locked
Webseite über TMG Array redundant und sicher veröffentlichen RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich möchte eine Webseite per TMG mit diesen Voraussetzungen veröffentlichen:

    • redundant (eins von zwei Rechenzentren darf ausfallen)
    • sicher per HTTPS und SMSPASSCODE
    • Lastenausgleich

    Hierzu stehen zwei Rechenzentren zur Verfügung.

    Folgendes ist vorgesehen:

    • pro RZ ein TMG 2010 Enterprise Management Server und Array Member (ggf. später mehrere Member).
    • Alle TMGs sollen im gleichen Array verwaltet werden
    • Zwei externe IP's mit Weiterleitung 443 (auf Firewall Cisco ASA (Array über beide RZ)) auf den jeweiligen TMG
    • ein externer DNS A-Record auf die beiden externen IP's
    • pro RZ ein Webserver (ggf. später mehr)
    • Veröffentlichung Webserver (Farm) über TMG mit SMS PASSCODE Authentifizierung

    Ab "TMG" hätte ich (durch Veröffentlichung der Webserver "Farm") ja eine Verteilung auf die Webserver.

    • Aber wie bekomme ich den Zugriff von extern HTTPS Anfragen, gleichermaßen auf die TMG Member aufgeteilt? 
    • Habe ich automatisch schon eine "einfache Lastenverteilung" durch den externen DNS Eintrag (ein Name auf zwei IPs') oder muss ich auf Ebene Cisco ASA oder externer NLB am TMG "nach verteilen"
    • Was passiert wenn ein RZ ausfällt, läuft die erste Anfrage von extern ins leere und die zweite wird erst beantwortet?
    • Sind irgendwelche Anleitungen zu dem Thema bekannt?

    Danke vorab

    Markus

    • Typ geändert Alex Pitulice Montag, 15. Oktober 2012 06:56 Warten auf Feedback
    Montag, 8. Oktober 2012 08:15

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    moin markus,

    letztendlich sehe ich hier 2 möglichkeiten für dich:

    du verteilst die last via dns-roundrobin (wie von dir bereits erwähnt), hierzu reichen dann 2 tmg standard edition aus, mit ähnlichem regelwerk.

    http://de.wikipedia.org/wiki/Lastverteilung_per_DNS

    alternativ nimmst du tmg enterprise edition im array (z.b. mit ems) und richtest über deine rz-grenzen nlb ein (sicherlich mit ein paar schmerzen verbunden).

    wenn die asas nun in der front auch redundant wären und ausfallsicher sind, dann kommst du von extern auf eine öffentliche ip angerauscht (dargestellt durch die asas) und die wiederum geben die https-anfragen dann via portforwarding an eine virtuelle ip-adresse des tmg-ee-nlb weiter.

    http://technet.microsoft.com/de-de/library/dd897010.aspx

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|


    Montag, 8. Oktober 2012 08:33
  • Discussion
    Anmelden
    1
    Anmelden

    Hi,

    um Redundanz zwischen den beiden RZ zu bekommen musst Du entweder die NLB Funktionen von TMG Enterprise verwenden und integriertes NLB verwenden. Dann kannst Du an der ASA als Weiterleitung die NLB VIP angeben. Bei zwei RZ muessen die Subnetze am externen TMG Interface aber gleich sein (also streched VLAN verwenden). Es gibt zwar einen KB Artikel wie man NLB beibringen kann auch unterschiedliche Subnetze zwischen den Knoten zu haben, lt. Aussage von anderen Forenusern funzt das Script aber nicht!
    Alternativ verwendest Du Lastenausgleich ueber den vorgeschalteten Load Balancer. DNS Round Robin reicht nicht aus, da Du ja eine Sitzungszugehoerigkeit brauchst (entweder Session based, IP based oder Coockie basierend) 

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 8. Oktober 2012 08:36
  • Discussion
    Anmelden
    0
    Anmelden

    Hi, danke schon mal für die Antworten!

    • Gerade noch erfahren, dass die ASA's im Failover Verbund sind (eine passive, eine aktiv) / Transparent als eine zu sehen
    • Die WAN IP kommt auf eine der beiden ASA's an.
    • VLAN's sind über beide RZ gestreched

    Werde daher folgendes erst mal versuchen:

    • TMG Enterprise NLB Funktion für externe Interface.
    • Weiterleitung Anfrage durch ASA an virtuelle IP des TMG NLB
    • DNS A-Record auf WAN IP (ggf. auf zwei / noch nicht klar ob dies Providerseitig transparent als eine gehandhabt wird)
    Montag, 8. Oktober 2012 09:43
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Markus,

    Bist Du hier weitergekommen?

    Gruss,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 12. Oktober 2012 09:27
  • Discussion
    Anmelden
    0
    Anmelden

    Folgendes ist bis jetzt passiert und funktioniert:

    • Einrichtung 2x EMS + Array
    • Einrichtung von 2 TMG als Array Member
    • Erstellung NLB "Multicast" auf NIC Extern
    • Weiterleitung 443 über ASA an virtuelle NLB IP.

    getestet:

    • Zufällige Aufteilung auf die beiden Member
    • Fällt ein TMG Member aus, über nimmt der andere
    • Ausfall beider EMS hat keine Auswirkung, da Konfig lokal zwischengespeichert

    Noch eine Frage:

    • Jeder TMG (Member, EMS) hat scheinbar ein eigenes Log
    • Haben alle Logs den gleichen Inhalt im Array?
    • Gibt es Empfehlungen dazu?
    Dienstag, 23. Oktober 2012 14:55
  • Discussion
    Anmelden
    0
    Anmelden

    Noch eine Frage:

    • Jeder TMG (Member, EMS) hat scheinbar ein eigenes Log
    • Haben alle Logs den gleichen Inhalt im Array?
    • Gibt es Empfehlungen dazu?

    Hat sich erledigt, Log wird per Array auf allen Membern einheitlich konfiguriert.

    Daher wenn ich auf D:\ loggen will, muss D:\ auf allen verfügbar sein.

    Thema ist daher erst mal abgeschlossen

    Montag, 29. Oktober 2012 09:51