我们运行 Netgear GS724Tv3 交换机,每个端口的部分配置是“低功耗模式”的选项。交换机的文档将此功能列为“绿色以太网配置”功能:
启用此功能且端口链路以 1 Gbps 启动时执行电缆测试:如果电缆小于 10 m,则 PHY 处于低功率模式(标称功率)
我们购买了一套长度小于 1 m 的短跳线,其中一些可能存在问题(测试仍在进行中)。我们目前已禁用此功能。
如果 NIC / SWITCH 之间的电缆小于 10 m 而功耗不是问题,是否应该启用此功能?作为后续问题,Cat 6 千兆位是否有最小电缆长度要求?
TL;DR 版本:原来这是 Windows Server 2008 R2 中的一个深部 Broadcom 网络错误。更换英特尔硬件修复了它。我们不再使用 Broadcom 硬件。曾经。
我们一直在使用HAProxy以及来自 Linux-HA 项目的心跳。我们正在使用两个 linux 实例来提供故障转移。每台服务器都有自己的公共 IP 和单个 IP,两者使用虚拟接口 (eth1:1) 在 IP:69.59.196.211 之间共享
虚拟接口 (eth1:1) IP 69.59.196.211 被配置为它们后面的 windows 服务器的网关,我们使用 ip_forwarding 来路由流量。
我们在我们的 linux 网关后面的一个 windows 服务器上偶尔会遇到网络中断。HAProxy 将检测到服务器离线,我们可以通过远程连接到故障服务器并尝试 ping 网关来验证:
用 32 字节的数据 ping 69.59.196.211: 来自 69.59.196.220 的回复:无法访问目标主机。
在这个失败的服务器上运行arp -a显示没有网关地址(69.59.196.211) 的条目:
接口:69.59.196.220 --- 0xa 互联网地址物理地址类型 69.59.196.161 00-26-88-63-c7-80 动态 69.59.196.210 00-15-5d-0a-3e-0e 动态 69.59.196.212 00-21-5e-4d-45-c9 动态 69.59.196.213 00-15-5d-00-b2-0d 动态 69.59.196.215 00-21-5e-4d-61-1a 动态 69.59.196.217 00-21-5e-4d-2c-e8 动态 69.59.196.219 00-21-5e-4d-38-e5 动态 69.59.196.221 00-15-5d-00-b2-0d 动态 69.59.196.222 00-15-5d-0a-3e-09 动态 69.59.196.223 ff-ff-ff-ff-ff-ff 静态 224.0.0.22 01-00-5e-00-00-16 静态 224.0.0.252 01-00-5e-00-00-fc 静态 225.0.0.1 01-00-5e-00-00-01 静态
在我们的 linux 网关实例arp -a上显示:
peak-colo-196-220.peak.org (69.59.196.220) 位于 eth1 的 <incomplete> stackoverflow.com (69.59.196.212) 在 00:21:5e:4d:45:c9 [ether] 在 eth1 peak-colo-196-215.peak.org (69.59.196.215) 在 00:21:5e:4d:61:1a [ether] 在 eth1 peak-colo-196-219.peak.org (69.59.196.219) 在 00:21:5e:4d:38:e5 [ether] 在 eth1 peak-colo-196-222.peak.org (69.59.196.222) 在 00:15:5d:0a:3e:09 [ether] 在 eth1 peak-colo-196-209.peak.org (69.59.196.209) 在 00:26:88:63:c7:80 [ether] 在 eth1 peak-colo-196-217.peak.org (69.59.196.217) 在 00:21:5e:4d:2c:e8 [ether] 在 eth1
为什么 arp 偶尔会将此故障服务器的条目设置为 <incomplete>? 我们应该静态定义我们的 arp 条目吗?我总是不理会 arp,因为它 99% 的时间都有效,但在这个例子中,它似乎失败了。我们是否可以采取任何其他故障排除步骤来帮助解决此问题?
我们尝试过的事情
我添加了一个静态 arp 条目,用于在其中一个仍然没有帮助的 linux 网关上进行测试。
root@haproxy2:~# arp -a
peak-colo-196-215.peak.org (69.59.196.215) at 00:21:5e:4d:61:1a [ether] on eth1
peak-colo-196-221.peak.org (69.59.196.221) at 00:15:5d:00:b2:0d [ether] on eth1
stackoverflow.com (69.59.196.212) at 00:21:5e:4d:45:c9 [ether] on eth1
peak-colo-196-219.peak.org (69.59.196.219) at 00:21:5e:4d:38:e5 [ether] on eth1
peak-colo-196-209.peak.org (69.59.196.209) at 00:26:88:63:c7:80 [ether] on eth1
peak-colo-196-217.peak.org (69.59.196.217) at 00:21:5e:4d:2c:e8 [ether] on eth1
peak-colo-196-220.peak.org (69.59.196.220) at 00:21:5e:4d:30:8d [ether] PERM on eth1
root@haproxy2:~# arp -i eth1 -s 69.59.196.220 00:21:5e:4d:30:8d
root@haproxy2:~# ping 69.59.196.220
PING 69.59.196.220 (69.59.196.220) 56(84) bytes of data.
--- 69.59.196.220 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 6006ms
重新启动 windows web 服务器暂时解决了这个问题,没有对网络进行其他更改,但我们的经验表明这个问题会再次出现。
交换网卡和交换机
我注意到故障 Windows 服务器的交换机端口上的链接指示灯在故障接口上以 100Mb 而不是 1Gb 运行。我将电缆移到其他几个开放端口,链接指示我尝试的每个端口为 100Mb。我还更换了电缆,结果相同。我尝试在windows中更改网卡的属性,服务器被锁定,点击应用后需要硬重置。这个 Windows 服务器有两个物理网络接口,所以我交换了两个接口上的电缆和网络设置,看看问题是否出在接口上。如果公共接口再次出现故障,我们将知道这不是网卡的问题。
(我们还尝试了我们手头的另一个开关,没有变化)
更改网络硬件驱动程序版本
我们在最新的 Broadcom 驱动程序以及 Windows Server 2008 R2 中附带的内置驱动程序中遇到了同样的问题。
更换网线
作为最后的努力,我们记得发生的另一个变化是更换了我们的服务器/交换机之间的所有跳线。我们购买了两套,一套用于专用接口的 1 英尺 - 3 英尺长的绿色电缆,另一套用于公共接口的红色电缆。我们用不同的品牌换掉了所有公共接口跳线,并在整整一周内没有问题地运行我们的服务器...... aaaaa 然后问题再次出现。
禁用校验和卸载,删除 TProxy
我们还尝试在驱动程序中禁用 TCP/IP 校验和卸载,没有任何变化。我们现在退出 TProxy 并转向更传统的x-forwarded-for网络安排,无需任何花哨的 IP 地址重写。我们会看看这是否有帮助。
交换机虚拟化提供商
万一这在某种程度上与 Hyper-V 相关(我们确实在其上托管 Linux VM),我们切换到 VMWare Server。没变。
切换主机型号
我们已经到了故障排除的尽头,现在正式涉及 Microsoft 支持。他们建议更改主机模型:
我们这样做了,而且我们还获得了一些未发布的内核修补程序,这些修补程序可能已被纳入 2008 R2 SP1。没有修复。
更换网卡硬件
最终,用英特尔网络硬件替换 Broadcom 网络硬件为我们解决了这个问题。所以我倾向于认为 Broadcom Windows Server 2008 R2 驱动程序有问题!
我们目前将我们的 DNS SOA 记录设置为 stackoverflow.com 的以下内容:
primary name server = ns1.p19.dynect.net
serial = 2009090909
refresh = 3600 (1 hour)
retry = 600 (10 mins)
expire = 604800 (7 days)
default TTL = 60 (1 min)
对于像 stackoverflow.com 这样每天接收近 100 万次网页浏览的网站,我们的刷新/重试/过期/默认 TTL 是否有更好的选择?
我们最近为 stackoverflow.com 实现了 HAProxy。我们决定使用 TProxy 来维护客户端连接的源地址,这样我们的日志和其他依赖于客户端 IP 地址的 IIS 模块就不需要修改。因此,数据包以欺骗方式到达,就好像它们来自外部互联网 IP 地址一样,而实际上它们来自我们本地网络上的本地 192.168.xx HAProxy IP。
我们的两个 Web 服务器都有两个 NIC——一个在公共互联网上具有静态 IP、DNS 和默认网关的可路由 B 类地址,另一个配置了指向 HAProxy 专用 IP 的默认网关的私有不可路由 C 类地址。HAProxy 有两个接口——一个是公共的,一个是私有的,负责在接口之间透明地路由数据包并将流量引导到适当的 Web 服务器。
以太网适配器 Internet:
描述 。. . . . . . . . . . : 网卡#1
启用 DHCP。. . . . . . . . . . : 不
启用自动配置。. . . : 是的
IPv4 地址。. . . . . . . . . . : 69.59.196.217 (首选)
子网掩码 。. . . . . . . . . . : 255.255.255.240
默认网关 。. . . . . . . . : 69.59.196.209
DNS 服务器。. . . . . . . . . . : 208.67.222.222
208.67.220.220
通过 Tcpip 的 NetBIOS。. . . . . . . : 启用
以太网适配器专用本地:
描述 。. . . . . . . . . . : 网卡#2
启用 DHCP。. . . . . . . . . . : 不
启用自动配置。. . . : 是的
IPv4 地址。. . . . . . . . . . :192.168.0.2(首选)
子网掩码 。. . . . . . . . . . : 255.255.255.0
默认网关 。. . . . . . . . : 192.168.0.50
通过 Tcpip 的 NetBIOS。. . . . . . . : 启用
我们在每个 Web 服务器上禁用了自动指标,并为可路由的公共类 B 分配了 10 的指标,我们的私有接口分配了 20 的指标。
我们还设置了这两个注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DeadGWDetectDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableDeadGWDetect"=dword:00000000
我们每天大约会看到两次问题,其中一个 Web 服务器无法联系 DNS 或无法连接到公共互联网上的任何其他服务器。
我们怀疑死网关检测错误地检测到公共网关上的中断,并将所有流量切换到此时没有 DNS 访问但无法验证这一点的私有网关。
有没有办法知道死网关检测是否正在运行,甚至是 Windows 2008 服务器中的一个选项?
如果是这样,有没有办法在 Windows 2008 服务器中禁用死网关检测?
如果不是,是否还有其他原因导致我们无法解析 DNS 或在短时间内无法连接?
当我配置新的远程桌面连接以连接到服务器时,我经常忘记取消选中本地设备和远程打印机资源中的选项。这会在我连接的源服务器的事件日志中创建异常:TerminalServices-Printers 用于我用于 PDF 文档转换的打印机驱动程序。
我很想知道默认情况下是否可以在客户端远程桌面连接选项或服务器上禁用远程打印机,以便不再发生这些异常。
我们在防火墙后面有一个仅限 SMTP 的邮件服务器,该服务器将有一个公共的 A 邮件记录。. 访问此邮件服务器的唯一方法是从同一防火墙后面的另一台服务器。我们不运行我们自己的私有 DNS 服务器。
将私有 IP 地址用作公共 DNS 服务器中的 A 记录是个好主意 - 还是最好将这些服务器记录保存在每个服务器的本地主机文件中?
Microsoft 有很多关于 IIS7 的新负载平衡和请求路由模块的文档,位于此处:http: //blogs.iis.net/bills/archive/2009/02/16/iis7-request-routing-and-load -balancing-module-released.aspx,但我想知道是否有人有在生产中使用它的经验。使用此模块而不是其他解决方案(例如 HAProxy)有哪些优点/缺点?