サーバークラスタ : Windows 2000 および Windows Server 2003 のネットワーク構成の推奨事例

Microsoft Corporation

発行 : 2003 年 1 月

概要
この資料では、Microsoft Windows 2000 または Windows Server 2003 を実行しているサーバークラスタ用のネットワークインフラストラクチャに関する、サーバークラスタの必要条件と推奨事例について説明します。クラスタが正しく機能するには、以下のような必要条件を満たす必要があります。推奨事例とは、展開のフィードバックと現場で発生した問題点に基づく提案です。

トピック

クラスタネットワーキングの必要条件
 クラスタネットワーキングに関する推奨事例
 推奨事例を実装するための手順
IPSec IPSec
NetBIOS NetBIOS

クラスタネットワーキングの必要条件

ここでは、サーバークラスタをネットワークインフラストラクチャに配置する際の必要条件について説明します。サーバークラスタソリューションが正しく機能するには、これらの必要条件を満たす必要があります。

一般的な必要条件

ここでは、サーバークラスタを展開する際の必要条件について説明します。

クラスタ用の完全なハードウェア構成は、クラスタのハードウェア互換性リスト (HCL) の中から選択する必要があります。ネットワークインターフェイスコントローラ (NIC) および認定済みのクラスタ構成内で使用するコンポーネントは、いずれも Windows® のロゴが付いており、Microsoft® ハードウェア互換性リストに示されている必要があります。

注意
クラスタ HCL に示されていないロゴ付きのコンポーネントから作成したクラスタは正規の構成ではありません。

(Windows 2000、Windows Server 2003)
エラーが 1 か所で発生することを避けるために、クラスタのノードには 2 つ以上の独立したネットワークを接続する必要があります。 2 つのローカルエリアネットワーク (LAN) を使用する必要があります。 1 つのネットワークしか使用していないクラスタ構成はサポートされません。
(Windows 2000、Windows Server 2003)
各クラスタネットワークに障害が発生しても、他のすべてのクラスタネットワークに影響を与えない必要があります。つまり、2 つのクラスタネットワークが、あるコンポーネントを共有し、そのコンポーネントで障害が発生すると両方のネットワークで障害が発生するということがあってはいけません。たとえば、マルチポート NIC を使用して 2 つのクラスタネットワークにノードを接続することは、ほとんどの場合、この必要条件を満たしません。それは、複数のポートが独立していないためです。同様に、スイッチを共有する 2 つのネットワークでも、エラーが 1 か所で発生する可能性があります。クラスタが、この必要条件を満たすことを保証する最も簡単な方法は、物理的に独立したコンポーネントを使用して、クラスタネットワークを構築することです。
(Windows 2000、Windows Server 2003)
同一のクラスタネットワークに複数のノードを接続するために使用するアダプタは、すべて、通信に関する設定が同じである必要があります。たとえば、速度、二重化モード、フロー制御、メディアの種類が同じである必要があります。アダプタをスイッチに接続する場合は、スイッチのポートの設定がアダプタのポートの設定と合致している必要があります。
(Windows 2000、Windows Server 2003)
各クラスタネットワークを 1 つの IP サブネットとして構成し、そのサブネット番号が他のクラスタネットワークのサブネット番号と異なっている必要があります。たとえば、1 つのクラスタにネットワークを 2 つ接続し、各サブネットアドレスを 10.1.x.x および 10.2.x.x に構成し、サブネットマスクを 255.255.0.0 とすることができます。 DHCP によりアドレスをノードに動的に割り当てるようにすることもできます。ただし、静的なアドレスを用いて、手作業で構成する方を推奨します (「クラスタネットワーキングに関する推奨事例」を参照してください)。自動プライベート IP アドレス指定 (APIPA) を使用してクラスタネットワークを構成することはサポートされていません。また、APIPA は複数のネットワークに接続されているコンピュータで使用するようにデザインされていません。
(Windows 2000、Windows Server 2003)
エラーが 1 か所で発生することを避けるために、クラスタのノード間の内部通信用に 2 つ以上のクラスタネットワークを構成する必要があります。つまり、それらのネットワークの役割は、"内部クラスタ通信のみ" または "クラスタサービスのすべての通信" のいずれかとして構成する必要があります。通常、それらのネットワークの 1 つは、内部クラスタ通信専用のプライベート相互接続です (「クラスタネットワーキングに関する推奨事例」を参照してください)。
(Windows 2000、Windows Server 2003)
NIC を使用してすべてのクラスタネットワークを同時にチーム構成にすることはサポートされていません。クラスタノード間の内部通信用のクラスタネットワークを少なくとも 1 つ、チーム構成の対象外とする必要があります。チーム構成にしないネットワークは、通常、その種の通信専用のプライベート相互接続です。他のクラスタネットワークで NIC によるチーム構成を使用することは差し支えありません。ただし、チーム構成にされているネットワーク上で通信問題が発生すると、Microsoft Product Support Services がチーム構成を無効にするよう要請することがあります。その措置によって問題または課題が解決される場合、チーム構成ソリューションについて製造元にさらに支援を求めてください。
(Windows 2000、Windows Server 2003)
あるクラスタのノードはすべて 1 つのドメインに属している必要があります。認証の過程でエラーが 1 か所で発生することを避けるために、ドメインの構成は以下の必要条件を満たしている必要があります。
- ドメインには 2 台以上のドメインコントローラを配置する必要があります。
- DNS を使用してドメイン内の名前を解決する場合にも、2 台以上の DNS サーバーを配置する必要があります。 DNS サーバーは動的更新をサポートしている必要があります。
- 各ドメインコントローラおよびクラスタノードは、1 つのプライマリ DNS サーバーおよび少なくとも 1 つのセカンダリ DNS サーバーを備えるように構成する必要があります。ドメインコントローラが DNS サーバーも兼ねている場合、各ドメインコントローラはプライマリ DNS サーバーとして自分自身を指し、セカンダリ DNS サーバーとして他の DNS サーバーを指す必要があります。
- 少なくとも 2 台のドメインコントローラを、グローバルカタログサーバーとして構成する必要があります。
(Windows 2000、Windows Server 2003)

地理的に分散するクラスタ

ここでは、地理的に分散するクラスタに必要な、追加の必要条件について説明します。

クラスタ内の複数のノードが物理的に異なるネットワーク上に存在してもかまいません。ただし、クラスタノード間のプライベートネットワーク接続およびパブリックネットワーク接続は、仮想 LAN (VLAN) のようなテクノロジを使用して、1 つのルーティングを必要としない LAN として存在する必要があります。
(Windows 2000、Windows Server 2003)
任意の一組のクラスタノード間のラウンドトリップ通信の遅延時間は 500 ミリ秒を超えない必要があります。
(Windows 2000、Windows Server 2003)
LAN の場合と同様に、各 VLAN で障害が発生しても、他のすべてのクラスタネットワークに影響を与えてはいけません。
(Windows 2000、Windows Server 2003)
地理的に分散するクラスタは複雑なので、何らかの問題が発生した場合には、ハードウェアの製造元またはハードウェアベンダに関与してもらう必要があります。多くの場合、そのようなクラスタが適切に機能するために、サードパーティのソフトウェアおよびドライバが必要になります。それらのコンポーネントが Windows のクラスタリングとどのように相互作用するか、 Microsoft Product Support Services が認識していない場合もあります。
(Windows 2000、Windows Server 2003)

ページのトップへ

クラスタネットワーキングに関する推奨事例

ここでは、サーバークラスタを展開するための、ネットワークに関する推奨事例について説明します。

ハードウェアの計画に関する推奨事項

すべてのクラスタノードで同一の NIC を使用します。つまり、各アダプタの構造、モデル、およびファームウェアのバージョンを統一する必要があります。
(Windows 2000、Windows Server 2003)
クラスタノード間の内部通信用に、1 つのネットワークを専用に確保します。これはプライベートネットワークです。クライアントとの通信には他のネットワークを使用します。これらはパブリックネットワークです。プライベートネットワークには NIC によるチーム構成を使用しないでください。
(Windows 2000、Windows Server 2003)

ネットワークインターフェイスコントローラの構成に関する推奨事項

各クラスタ NIC の速度と二重化モードを手作業で選択します。自動検出機能は使用しないでください。一部のアダプタは、ネットワークの設定を自動的にネゴシエートする間にパケットを削除します。ネットワーク上のすべてのアダプタは、同じ速度と二重化モードを使用するように構成する必要があります。アダプタをスイッチに接続する場合は、スイッチのポートの設定とアダプタのポートの設定とを合致させます。
(Windows 2000、Windows Server 2003)
プライベートネットワーク上のすべてのノードに静的な IP アドレスを使用します。以下の範囲のいずれかから、アドレスを選択します。
- 10.0.0.0 - 10.255.255.255 (クラス A のネットワーク)
- 172.16.0.0 - 172.31.255.255 (クラス B のネットワーク)
- 192.168.0.0 - 192.168.255.255 (クラス C のネットワーク)
(Windows 2000、Windows Server 2003)
パブリックネットワーク上のすべてのノードに静的な IP アドレスを使用します。 DHCP 経由の動的な構成を使用することはお勧めしません。リースの更新に失敗すると、クラスタの運用が妨げられる可能性があります。
(Windows 2000、Windows Server 2003)
プライベート NIC 上には DNS サーバー、WINS サーバー、またはデフォルトゲートウェイを構成しないでください。
(Windows 2000、Windows Server 2003)
WINS サーバーまたは DNS サーバーはパブリック NIC 上に構成する必要があります。ネットワーク名リソースをパブリックネットワーク上に配置する場合は、DNS サーバーで動的更新をサポートする必要があります。サポートしないと、名前から IP アドレスへのマッピングがフェールオーバーの間に即座に更新されません。
(Windows 2000、Windows Server 2003)
クラスタノードがパブリック NIC を使用してリモートサブネット上のクライアントまたはサービスと通信する場合、パブリック NIC 上にデフォルトゲートウェイを構成してください。パブリックネットワークが複数あるクラスタでは、複数のネットワーク上にデフォルトゲートウェイが存在するようにノードを構成すると、ルーティング上の問題が発生することがあるので注意してください。
(Windows 2000、Windows Server 2003)
各クラスタノードで、ネットワークに接続する順序を以下のように設定します。
- パブリックネットワーク – 最高の優先度
- プライベートネットワーク
- リモートアクセス接続 – 最低の優先度
(Windows 2000、Windows Server 2003)
各ネットワーク接続の既定の名前を、各ネットワークの用途を明確に表すように変更します。たとえば、プライベートネットワーク接続の名前を "Local Area Connection (x)" から "Private Cluster Network" に変更します。
(Windows 2000、Windows Server 2003)
プライベート LAN は分離しておく必要があります。クラスタに属するノードのみをプライベートサブネットに接続する必要があります。クラスタがいくつか存在する場合、プライベートネットワーク用の同一のサブネットを、すべてのクラスタに使用するのが適しています。ただし、ドメインコントローラ、WINS サーバー、DHCP サーバーなどの、他のネットワークインフラストラクチャをプライベートサブネット上に配置しないでください。
(Windows 2000、Windows Server 2003)
分離されたネットワークセグメントを作成するには、VLAN セグメントを作成可能なスイッチまたはハブを使用することをお勧めします。 2 ノードのサーバークラスタの場合は、クロスオーバーケーブルを使用することもできます。
(Windows 2000、Windows Server 2003)
TCP/IP に関する既定のメディア検出のポリシーを無効にする必要があります。ケーブルが切断されたかまたはメディアを検出できなくなった場合に、 TCP/IP の構成および対応するクラスタネットワークの構成が損傷することのないようにするためです。各ノードに以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

値の名前 : DisableDHCPMediaSense
データの種類 : REG_DWORD
データ : 1

(Windows 2000)

クラスタサービスの構成に関する推奨事項

プライベートネットワークの役割を [内部クラスタ通信のみ (プライベートネットワーク)] に設定します。各パブリックネットワークの役割が [すべての通信 (混合ネットワーク)] (これが既定値です) に設定されていることを確認します。
(Windows 2000、Windows Server 2003)
内部クラスタ通信については、プライベートネットワークの優先度を最高に構成します。
(Windows 2000、Windows Server 2003)

ページのトップへ

推奨事例を実装するための手順

ここでは、推奨事例を実装するための手順について説明します。

クラスタサービスの構成前にネットワークインターフェイスコントローラを構成する

各 NIC の速度を以下のように構成します。
- [コントロールパネル] を開き、[ネットワーク接続] を開きます。適切な接続オブジェクトを右クリックし、[プロパティ] をクリックします。[構成] をクリックし、[詳細設定] をクリックします。
- ドロップダウンリストを使用して、必要なネットワーク速度を設定します。
- 二重化モードなどの他の設定がネットワーク上のすべてのアダプタと同じであることも確認します。
プライベート NIC のインターネットプロトコルの設定を以下のように構成します。
- [ネットワーク接続] に戻ります。適切な接続オブジェクトのプロパティを開きます。
- [インターネットプロトコル (TCP/IP)] チェックボックスがオンになっていることを確認します。
- [インターネットプロトコル (TCP/IP)] を強調表示して、[プロパティ] をクリックします。
- [次の IP アドレスを使う] をクリックし、静的なアドレスを入力します。
- プライベートネットワーク用にはデフォルトゲートウェイが構成されていないことを確認します。
- [次の DNS サーバーのアドレスを使う] ボックスに値が定義されていないことを確認します。 [詳細設定] をクリックします。[DNS] タブで、定義されている値がないことを確認します。 [この接続のアドレスを DNS に登録する] および [この接続の DNS サフィックスを DNS 登録に使う] の両方のチェックボックスがオフになっていることを確認します。クラスタノードが DNS サーバーである場合は、リスト中に IP アドレス 127.0.0.1 が表示されることに注目してください。この設定は変更しないでください。
ネットワーク接続順序を以下のように構成します。
- [ネットワーク接続] に戻ります。[詳細設定] メニューの [詳細設定] をクリックします。[接続] ボックスで、利用可能なネットワーク接続の順序を以下のように設定します。
  
  パブリックネットワーク
  
  プライベートネットワーク
  
  リモートアクセス接続
ネットワーク接続の既定の名前を以下のように変更します。
- [ネットワーク接続] に戻ります。ネットワーク接続オブジェクトを右クリックします。[名前の変更] をクリックします。名前の値を編集します。
- プライベートネットワークなど、ネットワークを表す接続オブジェクトに使用する名前は、すべてのノードで統一する必要があります。接続オブジェクトの名前が同一でない場合、クラスタサービスは 1 つの接続オブジェクトを選択し、それに合わせて他の接続オブジェクトの名前を変更します。

クラスタサービスの構成後にクラスタネットワークのプロパティを構成する

Windows 2000
クラスタソフトウェアのインストール時に、各ネットワークごとに [クラスタネットワークの構成] ダイアログボックスが表示されます (順序は不定です)。パブリックネットワークについては、名前と IP アドレスがパブリックネットワーク用のネットワークインターフェイスと同じであることを確認します。 [クラスタ使用のためにこのネットワークを有効にする] チェックボックスをオンにします。 [すべての通信 (混合ネットワーク)] を選択します。プライベートネットワークについては、名前と IP アドレスがプライベートネットワーク用のネットワークインターフェイスと同じであることを確認します。 [クラスタ使用のためにこのネットワークを有効にする] チェックボックスをオンにします。[内部クラスタ通信のみ] を選択します。

インストール時に設定される既定の構成では、パブリックネットワークアダプタは "すべての通信"、プライベート (ハートビート) ネットワークアダプタは "内部クラスタ通信" となります。この既定の構成を保持することをお勧めします。クラスタをインストールして正しく機能させるには、少なくとも 1 つのネットワークを "内部クラスタ通信" または "すべての通信" に構成する必要があります。

Windows Server 2003
Windows Server 2003 クラスタ構成ウィザードには、構成中にネットワークの設定を変更する方法は用意されていません。すべてのネットワークに関する既定の設定では、[すべての通信] がオンになっています。これにより、クラスタが正しく稼働することが保証されます。推奨事例に従うには、1 つのネットワークをプライベートネットワークにし、内部クラスタ接続の優先順位としてプライベートネットワークを最高にする必要があります。この操作を行うには以下の手順に従います。

以下のように、プライベートネットワークの役割を [内部クラスタ通信のみ (プライベートネットワーク)] に設定します。
- クラスタアドミニストレータで、クラスタ名をダブルクリックします。[クラスタの構成] フォルダが表示されます。
- [クラスタの構成] フォルダ、[ネットワーク] フォルダを順にダブルクリックし、利用可能なすべてのクラスタネットワークを表示します。
- プライベートクラスタ通信用に構成しているネットワークを選択し、[プロパティ] をクリックします。
- ネットワークの [プロパティ] に、[クライアントアクセスのみ] などの役割が表示されます。プライベートネットワークについては、[クラスタ使用のためにこのネットワークを有効にする] チェックボックスがオンになっており、役割として [内部クラスタ通信のみ] が選択されていることを確認します。
内部クラスタ通信については、プライベートネットワークの優先度を最高に構成します。この操作を行うには以下の手順に従います。
- クラスタアドミニストレータで、クラスタを選択して [プロパティ] をクリックします。
- [ネットワークの優先順位] タブで、プライベートネットワークが最上位に表示されていることを確認します。
- プライベートネットワークが最上位に表示されていない場合、[上へ移動] ボタンを使用して、優先順位を上げます。

ページのトップへ

IPSec

サーバークラスタ内でフェールオーバーできるアプリケーションには、インターネットプロトコルセキュリティ (IPSec) を使用できます。しかし、IPSec はフェールオーバーの状況に対処するようにデザインされていません。そのため、サーバークラスタ内のアプリケーションには IPSec を使用しないことをお勧めします。

主な問題点は、インターネットキー交換 (IKE) のセキュリティアソシエーション (SA) が、各ノードのローカルデータベースに格納されているので、フェールオーバーが発生した場合に、あるサーバーから別のサーバーへ IKE SA が転送されないことです。

IPSec によって保護された接続では、フェーズ I のネゴシエーションで IKE SA が作成され、フェーズ II で 2 つの IPSec SA が作成されます。タイムアウト値は、IKE と IPSec SA に関連付けられます。マスタキー PFS (Perfect Forward Secrecy) を使用していない場合、 IKE SA のキーマテリアルを使用して IPSec SA が作成されます。この場合クライアントは、着信 IPSec SA の既定のタイムアウト期間または有効期間が経過するまで待機し、さらに IKE SA に関連付けられたタイムアウト期間または有効期間が経過するまで待機する必要があります。

セキュリティアソシエーションのアイドルタイマの既定のタイムアウト値は、5 分間です。フェールオーバー時には、IPSec を使用する、すべてのリソースをオンラインにした後、少なくとも 5 分経過するまで、クライアントは接続を再確立できません。

IPSec は、クラスタ環境に最適になるようにデザインされていませんが、ビジネスがフェールオーバー時のクライアントダウンタイムよりも、接続の安全性を重視する場合には IPSec を使用できます。

ページのトップへ

NetBIOS

Windows Server 2003 では、クラスタサービスに NetBIOS は必要ありませんが、 NetBIOS が無効になっている場合は、多数のサービスが影響を受けます。したがって、次の点に注意してください。

既定では、クラスタが構成されるときに、クラスタ IP アドレスリソースで NetBIOS が有効になります。クラスタが作成された後に、クラスタ IP アドレスリソースのプロパティシートのパラメータページで、チェックボックスをオフにし、NetBIOS を無効にする必要があります。
新たに IP アドレスリソースを作成するときは、[NetBIOS] チェックボックスをオフにする必要があります。
NetBIOS を無効にすると、クラスタへの接続を開くときに、クラスタアドミニストレータの [参照] 機能を使用できなくなります。クラスタアドミニストレータは、ドメイン内のすべてのクラスタを列挙するために NetBIOS を使用します。
プリントサービスとファイルサービスが無効になります。これは、リダイレクタのエンドポイントとして仮想名が追加されないためです。
クラスタ名が指定されている場合、クラスタアドミニストレータは機能しません。クラスタアドミニストレータは、リモートレジストリ API を使用する GetNodeClusterState を呼び出します。この API は次に仮想名に基づいて名前付きパイプを使用します。

このドキュメントに記載されている情報は、このドキュメントの発行時点におけるマイクロソフトの見解を反映したものです。変化する市場状況に対応する必要があるため、このドキュメントは、記載された内容の実現に関するマイクロソフトの確約とはみなされないものとします。また、発行以降に発表される情報の正確性に関して、マイクロソフトはいかなる保証もいたしません。

このドキュメントに記載された内容は情報提供のみを目的としており、明示または黙示に関わらず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。

お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、複製または譲渡、あるいは検索システムに格納または公開することは禁じられています。ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制限するものではありません。

マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。

このドキュメントに記載されている会社名、製品名には、各社の商標のものもあります。

ページのトップへ

タグ