locked
NLB et TSE 2003 RRS feed

  • Question

  • Bonjour,

    J'ai un problème avec la mise en place d'un NLB pour TSE sous 2003. Voici la description de mon infrastructure et le problème rencontré :

    Mon serveur1 est configuré comme suit :
    Carte1 : ip 10.16.231.241/24 (BackEnd)
    ip 10.16.231.240/24
    Carte2 : ip 192.168.137.241/24 (FrontEnd)

    Mon Serveur2 est configuré comme suit :
    Carte1 : ip 10.16.231.242/24 (BackEnd)
    ip 10.16.231.240/24
    Carte2 : ip 192.168.137.242/24 (FrontEnd)

    Au final, je voudrais faire ma ferme TSE en 10.16.231.240. Mais je suppose que de le faire sur une carte ou sur une autre, ça ne change pas le problème.

    Aussi dans Serveur1.Carte2, je configure l’équilibrage de charge de la manière suivante :
    IP Cluster : 10.16.231.240
    NetMask : 255.255.255.0
    Nom Internet : tse.<nom domaine>.local
    Mac Address : <non modifiable>
    Mode d’opération : MultiDiffusion (Multidiffusion IGMP)

    Priorité hôte : 1
    IP dédiée : 10.16.231.241
    Netmask :255.255.255.0

    Règles : ip cluster/port 3389->3389/TCP/hôte multiple(unique)


    Et dans Serveur2.Carte2, je configure l’équilibrage de charge de la manière suivante :
    IP Cluster : 10.16.231.240
    NetMask : 255.255.255.0
    Nom Internet : tse.<nom domaine>.local
    Mac Address : <non modifiable>
    Mode d’opération : MultiDiffusion (Multidiffusion IGMP)

    Priorité hôte : 2
    IP dédiée : 10.16.231.242
    Netmask :255.255.255.0

    Règles : ip cluster/port 3389->3389/TCP/hôte multiple(unique)

    Mon nlb display all sur les deux serveurs m’indique bien que mon cluster est formé de 2 nœuds, que serveur1 est l’hôte par défaut et que Serveur2 fait partie du cluster.

    Nlbmgr, le manager de cluster NLB, trouve bien mes deux serveurs comme faisant partie du cluster. Chaque serveur se ping sans problème aucun.

    Si je regarde un netstat –an, je vois bien le service TSE (3389) sur l’ip de la carte réseau du serveur (Serveur1 ou Serveur2) mais pas sur l’IP du cluster. Je peux faire du TSE sur Serveur1 mais pas sur Serveur2 (qui répond malgré tout au ping)

    Et voilà…. Suis scotché là… j’arrive pas à avancer…

    Cordialement,

    Guillaume

    lundi 17 janvier 2011 16:49

Réponses

  • J'avais compris qu'il était justement en écoute sur l'IP physique et virtuelle et que tu voulais qu'il ne soit accessible que sur l'IP virtuelle.

    "Mais bien que pour l'instant la config me convienne (cluster sur le réseau local et chaque serveur est accessible indépendamment), à terme je souhaiterais qu'il n'y ait plus que le cluster de vu et sur un front-end (avec le LAN des données sur le back end)... ".


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr

    Bonjour,

    eh bien en fait mon problème venait qu'il n'était pas en écoute sur l'IP virtuelle mais uniquement sur l'IP physique...

    Cordialement,

    jeudi 20 janvier 2011 15:43

Toutes les réponses

  • Bonjour Guillaume,

    peut être dans la configuration TSE (MMC -> Configuration des services Terminal Server -> connexions), choisir la carte réseau correspondant au frontend.

    Sinon, passez en mode de filtrage hôte multiple (pas unique) et configurez le TSE pour supporter les sessions directory Services:

    http://support.microsoft.com/kb/301923/en-us

    http://www.vmnerds.fr/2010/06/18/configuration-nlb-pour-tse/


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    lundi 17 janvier 2011 23:32
  • Bonjour et merci pour la réponse,

     

    J'aurais quelques questions par rapport à votre réponse :

    1. si je choisis de configurer le serveur TSE sur le FrontEnd, je ne peux plus utiliser le cluster à partir du réseau backEnd. En gros, imaginons que je n'ai pas de backend (sauf peut être s'il peut être utilisé pour que les noeuds TSE discutent entre eux)

    En fait, je souhaiterais, pour l'instant, configurer un NLB uniquement sur le LAN (comme si je n'avais pas de deuxième carte réseau).

    2. Mes serveurs 2003 sont en Standard. Si j'ai bien compris, pour utiliser les sessions Directory Services, il me faut de la version Entreprise (et le coût de la version Entreprise uniquement pour cela n'était pas du goût de mon client) et un 3ème serveur 2003 qui héberge ce service non ?

    Cordialement,

    Guillaume

    mardi 18 janvier 2011 11:11
  • Bonjour,

     

    en fait, si je regarde bien ma configuration, le seul truc qui *ne va pas*, c'est le fait que le service TSE n'écoute pas sur l'adresse IP virtuelle mais uniquement sur l'adresse IP physique...

    Je vais essayer avec un autre service qui écoute sur un autre porte (genre FTP) et vous tiens au courant.

    Mais si vous avez des idées d'ici là, je suis preneur !

    Cordialement,

    Guillaume

    mardi 18 janvier 2011 12:41
  • Bonjour,

     

    Toujours dans ma configuration, voici des résultats complémentaires, faits à partir d'un poste de travail :

    C:\Windows\system32>arp -a 10.16.231.240
    
    Interface : 10.16.231.212 --- 0x8
     Adresse Internet   Adresse physique   Type
     10.16.231.240     03-bf-0a-10-e7-f0   dynamique
    
    C:\Windows\system32>arp -a 10.16.231.241
    
    Interface : 10.16.231.212 --- 0x8
     Adresse Internet   Adresse physique   Type
     10.16.231.241     00-1b-21-83-9e-11   dynamique
    
    C:\Windows\system32>arp -a 10.16.231.242
    
    Interface : 10.16.231.212 --- 0x8
     Adresse Internet   Adresse physique   Type
     10.16.231.242     00-1b-21-83-a0-e1   dynamique
    

    J'ai bien une adresse MAC pour mon IP virtuelle. Mais impossible de dire à ce fichu Service TSE qu'il doit écouter sur l'adresse IP du cluster...

     

    La seule chose qui écoute sur l'adresse IP 10.16.231.240, c'est le port 123 en UDP. Et c'est tout...

     

    Pas cool...

     

    Cordialement,

     

     

    mardi 18 janvier 2011 13:31
  • Et donc, dans MMC -> Configuration des services Terminal Server -> connexions, le TSE écoute-t-il sur la carte qui possède l'IP virtuelle?

    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    mardi 18 janvier 2011 20:15
  • Et donc, dans MMC -> Configuration des services Terminal Server -> connexions, le TSE écoute-t-il sur la carte qui possède l'IP virtuelle?

    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr

    Bonsoir,

     

    tout à fait. Sur mes deux serveurs, j'ai configuré le TSE pour qu'il écoute exclusivement sur la carte qui possède l'IP virtuelle... mais rien n'y fait... En fait, j'ai réussi à avoir ma ferme TSE en configurant le NLB avec

    Partie Equilibrage de charge : 

    Multidiffusion

    et la règle de port 3389 en Multiple (affinité Aucune) mais j'ai également créé d'autres règles encadrant ce port en désactivant les règles.

     

    Partie Serveur TSE :

    Ecoute sur "toute carte supportant ce protocole".

     

    Là, tout fonctionne bien, en entrant le nom de mon cluster dans le client TSE, tout se passe bien, je me connecte alternativement su run serveur puis sur l'autre en fonction de la charge.

     

    Mais bien que pour l'instant la config me convienne (cluster sur le réseau local et chaque serveur est accessible indépendamment), à terme je souhaiterais qu'il n'y ait plus que le cluster de vu et sur un front-end (avec le LAN des données sur le back end)... 

     

    C'est pas encore complètement gagné :)

     

    Cordialement,

     

    Guillaume

    mardi 18 janvier 2011 21:27
  • Attention,

    sans affinité, un utilisateur qui ferme sa session TSE sans fermer sa session Windows ne pourra pas la récupérer s'il bascule de noeud, d'où l'utilité des "Sessions directory services".

     

    Côté binding, on peut forcer le serveur TSE à se binder sur une carte, pas sur une IP précise.

    Donc si vous configurez TSE pour écouter sur la carte qui possède l'IP virtuelle, il écoutera également sur l'IP physique (dédiée).

    Un firewall en amont ou sur chaque noeud du serveur fera l'affaire!

     



    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    mercredi 19 janvier 2011 21:50
  • Bonjour et merci pour la réponse,

     

    En ce qui concerne l'affinité et "session directory", j'en suis bien conscient. Toutefois, j'ai créé une GPO qui règle justement ces détails de délai de fermeture de session lorsqu'elle est déconnectée, le tout dans une UO qui contient mes 2 serveurs TSE.

     

    Pour ce qui est du binding, effectivement, l'écoute se fera sur l'IP physique c'est ce que j'ai constaté. Mais dans ce cas, pourquoi, puisque la carte dispose de 2 IP et le service TS est bindé sur la carte, n'écoute-t-il pas sur les 2 ip ?

    Je ne vois pas comment un firewall en amont ou sur chaque noeud pourrait m'aider ? Pourriez vous détailler ce point ?

     

    Cordialement,

     

    Guillaume

    jeudi 20 janvier 2011 08:50
  • J'avais compris qu'il était justement en écoute sur l'IP physique et virtuelle et que tu voulais qu'il ne soit accessible que sur l'IP virtuelle.

    "Mais bien que pour l'instant la config me convienne (cluster sur le réseau local et chaque serveur est accessible indépendamment), à terme je souhaiterais qu'il n'y ait plus que le cluster de vu et sur un front-end (avec le LAN des données sur le back end)... ".


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr
    jeudi 20 janvier 2011 15:17
  • J'avais compris qu'il était justement en écoute sur l'IP physique et virtuelle et que tu voulais qu'il ne soit accessible que sur l'IP virtuelle.

    "Mais bien que pour l'instant la config me convienne (cluster sur le réseau local et chaque serveur est accessible indépendamment), à terme je souhaiterais qu'il n'y ait plus que le cluster de vu et sur un front-end (avec le LAN des données sur le back end)... ".


    Cordialement,
    Emmanuel Dreux
    http://www.bcpsoft.fr
    http://www.ilinfo.fr

    Bonjour,

    eh bien en fait mon problème venait qu'il n'était pas en écoute sur l'IP virtuelle mais uniquement sur l'IP physique...

    Cordialement,

    jeudi 20 janvier 2011 15:43