locked
Forefront TMG 2010 SP1 Single Array - NLB an externen Adaptern funktioniert nicht RRS feed

  • Frage

  • Hallo,

    vielleicht könnt ihr Tipps geben:

    zuvor: Array mit 2 x Knoten ISA Server 2006,
    jeder ISA-Knoten hatte zwei Netzwerk-Adapter.
    ISA bildete den internen Firewall, es gibt somit einen externen Firewall.
    DMZ verwendet private IP-Adressen.

    NLB funktionierte an beiden Adaptern intern und extern,
    einwandfrei.

    Das ISA-Array ist jetzt ersetzt
    durch ein Single-Array unter Forefront TMG 2010 SP1,
    erneut zwei Knoten,
    erneut hat jeder Knoten zwei Netzwerk-Adapter.

    Die Konfiguration ist manuell am TMG eingetragen,
    dabei vom ISA-Array übernommen worden.

    Genau wie unter ISA steht die interne Array-Kommunikation
    im TMG-Array auf der internen Schnittstelle.

    Nur: NLB funktioniert nur noch intern,
    nicht mehr extern. Sobald wir NLB per TMG-Konsole
    zusätzlich für die externen NW-Adapter konfigurieren,
    scheitert eingehender Traffic.

    Habt ihr Ideen?
    Was können wir tun?

    Im Voraus vielen Dank

    Sven

     

    Mittwoch, 27. Oktober 2010 08:44

Alle Antworten

  • Hi,

    bekommst Du Fehlermeldungen? NLB ist konvergent? An der Switch Infrastruktur wurde nichts geaendert?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 27. Oktober 2010 09:45
  • moin,

    sind die tmg's virtualisiert. welches nlb-verfahren setzt ihr ein (unicast, multicast, musticast-igmp). sind die switche für die passenden modi konfiguriert (vlan, snooping, static-arp)?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 27. Oktober 2010 12:16
  • Hallo Marc,
    Hallo Jens,

    die TMGs laufen auf physischer Hardware (HP).

    NLB steht auf jedem Knoten, auf jedem Adapter auf Unicast.

    An den Switches wurde nichts geändert. Auch nicht am externen Firewall.
    Mit ISA 2006 ist es Minuten zuvor noch sauber gelaufen
    (NLB dort ebenfalls Unicast).

    Im Ereignisprotokoll sind keine relevanten Fehler zu NLB
    eingelaufen. Auch kein Event 119 Source NLB.

    Marc, was genau meinst Du mit konvergent ?

    Sobald NLB für die externen NW-Adapter aktiviert wird,
    wird eingehender Traffic von den TMGs geblockt.

    Schalte ich NLB für die externen Adapter wieder aus
    und trage an einem TMG-Knoten die NLB-Adresse ein (ohne NLB),
    läuft der Traffic (SMTP, HTTPS usw.) wieder ein.

    Danke

    Sven

     

    Mittwoch, 27. Oktober 2010 13:28
  • moin sven,

    o.k. - dann noch zu meinem verständnis: was meinst du mit single-array - vlt. ein standalone-array mit arraymaster?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 27. Oktober 2010 15:17
  • Hi,

    evtl. MAC Adressenfilter / statische MAC Adressen an den Switchen, welche noch auf die NIC´s der alten ISA Server zeigen?
    Konvergent soll heissen in der TMG Konsole sind beide Knoten unter Konfiguration "Gruen" und in Sync?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 27. Oktober 2010 16:09
  • Hallo Jens,
    Hallo Marc,

    ja, Standalone-Array mit Arraymaster.

    Ja, beide Knoten sind grün, auch das Synchronisieren arbeitet sauber.

    MAC-Adressen prüfen wir gerade, melde mich hierzu noch.

    Danke

    Sven

    Donnerstag, 28. Oktober 2010 08:44
  • Hi,

    ich hatte bei NLB-Servern immer wieder mal Probleme mit Adapter Teaming. Hast du sowas auf dem Server konfiguriert ?

    Unicast als NLB-Mode wird von einigen Switchen als Angriff gewertet. Aber wenn der ISA vorher an dem gleichen Switch hing, würde ich das ausschließen.

    Viele Grüße

    Carsten

    Donnerstag, 28. Oktober 2010 08:50
  • Hallo Carsten,

    Teaming ist nicht aktiviert.

    Wir haben auch bereits Multicast eingeschaltet.
    Auch mit Multicast funktionierte NLB an den externen Adaptern leider nicht.

    Wir prüfen jetzt erst einmal das Switching.

    Danke

    Sven

    Donnerstag, 28. Oktober 2010 14:54
  • Hi Sven,

    wenn ihr noch irgendwo einen Hub liegen habt, hänge die Adapter mal daran. Wenn es dann funktioniert, liegt es am Switch. Andernfalls müssen wir im TMG weiter graben.

    Gruß
    Carsten

    Samstag, 30. Oktober 2010 20:47
  • Hallo,

    wir haben einen anderen Switch verwendet.

    Leider ohne Erfolg,
    NLB funktioniert dennoch nicht.

    Vielleicht habt Ihr noch eine Idee.

    Danke

    Sven

    Samstag, 20. November 2010 18:37
  • Hi,

    NLB Status ist aber OK? Was sagt der Windows NLB Manager?
    Teste den NLB Status mal mit WLBS.EXE
    Was sagt das TMG Realtime Logging, wenn am externen NLB Interface nix mehr geht?
    NLBCLEAR mal ausgefuehrt und das NLB neu eingerichtet (NLBCLEAR ist jetzt TMG Bestandteil in der GUI - Troubleshooting Node)
    Habt Ihr mal geguckt, wohin der Traffic geht, wenn "nichts mehr ankommt" wie Du sagst? Netmon kann da gute Dienste leisten, ob auch die richtigen Nodes mit den MAC Adressen angesprochen werden


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Samstag, 20. November 2010 18:59
  • moin sven,

    ein anderer switch hilft nur bedingt, wenn er denn deinen nlb-modus unterstützt! ansonsten sind ähnliche probleme zu erwarten. ich würde checken ob die verwendeten switche überhaupt die nlb-modi unterstützen. zum einfachen test, obs daran liegt oder nicht kannst du wie carsten bereits erwähnte einen hub dazwischenschalten (intern + extern). dies mag zwar für den produktiven betrieb nicht sinnig sein, aber zur fehleranalyse.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Sonntag, 21. November 2010 11:06
  • moin sven,

    ein Hub und NLB im unicast-Mode muss funktionieren.

    Hier habe ich noch ein paar Hintergründe zur Funktionsweise von NLB geschrieben:
    http://social.technet.microsoft.com/Forums/de-DE/forefrontde/thread/27285145-7d30-4b0e-9c28-bda37c8b4fa9/#62278a02-9bbe-4a93-9936-c44275e82dae

     


    Viele Grüße Carsten
    Sonntag, 21. November 2010 11:28
  • Hallo,

    auch mit einem Hub und Unicast funktioniert es leider nicht .

    Folgender Fehler erscheint in der TMG 2010-Konsole:

    Resource Allocation Failure - Firewall Service
    Description: The Web Proxy filter failed to bind its socket to 10.10.0.200 [NLB-Adresse für die Adapter ins Perimeter] port 4433. This may have been caused by another service that is not functional. To resolve this issue, restart the Microsoft Firewall service. The error code specified in the data area of the event properties indicates the caus of the failure. The failure is due to error: The requested address is not valid in its context.

    The Web Proxy filter failed to bind its socket to 10.10.0.200 [NLB-Adresse für die Adapter ins Perimeter] port 443. This may have been caused by another service that is not functional. To resolve this issue, restart the Microsoft Firewall service. The error code specified in the data area of the event properties indicates the caus of the failure. The failure is due to error: The requested address is not valid in its context.

    Netzwerkaufbau ist gleichgeblieben.
    Mit dem ISA Server 2006 Enterprise hat NLB an den Adaptern ins LAN und and den Adaptern ins Perimeter einwandfrei funktioniert.

    Die Switches sind gleichgeblieben. Beim ISA 2006 funktionierte NLB, seit TMG 2010 funktioniert NLB nur noch an den internen Adaptern zum LAN, nicht an den Adaptern zum Perimeter.

    Die LAN-Adapter haben ein VLAN, die Perimeter-Adapter ebenfalls ein VLAN.
    Beide VLANs werden mit derselben Switching-Technologie erstellt.

    TMG-Patch - http://support.microsoft.com/kb/2433623/ ist installiert.
    Der Patch soll unter anderem VLAN-Probleme beim TMG 2010 lösen,

    in diesem Fall hat er aber keine Änderung gebracht:

    NLB funktioniert weiterhin nur an den internen Adaptern.

    Danke im Voraus !

    Sven

    Sonntag, 12. Dezember 2010 11:54
  • Hi,

    TMG kann den Socket 443 nicht binden, weil bereits ein anderer Service auf 443 lauscht. Das Problem hat erstmal nur indirekt was mit NLB zu tun. Laeuft auf Deinem TMG noch ein IIS der den Port 443 bindet? Dann schau mal ob du mit netsh die Bindung auf 0.0.0.0 aufloesen kannst oder leg den IIS auf einen anderen Port


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Sonntag, 12. Dezember 2010 13:44
  • Hallo Sven,

    das sieht danach aus, als wenn der Port von einem anderen Prozess verwendet wird. Mach mal in der CMD den Befehl "netstat -noa". Dann prüffe mal welcher Prozess den Prot verwendet. Die Prozessid wird mit ausgegeben und im Taskmanager kannst du die Prozess-ID einblenden lassen ...

    Ergebnis dann bitte posten


    Viele Grüße Carsten
    Sonntag, 12. Dezember 2010 13:46
  • Hallo Marc,
    Hallo Carsten,

    Danke für Eure Beiträge !

    Diese Dinge werde ich prüfen.

    Aber: Sobald NLB aktiviert wird (Adapter zum Perimeter),
    wird sämtlicher eingehender Traffic geblockt,
    darunter auch SMTP usw.

    Ich melde mich. Danke

    Sven

     

    Dienstag, 14. Dezember 2010 09:09
  • Hi,

    wenn das Problem weiterhin besteht, empfehle ich einen Microsoft Call aufzumachen oder einen Dienstleister deines Vertrauens mit der Problemloesung zu betrauen, ich denke hier im Forum wird das schwer werden. Viel Glueck


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 14. Dezember 2010 10:17