我有两个威胁管理网关企业服务器,它们被设置在一个独立阵列中,用于经过身份验证的 Web 代理。我可以验证 NLB 是否正常工作,但当我重新启动 tmgA(即阵列管理器)时,tmgB 并没有像我所理解的那样维护经过身份验证的 Web 代理。据我所知,它应该使用与阵列管理器同步的配置的最后一个缓存副本来维护 Web 代理。两个服务器都使用单网络适配器拓扑进行设置。我肯定我忘记了一些有用的配置信息。任何帮助使故障转移正常工作的帮助都将不胜感激。谢谢!
答案1
您可以通过以下一种或多种方式从 TMG 获得更好的可用性:
Web 代理自动检测
网络负载平衡
DNS RR
WPAD
即使自动发现功能已关闭,阵列中的 TMG 盒也会维护更新的 wpad.dat。此文件包含阵列中所有节点的列表、本地名称或 IP 排除项等,具体取决于相关网络属性对话框中的 Web 浏览器选项卡(和相关选项卡)上的设置。使用的算法是 CARP 的客户端实现,如果使用的代理没有响应,则包括故障转移机制。
要使用此功能,您需要配置客户端以使用(以及您的网络以支持)WPAD 自动检测,或者如果这很难,请明确将它们指向自动配置 URLhttp://代理:8080/wpad.dat。NLB IP 即可;专用 IP 或名称也可。
默认文件格式包括每个节点的 IP 地址,每个节点可能是其他每个节点的备份,因此如果与 .1 的连接失败,则可能会尝试使用相同的 URL 连接 .2。这样,您只需使用脚本即可获得“松散”的可用性,而无需 NLB 参与,具体取决于客户端行为。
网络负载平衡
阵列中的每个节点都有一个专用的 IP 地址(并且专用的即唯一的 IP 应该是指定用于阵列内通信的 IP,也是 NIC 属性->IPV4 中列出的第一个 IP),但每个节点也与所有其他节点共享任何虚拟 IP 地址。
将客户端指向 NLBIP:8080 意味着当一个节点发生故障时,在 NLB 重新收敛后,客户端将连接到另一个节点。
NLB 仅提供机箱死机故障转移,使用集成 NLB 意味着当 TMG 停止节点上的防火墙服务时,它也会同时关闭 NLB,以便该节点停止尝试接受传入流量。
DNS 循环
对于可用性而言,这是最糟糕的解决方案,但除非名称与某些重要内容重叠,否则不会造成损害。
这对问题有何影响
您的客户端应配置为:
- 显式代理,针对代理的虚拟(共享)IP、端口 8080(假设您没有更改默认值)、绕过本地(和排除列表)
或者
- 自动检测(WPAD 指向http://VIP/wpad.dat)
或者
- 自动配置脚本,http://vip:8080/wpad.dat
然后,当一个节点关闭时,其他节点仍然可以供客户端访问,并且仍然可以工作。
如果这不是您的问题,您需要进行故障排除。