none
Второй сервер в TMG Array с NLB не обрабатывает правила публикации RRS feed

  • Общие обсуждения

  • Добрый день коллеги! Помогите решить следующую проблему.

    Имеется массив TMG 2010 SP2 на Win2008 R2 SP1, для которого включена балансировка сетевой нагрузки. Имеются несколько правил публикации Exchange и Lync.

    Так вот, первый сервер в массиве правила обрабатывает нормально, а как только дело доходит до второго сервера, пишет ошибку: Пользовательские запросы запрещены правилами политики. Правило: Правило по умолчанию.

    В TMG используются две сетевых: одна смотрит во внутреннюю сеть, вторая в промежуточную (запросы на внешние IP порт мапингом пересылаются на "внешние" IP TMG). Шлюз по умолчанию прописан для внешнего интерфейса. Для внутренних подсетей добавлены статические маршруты. DNS прописаны и на внутреннем и на внешнем интерфейсе. В консоли TMG явных ошибок конфигурации не вижу: версии одинаковые, конфигурация синхронизирована, все службы на обоих серверах запущены.

    И да, если проверить доступ имитатором трафика Веб-публикацию, то он отображает в итоге Правило по умолчанию, причем для обоих серверов.

    Куда копать?

    UPD: забыл добавить - TMG серверы доменные, внешние сетевые на обоих серверах находятся выше по приоритету использования чем внутренние.

    • Изменено Brers 7 ноября 2011 г. 7:49 дополнил
    • Изменен тип Yuriy Lenchenkov 16 ноября 2011 г. 12:24
    6 ноября 2011 г. 14:22

Все ответы

  • День добрый.

    Проверить работу Array. Репликация правил в массиве.

    http://technet.microsoft.com/en-us/library/dd440989.aspx

    Открыт ли DCOM протокол для обмена данными в массиве?

    http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx

    Траблешутинг.

    http://technet.microsoft.com/en-us/library/dd897100.aspx


    MCITP. Знание - не уменьшает нашей глупости.
    7 ноября 2011 г. 6:07
  • промежуточную сеть случайно в отдельный network не оформляли?
    для межкластерного соединения сетевухи нет? nlb в каком режиме настроен?

    на описанную проблему это врядли повлияет но общие рекомендации:
    - на доменных серверах днс должны быть только на внутреннем интерфейсе и только доменные
    - внутренние интерфейсы должны быть выше по приоритету


    7 ноября 2011 г. 12:11
    Отвечающий
  • 2 Dmitriy Nikitin:

    1. Промежуточная сеть значится в TMG как Внешняя. "Промежуточной" я её назвал лишь затем чтоб указать факт что TMG присвоены не реальные IP адреса из инета.
    2. Для межкластерного соединения нет сетевой отдельной.
    3. Про режим NLB не уверен что понял, но в Unicast если вы это спрашивали.
    4. Я сеть в TMG настраивал согласно этой инструкции: http://technet.microsoft.com/en-us/library/gg429707.aspx, там сказано что как раз DNS должон быть в промежуточной сети. Да и то с точки зрения безопасности. Я этим советом пренебрёг сознательно ибо не думаю что он является причиной проблемы.
    5. Про приоритеты не встречал нигде, почитаю - спасибо!

     2 Kovalenko_Oleg:

    1. Посмотрел инструкции по ссылке, не совсем понял как проверить репликацию правил в массиве.
    2. Про DCOM спасибо, посмотрю. Всё пока настроено по умолчанию, никаких изменений сознательно не делал.
    3. За ссылки по траблшуттингу тоже спасибо, по возможности пройдусь. Меня просто смутило что нигде никаких ошибок TMG не выдает, конфигурация среплицирована, службы работают, в сообщениях ошибок нет, только варнинги что не скачаны файлы определений проверки сети.
    7 ноября 2011 г. 12:57
  • Проходит ли синхронизация правил между двумя серверами TMG?

    Пример настройки TMG Ent.

    http://araihan.wordpress.com/2010/06/10/install-and-configure-forefront-tmg-2010-enterprise-management-server-ems-for-centralized-management-step-by-step/


    MCITP. Знание - не уменьшает нашей глупости.
    7 ноября 2011 г. 13:21
  • 2 Brers:
    в той ссылке нигде не говорится что для tmg dns нужен снаружи, там пишется про lync edge и о том что этому edge не нужен доступ к внутренним dns
    7 ноября 2011 г. 14:23
    Отвечающий
  • 2 Dmitriy Nikitin:

    Да там очепятка просто судя по всему:

    1. По конексту фраза "так же, как и для Эдж сервера, мы рекомендуем для Эдж сервера не давать доступа к внутреннему ДНС" лишена смысла.
    2. Следующее же предложение следует выводом из предыдущего и в нём сказано "This means you either need DNS servers in the perimeter, or you need HOST file entries on the reverse proxy that resolves each of these FQDNs to the internal IP address of the servers."
    3. Раздел посвящен конфигурированию TMG, не очень разумно писать в нём как настраивать Эдж.
    7 ноября 2011 г. 15:30
  • Пример публикации lync на tmg.

    http://ucmadeeasy.wordpress.com/2010/09/24/publishing-lync-server-2010-rc-simple-urls-and-web-components-with-forefront-tmg-2010/

    Просьба опубликовать ошибку полностью. Меня терзают смутные догадки, что публикаци идет по http.


    MCITP. Знание - не уменьшает нашей глупости.

    8 ноября 2011 г. 6:48
  • Публикацию я настраивал согласно официальному мануалу: http://technet.microsoft.com/en-us/library/gg429712.aspx с той лишь разницей, что у меня правил публикации два, а не всё в одом. Там в принципе то же самое, что и по вашей ссылке. Плюс я предполагаю, что если бы были ошибки в правилах публикации доступ бы не работал вообще, однако с первого же сервера всё обрабатыавается корректно. Проблема проявляет себя только на втором сервере.

    Ошибку опубликую позже, сейчас доступа нет к консоли.

    8 ноября 2011 г. 12:27
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    14 ноября 2011 г. 9:40