName” –RPCclientAccessServer “NLB.domain.com”
我们登陆过程中发现通过NLB名称登陆owa、outlookanywhere提示证书有问题,提示警告,通过提示信息我们确认到,证书是当初是颁发给mail的,所以我们需要重新申请证书
我们发现在外部配置outlook都无法正常使用。
接下来我们需要为NLB.iternalsoft.com域名申请证书
单击服务器----选择证书---申请证书—新建证书---从证书颁发机构获取证书请求
选择证书存储服务器
我们接着定义证书域,因为需要在外部访问,我们需要定义一个证书名称
定义owa完成
我们依次将所需要的服务修改即可
定义完所需要的服务后下一步即可
默认下一步,然后定义证书名称
存放证书路径,然后单机完成
证书创建完成
接下来就是申请证书
申请证书---高级证书---使用basic来申请证书,然后我们将发起申请产生的req文件打开复制内容
提交即可,然后下载证书
然后,我们完成证书搁置
输入证书存放路径
完成搁置后,我们需要给该证书分配服务,默认的服务为pop、imap
我们选择对应的服务
提示确认即可
确认后的证书服务
接下来我们们通过owa登陆
然后我们用outlook手动配置试试,验证通过
我们内部已经测试完成了,如果在外部需要访问的话,我们需要将NLB的证书倒出来,然后导入到TMG,下然后修改TMG策略即可。最后呢,我将其中一台CAS(Iternal-ex04)服务器关闭,然后在通过NLB访问邮箱
我们通过owa访问,通过NLB可以正常访问
我们再尝试用oulookanywhere
我们测试完成后,我们将iternal-ex04启动后,网络负载均衡也正常启动
接着我们在外网修改TMG的发布信息,我们首先导出NLB证书,然后导入到TMG中
导出即可
然后通过mmc我们将导出的证书导入到TMG
修改TMG发布策略,首先修改OWA
需要我们修改策略的内部地址及证书文件,内部地址需要修改为NLB的内部解析地址
修改为NLB.iternalsoft.com 10.10.1.201
我们还需要修改外部的域名解析,选择新证书
