Microsoft TMG 高可用性不起作用
我在獨立陣列中設置了兩台 Threat Management Gateway Enterprise 伺服器,用於經過身份驗證的 Web 代理。我可以驗證 NLB 是否正常工作,但是當我重新啟動陣列管理器 tmgA 時,tmgB 不會按照我的理解維護經過身份驗證的 Web 代理。據我了解,它應該使用與陣列管理器同步的配置的最後一個記憶體副本來維護 Web 代理。兩台伺服器均使用單個網路適配器拓撲設置。我確定我在這裡忘記了一些有用的配置資訊。非常感謝任何幫助使故障轉移正常工作。謝謝!
您可以通過以下一種或多種方式從 TMG 獲得更好的可用性:
- Web 代理自動檢測
- 網路負載平衡
- DNS 資源管理器
WPAD
即使關閉了自動發現,陣列中的 TMG 框也會保持更新的 wpad.dat。該文件包含陣列中所有節點的列表、本地名稱或 ip 排除項等,根據相關網路屬性對話框、Web 瀏覽器選項卡(和相關選項卡)上的設置。使用的算法是 CARP 的客戶端實現,如果使用的代理沒有響應,這包括故障轉移機制。
要使用它,您需要配置客戶端以使用(以及您的網路以支持)WPAD 自動檢測,或者如果這很難,請將它們明確指向自動配置 URL http://proxy:8080/wpad.dat。NLB IP 很好;專用 IP 或名稱就可以了。
預設文件格式包括每個節點的IP地址,每個節點可能是其他節點的備份,所以如果連接.1失敗,可能會嘗試.2相同的URL。您可以通過這種方式獲得“鬆散”的可用性,只需使用腳本,而不涉及 NLB,具體取決於客戶端行為。
網路負載平衡
陣列中的每個節點都有一個專用 IP 地址(專用即唯一 IP 應該是為陣列內通信指定的 IP,以及 NIC 屬性->IPV4 中列出的第一個 IP),但每個節點也共享任何虛擬 IP 地址與所有其他節點。
將客戶端指向 NLBIP:8080 意味著當一個節點發生故障時,客戶端將在 NLB 重新收斂後連接到另一個節點。
NLB 僅提供盒死故障轉移,使用集成 NLB 意味著當 TMG 停止節點上的防火牆服務時,它也有助於同時關閉 NLB,以便節點停止嘗試接受傳入流量。
DNS 循環
可用性的最差解決方案,但除非名稱與重要內容重疊,否則不會受到傷害。
這如何影響問題
您的客戶端應配置為:
- 顯式代理,針對代理的虛擬(共享)IP,埠 8080(假設您沒有更改預設值),繞過本地(和排除列表)
或者
- 自動檢測(WPAD 指向http://VIP/wpad.dat)
或者
- 自動配置腳本,http://vip:8080/wpad.dat
然後,當一個節點關閉時,其他節點應該仍然是客戶端可訪問的,並且應該仍然可以工作。
如果這不是您的問題,則需要對其進行故障排除。