Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Tmg, Répartiteur de charges, Exchange 200X : Problématiques de basculement

Posted by Teruin laurent sur septembre 23, 2010


Dans un article précédent (https://unifiedit.wordpress.com/2010/08/18/exchange-2010-plaidoyer-pour-les-repartiteurs-de-charges-materiels/), j’avais préconisé l’usage de répartiteur matériel. Je vous rassure je n’ai pas changé d’avis. Mais je me permets de revenir vers vous vis-à-vis d’une problématique que vous allez rencontrer si vous envisager de mettre en place des HLB (Répartiteurs de charge matériels) vers des serveurs reverse proxy TMG, ISA ou autre. Dans le cas où vous envisagez de mettre un site de secours (DRP) comme le précise la figure suivante plusieurs règles seront à établir.


Dans un premier temps, il faudra définir votre site Actif et votre site passif et définir les règles de basculement. Dans la plupart des cas on paramétrera les HLB pour qu’ils vérifient la présence du service de publication Exchange via des ports classiques comme 80/TCP et 443/TCP sur les serveurs Reverse Proxy. Dans le cas où ces ports ne répondent pas, alors le HLB du site primaire devra basculer le flux vers le second serveur ISA/TMG du site distant. Si vous n’allez pas plus loin vous vous apercevrez rapidement que votre HLB ne basculera jamais les flux vers le site de secours pour la bonne et simple raison que même si les services CAS sont arrêtés les serveurs proxy continuent à écouter sur les ports 80/443 et par conséquent votre HLB ne détectera pas la panne. Il vous faudra donc allez plus loin et analyser le type de page retournée pour vérifier que celle-ci correspond bien à celle d’un OWA. Mais pour cela ….. il faudra vous connectez via le HLB avec un compte AD autorisé.
Par contre la bonne question à vous poser c’est quel type d’authentification votre HLB supporte-t-il ? Car comme vous l’aurez deviné l’authentification que va vous proposer votre ISA ou TMG Server est une authentification de type FBA (Authentification par formulaire) .Un beau formulaire de type html dans lequel votre HLB devra rentrer ces coordonnées pour vérifier si votre serveur CAS répond convenablement. Je sais que la crème des Load Balancer savent le faire (Ex : F5 BigIP), mais avant de vous lancer dans l’achat effréné d’une solution bon marché mieux vaut vérifier.
Une autre solution consiste à monitorer directement le serveur CAS via le HLB. Cela impliquera de mettre votre HLB dans plusieurs zones (DMZ/LanInterne) et de conditionner le basculement vers le serveur TMG/ISA/Reverseproxy de secours a la non réponse du serveur CAS du site primaire. Ça aussi il faudra vérifier que cela est possible dans la solution HLB envisagée.
Enfin il existe une troisième solution si votre Load Balancer ne sait pas faire ce genre d’exercices c’est de confier le basculement de vos services CAS à votre reverse proxy ISA/TMG en les déclarant via une ferme.

Conclusion : le choix d’un HLB doit se faire non pas uniquement sur le prix mais également vis-à-vis de ce vous escomptez lui faire faire.
Cordialement
Laurent Teruin
Questions / Réactions : unifiedit@hotmail.fr

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :