Archive

Posts Tagged ‘TMG NLB BDA Forefront afinidade bi direcional Publishing’

TMG – NLB – Bi Directional Affinity ( BDA ) – Afinidade Bi Direcional

Considere o Ambiente abaixo com um Array com 2 Servidores TMG e com NLB configurado somente para a rede interna.

Ambiente
—————————————-

Nesse caso, o cliente estava utilizando os 2 nós do array para publicar um único servidor SMTP na rede interna.

O Servidor SMTP estava publicado na internet com os IPs 200.200.200.1 no TMG01 e 200.200.200.2 no TMG02.

O balanceamento havia sido feito no DNS, configurando o MX para os IPs 200.200.200.1 e 200.200.200.2 conforme descrito no link abaixo:

http://www.zytrax.com/books/dns/ch9/rr.html#mail

Problema:
———————————–

– Foi publicado o servidor SMTP com uma regra recebendo os dois IPs válidos, um em cada servidor TMG, quando tentávamos o aceso por um ip funcionava corretamente, quando tentávamos refazer o mesmo teste usando o outro ip publicado ele não aceitava, ficava aguardando e depois apresentava o com o erro abaixo no log do servidor TMG:

Failed Connection Attempt
Log type: Firewall servisse
Status: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

– Não era possível se conectar no servidor SMTP utilizando-se os 2 IPs externos. Ou funcionava um ou outro.

Resolução:
—————————————-

– Olhando a regra de publicação, na aba “TO” a opção “Requests appear to come from the original client” estava selecionada.

– Alteramos essa opção para “Requests appear to come from the ISA Server computer”.

– Após essa alteração, conseguimos nos conectar com sucesso em ambos os IPs externos.

– Com isso, aparentemente o caso havia sido resolvido.
– Estavamos conseguindo conectar no servidor SMTP utilizando os dois IPs, passando pelos 2 TMGs. Mas o servidor que estava sendo publicado era um SMTP Server. Os servidores SMTP precisam saber o IP de origem da conexão para fazer consulta do DNS Reverso .
– Por esse motivo, não seria possível manter a opção “Requests appear to come from the ISA Server computer”.

– Quando a opção “Requests appear to come from the ISA Server computer” está marcada, o TMG envia a requisição para o servidor SMTP com o IP dele. Com isso, quando o servidor SMTP responde para o VIP, o mecanismo do NLB sabe identificar de qual nó o trafego veio e envia a resposta para o nó correto.

– A opção “Requests appear to come from the original client” não funciona quando temos NLB em uma única interface do TMG. Abaixo segue a explicação:

– Quando uma requisição é realizada por um cliente externo, um dos nós do TMG irá se encarregar de encaminhar essa requisição para o servidor SMTP na rede interna. Essa requisição chega ao servidor SMTP com o IP do cliente que fez a requisição.
– Quando o Servidor SMTP responde essa requisição, ele envia para o gateway cadastrado na placa de rede (nesse caso é o VIP do NLB).
– O problema ocorre quando a requisição externa é feita para o TMG01 e na resposta do SMTP Server, o NLB (que não sabe de qual nó a conexão foi iniciada pois o endereço de destino é externo) encaminha esse pacote para o TMG02. Isso faz com que a conexão seja quebrada.

– Para resolver esse problema, precisamos que as conexões em ambas as direções passem pelo mesmo TMG. A única maneira de fazer isso, é configurar as placas externas do TMG em NLB.

– Com o NLB configurado na placa Interna e externa, temos a afinidade Bi-Direcional.

– Essa afinidade bi-direcional, garante que a requisição e a resposta passem pelo mesmo nó do array fazendo que seja possível se conectar por ambos os IPs externos.

———————————————————————–

Nos artigos abaixo, é muito bem descrito o funcionamento do NLB BDA.

http://blogs.technet.com/b/isablog/archive/2008/03/12/bi-directional-affinity-in-isa-server.aspx

http://www.isaserver.org/articles/2004nlbbdarevisted.html

———————————————————————————————-

Renato Marson Pagan