none
Хочу сделать массив из ISA 2006 Enterprise с NLB RRS feed

  • Вопрос

  • ...вот думаю с чего начать.

     

    Помогите кто чем может по этому вопросу. Что-то информации не встретил совсем как это делается. Хочу чтобы у меня было две физически разные ИСЫ и при выходе одной из строя - вторая работала

Ответы

Все ответы

  • А подскажите, пожалуйста, для настройки работы NLB на ISA - Windows Server 2003 должен быть Enterprise edition или Standard тоже подойдёт?
  • Насколько я помню - подойдет и SE.

    UPD: ссылка по теме: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/358b9815-3cd3-4912-a75a-cae85ea8d5ab.mspx?mfr=true

     

    Модератор
  • Windows Server 2003 поддерживает NLB во всех версиях http://www.microsoft.com/technet/windowsserver/evaluate/features/compare.mspx

    ISA 2006 подддерживает Integrated-NLB только в версии Enterprise http://www.microsoft.com/isaserver/prodinfo/features.mspx и Nonintegrated-NLB в версиях Enterprise и Standart.

    Модератор
  • Уважаемый sie в топике (http://forums.microsoft.com/technet-ru/ShowPost.aspx?PostID=1777446&SiteID=40) писал, что у него Integrated NLB не заработал на виртуальных интерфейсах (team, 802.3 ad). Это действительно так - исовый NLB не работает с виртуальными интерфейсами?

     

    Во всех мануалах (step-by-step), которые мне попадались по настройке NLB на ISA 2006 сервере сразу же все манипуляции начинались с ISA. Но ведь надо до того, как делать настройки на ISA сделать конфигурирование сетевых интерфейсов и может быть чего-то ещё. Подскажите, пожалуйста этапы реализации NLB?

     

    А ещё подкажите, пожалуйста, возможно ли перенести роль Configuration Storage Server содного сервера на другой? Т.е. у меня сейчас есть одни Configuration Storage Server, который стоит на сервере работой которого я недоволен - слишком много экспериментов ставил над ним и теперь он работает нестабильно - отваливается каждую неделю. Так вот могу я добавить в массив с этим Configuration Storage Server ещё один (новый) сервер, настроить NLB, а потом перенести роль Configuration Storage Server на новый сервер и старый сервер перезалить?

    26 июня 2007 г. 15:44
  •  pil123 написано:

    Во всех мануалах (step-by-step), которые мне попадались по настройке NLB на ISA 2006 сервере сразу же все манипуляции начинались с ISA. Но ведь надо до того, как делать настройки на ISA сделать конфигурирование сетевых интерфейсов и может быть чего-то ещё. Подскажите, пожалуйста этапы реализации NLB?

     

    Интерфейсы надо просто настроить. В смысле что бы работал TCP/IP. Ничего специального делать не надо c интерфейсами до тех пор, пока не появились проблемы с настройкой NLB.

     

     

     pil123 написано:

     

    А ещё подкажите, пожалуйста, возможно ли перенести роль Configuration Storage Server содного сервера на другой? Т.е. у меня сейчас есть одни Configuration Storage Server, который стоит на сервере работой которого я недоволен - слишком много экспериментов ставил над ним и теперь он работает нестабильно - отваливается каждую неделю. Так вот могу я добавить в массив с этим Configuration Storage Server ещё один (новый) сервер, настроить NLB, а потом перенести роль Configuration Storage Server на новый сервер и старый сервер перезалить?

     

    Настройка Configuration Storage Server никак не связана с NLB. Точнее CSS  должен работать по выделенным адресам, а не через NLB. Иначе репликация не будет работать как надо.

    Чтобы поднять второй CSS, надо запустить его инсталляцию и на вопрос визарда указать, что нужно реплицироваться с существующего CSS. На каждом ISA проверить какой CSS задан ему в качестве первичного, а какой в качестве вторичного. При необходимости поправить.

    27 июня 2007 г. 4:25
    Модератор
  • в случае, типовой установки ISA с двумя сетевыми интерфейсами (Internal, External), если делать NLB, то надо доставлять дополнительный сетевой интерфейс (типа для Intra-Array комуникаций) или Intra-Array коммуникации настраиваются без дополнительнго интерфейса на существующих двух?
    27 июня 2007 г. 9:33
  • Если NLB на Internal и на External, то по науке надо ставить. Да и вообще для связи компьютеров в массиве "по науке" нужна выделенная сеть (обычно vlan).
    27 июня 2007 г. 11:14
    Модератор
  • На моих ISA'х есть по шесть интерфейсов. Могу объединять их в Team, 802.3 ad, VLAN (могу не объединять). Как бы Вы сделали при этих исходных данных массив с NLB? NLB джен быть и на Internal и на External.
    27 июня 2007 г. 12:14
  •  sie написано:
    (обычно vlan).

    Отдельный VLAN надо нарезать на коммутаторах (портах), куда будет втыкаться Intra-Array комуникация? А нельзя ли это сделать без VLAN'ов, а просто назначить другую сеть: например, если компания сидит в сети 192.168.0.Х сделать для Intra-Array комуникации 192.168.100.Х и воткнуть безо всяких VLAN'ов в тот же коммутатор два патчкорда - один от одной ИСЫ в массиве, а второй - от другой ИСЫ?

    27 июня 2007 г. 12:19
  •  pil123 написано:
    На моих ISA'х есть по шесть интерфейсов. Могу объединять их в Team, 802.3 ad, VLAN (могу не объединять). Как бы Вы сделали при этих исходных данных массив с NLB? NLB джен быть и на Internal и на External.

     

    При таком количестве физических интерфейсов нет необходимости создавать Team и т.п. Просто работайте с физическими интерфесами:

    1. Internal
    2. External
    3. Inter-Array

     

     pil123 написано:

     sie написано:
    (обычно vlan).

    Отдельный VLAN надо нарезать на коммутаторах (портах), куда будет втыкаться Intra-Array комуникация? А нельзя ли это сделать без VLAN'ов, а просто назначить другую сеть: например, если компания сидит в сети 192.168.0.Х сделать для Intra-Array комуникации 192.168.100.Х и воткнуть безо всяких VLAN'ов в тот же коммутатор два патчкорда - один от одной ИСЫ в массиве, а второй - от другой ИСЫ?

     

    Inter-Array выделяют в отдельный сегмент для:

    1. для обеспечения безопасности, т.к. этот трафик служебный и в некоторых случаях порты совсем незащищены!
    2. надежности

    Если у вас только пара ISA, то Inter-Array интерфейсы можно соединить напрямую кросс-пачкордом. А если через коммутатор, то лучше все же отдельный Vlan (отдельная сеть и свои адреса) по выше указанным причинам.

     

    28 июня 2007 г. 2:46
    Модератор
  •  sie написано:
    При таком количестве физических интерфейсов нет необходимости создавать Team и т.п. Просто работайте с физическими интерфесами:
    1. Internal
    2. External
    3. Inter-Array.

      Получается, что три других сетевых интерфейса (всего их 6) будут простаивать?

       

       sie написано:
      Inter-Array выделяют в отдельный сегмент для:
      1. для обеспечения безопасности, т.к. этот трафик служебный и в некоторых случаях порты совсем незащищены!
      2. надежности

      Если у вас только пара ISA, то Inter-Array интерфейсы можно соединить напрямую кросс-пачкордом.

      Спасибо за подсказку - скорее всего так и сделаю.
      28 июня 2007 г. 5:52
    1.  pil123 написано:

      Получается, что три других сетевых интерфейса (всего их 6) будут простаивать?

       

       

      Возможно пригодятся для подключения других сегментов. Например DMZ.

      29 июня 2007 г. 4:11
      Модератор
    2. Появился такой  вопрос. Вот я  настроил  Массив  из трех серверов ( CSS + 2*ISA EE ), Что теперь писать  клиентам для доступа ?
      Как  будет работать FWC ? В настройках есть возможность  выбрать  первичное подключение....

      Автоматически  будет работать в  режиме NLB кластера и распределять нагрузку  (по какому принципу?)и есть ли возможность  настроить  работу  только на одном сервере,а  при падении автоматически переключать на другой  ?
      24 марта 2009 г. 13:43
    3. Настройка FWC
      Конфигурирование NLB для Enterprise edition
      Администрирование массива ISA server 

      Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
      • Изменено Aleksey Potapov 24 марта 2009 г. 13:55 доплнение
      • Предложено в качестве ответа Aleksey Potapov 24 марта 2009 г. 13:55
      • Помечено в качестве ответа Nikita PanovModerator 21 сентября 2009 г. 12:15
      24 марта 2009 г. 13:52
    4. Aleksey Potapov
      Начнем с первого, в мануале по FWC говорят:

      "For ISA Server 2006 Enterprise Edition, expand Microsoft Internet Security and Acceleration Server 2006, expand Arrays, expand Array_Name, expand Configuration and then click Networks."

      Хорошо, задаю разрешение на автодискавери. Затем иду в  закладку: "Firewall Client" и тут я могу выбрать настройки для "Firewall client configuration" . Я так понимаю, что  это выбирайтся  дефолтный маршрут, т.к. пишут "Select the server used for primary route" Выбираю к примеру "Узел1". На оба сервера настройки среплицировались, значит испольпользуют одну конфигурацию с  CSS.
      -Что  это нам дает?
      -для  FWC использую запись WPAD. На какой сервер ее привязывать, тот который значится в  "Select the server used for primary route" ?

      Если же я  не выбираю "Enable network Load Balancing integration"  , то как оба  сервера  будут работать ?

      Дополнение: Я так понимаю VIP используется  для объединения нескольких серверов  под 1 IP ? Прописываю его во WPAD. Работает.
      Глушу "сервер по умолчанию" и FWC отваливается. Что не так делаю ?
      24 марта 2009 г. 14:29
    5. Да, Virtula ip address используется именно для этой цели.
      Для FWC необходимо указывать VIrtual IP Address
      Настоятельно рекомендую ознакомится с инфомацией, которая  находится тут.
      Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
      24 марта 2009 г. 18:15
    6. Для меня вопрос так и остался открытым. При выключении хоста с ID2, хост с ID3 не обслуживает запросы. WPAD запись опубликовал на IP массива, но если в FWC указать имямассива.домен.локал, а потом нажать кнопку Detect Now, то он вернёт имяхостасid2.домен.локал
      И ещё ну никак не могу найти на вкладке Firewall Client в свойствах Internal network поле Select the server for Primary Route.

      И это при том что запросы вовне распределяются, т.е. идут то через один, то через другой сервер.

      25 марта 2009 г. 10:47
    7. Видимо Вы всё-таки и не читали....
      И так: 
      В любом случае, если вклюен NLB, то запросы будут распределятся равномерно между серверами. В слчае падения одно из них, все запросы будет обрабатывать оставшиймся включенным сервер массива.
      А в ДНС у Вас кто указан под  IP адресом массива ?
      http://technet.microsoft.com/en-us/library/bb794864.aspx
      Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
      25 марта 2009 г. 11:45
    8. Имя массива
      25 марта 2009 г. 12:07
    9.  WPAD вот по инструкциям опубликуйте.
      Тоесть в итоге должно быть указано имя массива.
      Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
      25 марта 2009 г. 12:24
    10. В DNS у меня всё настроено по статьям из библиотеки Technet.
      Немного разобрался... Я при настройке свойств для FWC повёлся на кнопку Browse. Не прибегая к ней забил в поля имя массива. Всё работает корректно.  Теперь в конце дня попробую хост с ID2 отключить. О результатах сообщу.
      25 марта 2009 г. 12:34
    11.  Вобщем, как я и предполагал, всё заработало.
      25 марта 2009 г. 20:07
    12.  Отлично!

      Завершите обсуждение.


      Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
      25 марта 2009 г. 20:09
    13. Тестировал  в конфигурации с севером CSS и двумя ISA. Работает вроде нормально. Но появилось некоторые непонятки. Для начала:
      -если отключить  из сети CSS сервер, то получаем  неуправляемые клиенты, но как показала практика правила продолжают работать .... ( или нет ? )
      -Что будет если сервер с CSS умрет, как  тогда восстанавливать структуру ?
      -При установке есть  возможность совместить сервер CSS и ISA в один сервер, при установке второго нода, есть возможность  создать реплику. Не понял как работает данный алгоритм, по сути  конфиг. база хранится  на  одном  из двух серверов, при  этом есть ( вроде бы) ее реплика  на другом, но не рабочае  ( или как ) ?
      - Кто отвечает за  лоад балансинг ? CSS или самы  фаерволы ?

      п.с. меня  тоже сначала смутило, что в  Internal нужно выбрать  один из  двух сервров ....
      25 марта 2009 г. 21:05