none
Как полностью исключить из DAG один из сетевых адаптеров? RRS feed

  • Общие обсуждения

  • Добрый день.

    Есть 2 сервера собранных в DAG, в каждом из серверов по 2 сетевых адаптера, один из этих адаптеров используется для доменной сети и в DAG указан как сетевой адаптер как для mapi так и для траффика репликации, другой же будет использоваться только для внешней сети и на нём должны быть закрыты файерволом все порты кроме портов для протоклов http\https, smtp, pop3, imap. Но как только я включаю файервол, то DAG разваливается, в failover cluster manager появляются ошибки что кластер не может получить доступ к witness. При этом если в firewall добавить в разрешенные сеть apipa адресов 169.254.0.0/16, то проблемы с кластером исчезают.

    Вторая сетевая карта исключена из DAG, в этом можно убедиться посмотрев вывод команды:

    Get-DatabaseAvailabilityGroupNetwork | fl

    в выводе команды для этой сети указано

    IgnoreNetwork      : True

    В failover cluster manager также сеть отображается как failover cluster use:none

    Посмотрев ipconfig /all удалось выяснить что apipa адрес назначен для

    Microsoft Failover Cluster Virtual Adapter, который конфигурируется автоматически при создании кластера.

    Можно ли сделать так чтобы Microsoft Failover Cluster Virtual Adapter не использовал определенный интерфейс?

    26 марта 2018 г. 8:41

Все ответы

  • Добрый день. 
    Опишите суть задачи подробнее.
    Из этого

    ' другой же будет использоваться только для внешней сети и на нём должны быть закрыты файерволом все порты кроме портов для протоклов http\https, smtp, pop3, imap. '

    мы верно понимаем, что вы на работающий в секторе сети LAN DAG хотите подать отдельно внутренний/внешний доступ к сервисам CAS, по отдельным сетевым адаптерам?
    26 марта 2018 г. 9:02
  • Да, абсолютно верно. Мы хотим использовать отдельный сетевой адаптер для доступа извне к сервисам CAS (http\https pop3, imap, smtp). Этому адаптеру назначен выделенный внешний ip-адрес. Конфигурация не предполагает использования EDGE или же firewall\proxy перед сервером. Поэтому на этом сетевом адаптере должен быть включен firewall.
    26 марта 2018 г. 9:10
  • Аналогичная задача, только про бэкапы.
    'However, Microsoft specifially states that you CANNOT separate traffic to the DAG on separate network. This is not recommended by Microsoft.'
    Насколько я в курсе, DAG будет автоматически использовать вторые адаптеры для replication/heartbeat network.
    Поэтому при закрытии файрволом - кластер сразу разваливается.

    Как это запретить - самому интересно узнать.
    26 марта 2018 г. 9:24
  • А у Вас случаем нигде ручками апипа больше не назначена?
    26 марта 2018 г. 11:34
  • Нет, APIPA адрес назначен только скрытому тунельному адаптеру, который не отображается в сетевых адаптерах панели управления. 

    Подробнее об этом виртуальном адаптере сказано здесь:

    https://blogs.technet.microsoft.com/askcore/2009/02/13/what-is-a-microsoft-failover-cluster-virtual-adapter-anyway/

    26 марта 2018 г. 14:19
  • Есть 2 сервера собранных в DAG, в каждом из серверов по 2 сетевых адаптера, один из этих адаптеров используется для доменной сети и в DAG указан как сетевой адаптер как для mapi так и для траффика репликации, другой же будет использоваться только для внешней сети и на нём должны быть закрыты файерволом все порты кроме портов для

    Знатная наркомания.

    А ничего, что есть рекомендация от продуктовой группы- не использовать файерволл между серверами?

    Расскажите, какая стоит задача? Публикация сервиса? Так на то есть Web application proxy например. Убирайте второй адаптер и делайте нормальную публикацию

    27 марта 2018 г. 16:05