none
Один TMG+EDGE и два IP с интернета RRS feed

  • Вопрос

  • Добрый день!

    Настроен сервер TMG+EDGE. Почта отсылается и принимается. На TMG шлюзом по умолчанию является адрес роутера, у которого внешний адрес, это IP провайдера первого.

    Встал вопрос беспрерывной работе. У провайдера какие-то аварии бывают и связь пропадает. Есть в наличии еще один IP адрес от другого провайдера на втором роутере.

    Подскажите, возможно ли настроить второй SMTP шлюз на этот же TMG или надо поднимать вторую машину TMG+EDGE? Если возможно, то как это будет выглядеть? Двух шлюзов по умолчанию то не может быть.

    29 января 2012 г. 7:39

Ответы

  • Универсального решения нет. Есть частные решения для определенных ситуаций.

    Пусть будет один пограничный сервер и два внешних интерфейса к двум провайдерам соответственного. Делаем два маршрута по умолчанию, но один с более высоким приоритетом - он и будет работать.

    Теперь есть два процесса: прием почты и отправка почты.

    Прием почты. Делаете две MX записи на два ваших внешних адреса (можно с разным приоритетом) - все прием зарезервирован при падении любого канала.

    Отправка почты. Отправка идет через провайдера, на которого указывает шлюз по умолчанию с большим приоритетом. При отказе вам нужно выполнить отключение интерфейса на этого провайдера: маршрут на него отключится и поднимится маршрут по умолчанию на второго провайдера и почта пойдет через него. После устранения отказа вы просто поднимаете интерфейс первого провайдера обратно.

    Вопрос, который вам надо решить: как определить отказ канала. Это может быть пинг в сторону провайдера.


    Сазонов Илья http://isazonov.wordpress.com/
    • Помечено в качестве ответа Yuriy Lenchenkov 6 февраля 2012 г. 9:26
    31 января 2012 г. 13:01
    Модератор

Все ответы

  • В TMG есть функция ISP Redundancy, которая позволяет использовать сценарий с двумя провайдерами. Соответственно, можно воспользоваться ею, а также настроить дополнительную mx-запись.

    29 января 2012 г. 10:16
  • ISP Redundancy не поддердживает FPE и SMTP.

    Unsupported configurations

    http://technet.microsoft.com/en-us/library/ee796231.aspx

    Forefront TMG does not support routing Protocols

    Issue: Forefront TMG is not a router and does not directly support routing protocols such as Border Gateway Protocol (BGP), Routing Information Protocol (RIP) or Open Shortest Path First (OSPF).

    Cause: Forefront TMG has no built-in support for these dynamic routing protocols.

    Solution: No workaround.


    MCITP. Знание - не уменьшает нашей глупости.

    30 января 2012 г. 5:55
    Модератор
  • ISP redundancy does not support e-mail protection

    Issue: When e-mail protection using Forefront Protection for Exchange (FPE) is used in Forefront TMG, the e-mail traffic will not fail over to an alternate ISP link even if the ISP redundancy functionality is configured in Forefront TMG.

    Cause: The ISP redundancy feature requires a NAT relationship with the external network in order to fail over the connection to an alternate ISP. SMTP listeners on the external NIC cannot take advantage of the ISP redundancy functionality as there is no address translation in mail traffic.

    Solution: No solution. To take advantage of the ISP redundancy functionality, use the SMTP publishing feature to publish the internal SMTP servers.

    и

    Protocol-based load balancing is not supported with the ISP redundancy feature

    Issue: Forefront TMG cannot distribute traffic based on the protocol that is used (for example, HTTP through one link and SMTP through the other).

    Cause: Protocol-based load balancing is not supported with the ISP redundancy feature.

    Solution: No workaround.

     

    То есть не поддерживается именно балансировка нагрузки, что в данном случае не требуется и проверка почты средствами самого Forefront.

    Так что, при условии, что не используется FPE, это как раз supported решение будет.

    31 января 2012 г. 2:13
  • возможно ли настроить второй SMTP шлюз на этот же TMG или надо поднимать вторую машину TMG+EDGE? Если возможно, то как это будет выглядеть? Двух шлюзов по умолчанию то не может быть.

    Думаю, что тут без второй машины не обойтись.

    Четыре года назад я пытался реализовать безотказное получение почты через ISA 2006 Server для Exch 2007 ET. В DNS-е  две A-записи, две MX-записи, оба IP влючены в SPF-запись. Два ISA-сервера, каждый смотрит на одного провайдера внешним интерфейсом. На каждом из ISA дополнительный внутренний интерфейс - чисто для ET. На ET два внешних сетевых порта, каждый из них связан с одним из ISA-серверов. Получаются две сети по два клиента в каждой. На ET на обоих внешних интерфейсах прописан основной шлюз - ISA Server. Добиться достаточно стабильной работы такой схемы мне так и не удалось. Раз в неделю слетал основной шлюз в настройках второго (резервного) канала.

    31 января 2012 г. 11:09
  • Универсального решения нет. Есть частные решения для определенных ситуаций.

    Пусть будет один пограничный сервер и два внешних интерфейса к двум провайдерам соответственного. Делаем два маршрута по умолчанию, но один с более высоким приоритетом - он и будет работать.

    Теперь есть два процесса: прием почты и отправка почты.

    Прием почты. Делаете две MX записи на два ваших внешних адреса (можно с разным приоритетом) - все прием зарезервирован при падении любого канала.

    Отправка почты. Отправка идет через провайдера, на которого указывает шлюз по умолчанию с большим приоритетом. При отказе вам нужно выполнить отключение интерфейса на этого провайдера: маршрут на него отключится и поднимится маршрут по умолчанию на второго провайдера и почта пойдет через него. После устранения отказа вы просто поднимаете интерфейс первого провайдера обратно.

    Вопрос, который вам надо решить: как определить отказ канала. Это может быть пинг в сторону провайдера.


    Сазонов Илья http://isazonov.wordpress.com/
    • Помечено в качестве ответа Yuriy Lenchenkov 6 февраля 2012 г. 9:26
    31 января 2012 г. 13:01
    Модератор
  • Илья предложил интиресные варианты.

    В продолжение Ильи, предлагаю создать два сайта на одной площадке, к каждому сайту по каналу от разных провайдеров. Балансировать на уровне приоритетов костов и управлять командлетами.

    Есть варинт с построением DMZ зоный со своими DNS и пулом публичных IP. Этот пул прописываеться у провайдеров и балансируеться на уровне ядра связи с провайдерами. ISA/TMG получают один уже отбалансированый GW и нужное колличество IP. Такая технология используеться в Cloud и крупных корпорациях, или в ЦОД.

     

    По определению состояния канала и других сервисов. Можно напрячь scom, еще использовал сервер (не помню назавания не МС), в нем можно было мониторить и планироват реакцию на действия. Пример. Пропал пинг по такому IP, автоматом логин по SSH и передернуть командами свич. )  


    MCITP. Знание - не уменьшает нашей глупости.


    31 января 2012 г. 13:30
    Модератор