配置过程分为如下几步:
1.安装及配置NLB负载平衡群集
2.创建Exchange2010的CAS阵列
3.为客户端访问服务申请证书
1.1分别在Cas01及Cas02上安装负载平衡群集
- Import-Module ServerManager
- Add-WindowsFeature NLB
1.2创建负载平衡群集
在CAS1服务器上运行NLBMGR,打开网络负载平衡管理器,点击“新建”按钮,创建负载平衡群集。
CAS1服务器有两个网卡,群集接口使用外网通讯网卡Public
指定群集IP
指定该群集的FQDN,模式设置为多播。当NLB群集比较繁忙的时候,会带来可观的广播风暴,故选择多播
单播和多播的区别
单播:在每个群集成员上,NLB 覆盖网络适配器上制造商提供的 MAC 地址。NLB 对所有成员都使用相同的单播 MAC 地址。这种模式的优点是它可以无缝地与大多数路由器和交换机协同工作。缺点是到达群集的流量会扩散到交换机虚拟 LAN (VLAN) 上的所有端口,并且主机之间的通信不能通过 NLB 绑定到的适配器,也即实体主机间不可以互相通信。若我们在NLB创建时选择单播的模式,在“群集IP配置”中的“网络地址”是以“02 - BF”开头,后面紧跟IP地址的十六进制表示,该网络地址与实际主机的MAC地址相同,后续加入的主机也将修改为此MAC地址。
多播:保留原厂 MAC 地址不变,但是向网络适配器中增加了一个第 2 层多播 MAC 地址。所有入站流量都会到达这个多播 MAC 地址。优点是这种方法可以通过在交换机的“内容可寻址存储器”(CAM) 表中创建静态项,从而使得入站流量仅到达群集中的主机。缺点是因为 CAM 项必须静态关联一组交换机端口,如果没有这些 CAM 项,入站流量仍然会扩散到交换机 VLAN 上的所有端口。还有一个缺点就是很多路由器不会自动将单播 IP 地址(群集的虚拟 IP 地址)与多播 MAC 地址关联起来。如果进行静态配置的话,一些路由器可以存在这种关联。若我们在NLB创建时选择多播的模式,在“群集IP配置”中的“网络地址”是以“03 -BF”开头,后面紧跟IP地址的十六进制表示。在选择多播模式时,后面还有个复选项“IGMP Multicast(IGMP多播)”,若复选此项,就像多播操作模式一样,NLB 保留原厂 MAC 地址不变,但是向网络适配器中增加了一个 IGMP 多播地址。此外,NLB 主机会发出这个组的 IGMP 加入消息。如果交换机探测到这些消息,它可以使用所需的多播地址来填充自己的 CAM 表,这样入站流量就不会扩散到 VLAN 上的所有端口。这是这种群集模式的主要优点。缺点是有一些交换机不支持 IGMP 探测。除此之外,路由器仍然支持单播 IP 地址到多播 MAC 地址的转换。在IGMP多播模式下,将采用“01 – 00 - 5E”开头的MAC地址。在多播的模式下,实体主机之间可以互相通信。
将CAS2加入到NLB群集
2.1创建Exchange2010的CAS阵列
New-clientaccessarray -fqdn mail.vm.local -name CASarray.vm.local -site bj
创建DNS记录,将mail.vm.local指向192.168.2.27
3.1为客户端访问服务申请证书
在CAS01服务器上打开申请证书向导,为NLB中的所有CAS节点申请多域名证书
此处将mail.vm.com设为公用名称
在Cas01上打开IE,通过IE来申请证书,链接为:http://rootca/certsrv
下载证书到某个目录下。
打开Exchange 2010控制台
客户端主要为outlook anywhere,不需要pop3用户。
3.2证书申请完成之后的配置
申请完该多域名证书后,该证书并不能正常被使用
该问题时由于默认的ADCS无法支持多域名证书导致。
解决办法:http://support.microsoft.com/kb/931351/en-us
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
3.3在Cas02服务器上启用证书
在Cas01上将证书连同密钥导出
在Cas02上使用导入exchange证书,导入该证书并分配相应的服务
设置完成之后,在客户端上通过https://mail.vm.com/owa验证通过。