Início > Fore Front TMG 2010, Hyper-V, Windows Servers/Hyper-V > Forefront TMG em NLB com Hyper-V

Forefront TMG em NLB com Hyper-V

Saudações,

Apesar do anúncio de descontinuação do Forefront TMG, muitos clientes continuam acreditando no produto. Prova disso é que na consultoria onde trabalho temos diversos projetos de implementação do TMG para diversos clientes, além daqueles que usam o ISA Server e já querem migrar.

Alguns desenhos já foram entregues, aprovados e aguardam a liberação para inicio das atividades.

Estou atuando em dois projetos distintos. Um deles começa a ser implementado amanhã (22/11/2012) e o outro já está pronto e aguarda apenas liberação do cliente para coloca-lo em produção definitivamente.

Sobre este segundo projeto, gostaria de compartilhar alguns detalhes:

Foram instalados dois servidores Forefront TMG e um servidor com o Enterprise Management Server (EMS).

Para cada node do TMG temos 3 discos separados para as funções do SO + TMG, Log e Cache. Dessa forma corrigimos um problema na infra atual que usa todos esses serviços no mesmo disco.

O último item, e o que mais nos intrigou a parte em que implementamos o NLB (Network Load balance). A principio, fiz a configuração no modo Multicast, mas, por conta de um router que não é de administração de nossa consultoria, tivemos que repensar essa configuração (segundo os responsáveis por esse router, não era possível cadastrar estaticamente o MAC Address do IP NLB).

Após análises sugerimos ao cliente que a configuração fosse alterada para o padrão Unicast. Esse padrão não é o mais recomendado para grandes ambientes, mas, como o cliente exigia o balanceamento de carga, levamos o mesmo em consideração.

Após alterar no TMG este padrão, vi que os nodes pararam de se comunicar. Como não havia mais nada a ser visto no TMG, passamos a analisar os hosts físicos. Os nodes TMG são guest’s de uma infra estrutura de cluster em Windows Server 2008 R2 com hyper-v.

Sabemos que, para implementação de Guest’s com NLB, é necessário seguir algumas recomendações que podem ser encontradas em um post publicado pela equipe do Forefront TMG no link abaixo:

http://blogs.technet.com/b/isablog/archive/2009/12/22/how-to-get-nlb-to-work-with-forefront-tmg-when-running-in-hyper_2d00_v.aspx

Segundo o post, é necessário fixar o MAC Address nas propriedades da placa de rede onde o NLB será habilitado e selecionar a opção “Enable spoofing of MAC Addresses” (vc pode ter maiores detalhes no link acima).

Após essas alterações, verifiquei que, o problema entre os nodes persistia. Chegamos a forçar o MAC Address gerado pelo NLB do IP Virtual, mas, o problema persistia).

Para saber qual é o MAC Address do IP virtual, vá no prompt do DOS com privilégios administrativos e digite o comando abaixo:

nlb ip2mac “ip_virtual” – onde “ip_virtual” é o IP de NLB que você definiu. Vocë terá um resultado igual ao da imagem abaixo:

image

Na imagem acima se vë os MAC’s gerados para Unicast, Multicast e IGMP Multicast. Vocë deve utilizar aquele que corresponde ao padrão definido na configuração do NLB.

Como as alterações feitas não resolveram o problema, fiz uma última tentativa de remover a opção “Enable spoofing of MAC Addresses” e manter os MAC das placas de rede (excluindo o MAC do NLB), conforme imagem abaixo:

hyperv

Após essas alterações os nodes começaram a se comunicar e o acesso via IP de balanceamento ocorreu perfeitamente. A única dúvida que me restou foi o porque de o ambiente só funcionar de forma diferente a descrita nas documentações oficiais.

Então o que me restou aqui é pedir aos leitores deste blog que tenham bom expertise em Hyper-V que me respondam o porque deste comportamento e se o procedimento acima pode ser melhorado.

Espero que este post possa ser útil e ajudar a quem passa pelo mesmo problema.

Antes de encerrar, queria compartilhar um link que aponta para um abaixo assinado online que será enviado a Microsoft Corp pendindo que reconsiderem a viabilidade de atualizar e manter o Forefront TMG, já adequado ao Windows Server 2012. Já divulguei essa petição nos meus perfis do Twitter, Facebook e Linkedin e gostaria de inserir aqui também, pedindo que os leitores assinem. Segue abaixo o link:

http://www.change.org/petitions/microsoft-corp-renew-forefront-tmg-development?utm_campaign=twitter_link&utm_medium=twitter&utm_source=share_petition

Uilson

  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: