Назад | Перейти на главную страницу

Высокая доступность Microsoft TMG не работает

У меня есть два сервера Threat Management Gateway Enterprise, настроенные в виде отдельного массива для аутентифицированного веб-прокси. Я могу проверить, что NLB работает, но когда я перезапускаю tmgA, который является менеджером массива, tmgB не поддерживает аутентифицированный веб-прокси, как я понимаю, должен. Насколько я понимаю, он должен поддерживать веб-прокси, используя последнюю кэшированную копию конфигурации, которую он синхронизировал с диспетчером массивов. Оба сервера настроены с использованием топологии с одним сетевым адаптером. Я уверен, что забываю здесь полезную информацию о конфигурации. Любая помощь в восстановлении работоспособности при отказе приветствуется. Спасибо!

Вы можете повысить доступность в TMG одним или несколькими из следующих способов:

  • Автоопределение веб-прокси

  • Балансировка сетевой нагрузки

  • DNS RR

WPAD

Блоки TMG в массиве поддерживают обновленный файл wpad.dat, даже если автоматическое обнаружение отключено. Этот файл содержит список всех узлов в массиве, локальное имя или исключения IP и т. Д. В соответствии с настройками в соответствующем диалоговом окне свойств сети на вкладке веб-браузера (и связанных вкладках). Используемый алгоритм является реализацией CARP на стороне клиента и включает механизм аварийного переключения, если используемый прокси не отвечает.

Чтобы использовать это, вам необходимо настроить клиентов на использование (и вашу сеть для поддержки) автоопределения WPAD, или, если это сложно, явно указать их на URL автоконфигурации http: // прокси: 8080 / wpad.dat. IP-адрес NLB в порядке; выделенный IP или имя в порядке.

Формат файла по умолчанию включает IP-адреса каждого узла, и каждый узел может быть резервной копией для каждого другого узла, поэтому, если соединение с .1 не удается, .2 можно попробовать для того же URL. Таким образом, вы получаете «свободную» доступность, просто используя сценарий, без участия NLB, в зависимости от поведения клиента.

Балансировка сетевой нагрузки

Каждый узел в массиве имеет выделенный IP-адрес (и выделенный, то есть уникальный IP-адрес должен быть тем, который указан для связи внутри массива, и первым IP-адресом, указанным в свойствах NIC-> IPV4), но каждый узел также разделяет любые виртуальные IP-адреса со всеми остальными узлами.

Указание клиента на NLBIP: 8080 означает, что при выходе из строя одного узла клиент подключится к другому узлу после повторного схождения NLB.

NLB обеспечивает только отказоустойчивое переключение, а использование интегрированного NLB означает, что когда TMG останавливает службу межсетевого экрана на узле, он также одновременно с этим полезно отключает NLB, так что узел перестает пытаться принимать входящий трафик.

Циклический перебор DNS

Худшее решение с точки зрения доступности, но не повредит, если только название не перекликается с чем-то важным.

Как это влияет на вопрос

Ваши клиенты должны быть настроены либо для:

  • Явный прокси, нацеленный на виртуальный (общий) IP прокси, порт 8080 (при условии, что вы не изменили значение по умолчанию), обход для локального (и список исключений)

или

или

Затем, когда один узел выключен, остальные должны быть доступны для клиентов и работать.

Если это не ваша проблема, вам необходимо устранить ее.