12
Watchguard - internes Load Balancing über 2 Subnetze
Hallo Zusammen,
ich stehe gerade auf dem Schlauch und hoffe Ihr könnt mir weiterhelfen.
Wir möchten für unser Unternehmen gerne zwei 2016er-Exchangeserver mit DAGs an zwei unterschiedlichen Standorten aufstellen und nach Möglichkeit diese über einen Loadbalancer ansteuern. Unsere Watchguard M300 liefert zwar einen LB mit, der funktioniert aber nur mit den lokalen und nicht mit den VPN-verbundenen Subnetzen. Füge ich hier eine Adresse eines fremden Subnetzes hinzu wird der Server einfach ignoriert, versuche ich es mit dem System Manager schmeißt er mir sogar eine Fehlermeldung raus, dass er das fremde Netz nicht akzeptiert.
Gibt es hier einen Kniff mit dem das Ganze realisiert werden könnte? Oder muss ich hier auf eine externe Lösung ausweichen? Es geht hier nicht um High Performance sondern lediglich um eine Absicherung im Fall der Fälle.
Vielen Dank schon mal im Voraus.
VG Michl
ich stehe gerade auf dem Schlauch und hoffe Ihr könnt mir weiterhelfen.
Wir möchten für unser Unternehmen gerne zwei 2016er-Exchangeserver mit DAGs an zwei unterschiedlichen Standorten aufstellen und nach Möglichkeit diese über einen Loadbalancer ansteuern. Unsere Watchguard M300 liefert zwar einen LB mit, der funktioniert aber nur mit den lokalen und nicht mit den VPN-verbundenen Subnetzen. Füge ich hier eine Adresse eines fremden Subnetzes hinzu wird der Server einfach ignoriert, versuche ich es mit dem System Manager schmeißt er mir sogar eine Fehlermeldung raus, dass er das fremde Netz nicht akzeptiert.
Gibt es hier einen Kniff mit dem das Ganze realisiert werden könnte? Oder muss ich hier auf eine externe Lösung ausweichen? Es geht hier nicht um High Performance sondern lediglich um eine Absicherung im Fall der Fälle.
Vielen Dank schon mal im Voraus.
VG Michl
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 363609
Url: https://administrator.de/contentid/363609
Printed on: April 24, 2024 at 10:04 o'clock
12 Comments
Latest comment
Hallo Michl,
wie soll die Watchguard denn ein LB über zwei Standorte machen? Das geht schon rein logisch nicht.
Ansatz wäre dynamische SRV Records, ein externe LB (SPOF) oder ein entsprechender Proxy
VG
wie soll die Watchguard denn ein LB über zwei Standorte machen? Das geht schon rein logisch nicht.
Ansatz wäre dynamische SRV Records, ein externe LB (SPOF) oder ein entsprechender Proxy
VG
Naja,
klassisches Loadbalancing wäre das natürlich nicht. War eben nur mein erster Lösungsansatz das ich mit der Funktion an mein gewünschtes Ziel komme.
Im Falle einer Nichterreichbarkeit von Server A soll eben Server B angesprochen werden der eben an einem anderen Standort steht. Aber wenn das so nicht möglich ist, dann muss das eben doch extern gelöst werden.
VG Michl
klassisches Loadbalancing wäre das natürlich nicht. War eben nur mein erster Lösungsansatz das ich mit der Funktion an mein gewünschtes Ziel komme.
Im Falle einer Nichterreichbarkeit von Server A soll eben Server B angesprochen werden der eben an einem anderen Standort steht. Aber wenn das so nicht möglich ist, dann muss das eben doch extern gelöst werden.
VG Michl
Moin,
geht's dir um den Empfang von Mails "von extern"? Dann würde ich das eher über einen 2ten MX Record lösen. Prio 1 zeigt auf HQ, Prio 2 zeigt auf Aussenstelle.
lg,
Slainte
geht's dir um den Empfang von Mails "von extern"? Dann würde ich das eher über einen 2ten MX Record lösen. Prio 1 zeigt auf HQ, Prio 2 zeigt auf Aussenstelle.
lg,
Slainte
Nein, es geht darum, dass die Webdienste OWA etc. verfügbar bleiben.
Die MX-Records sind klar.
VG Michl
Die MX-Records sind klar.
VG Michl
Hallo Michl,
Viele Grüße,
Dani
Unsere Watchguard M300 liefert zwar einen LB mit, der funktioniert aber nur mit den lokalen und nicht mit den VPN-verbundenen Subnetzen.
bist du dir absolut sicher, dass es sich bei der Funktion wirklich um einen LB handelt, wie man es kennt. Ich vermute aktuell eher etwas wie ReverseProxy. Was ich mir auch noch vorstellen könnte, dass LB bezieht auf mehrere Interleitungen.Oder muss ich hier auf eine externe Lösung ausweichen?
Alternativ schau dir die kostenloses Lösung von Zevenet an. Je nachdem wie viele Mailboxen es sind, reicht dies aus.Viele Grüße,
Dani
Moin,
Oder wechselt du es mit Service Connection Point (SCPs)? Die könnte man manuell ändern. Aber das ist so ne Sache...
Gruß,
Dani
wie soll die Watchguard denn ein LB über zwei Standorte machen? Das geht schon rein logisch nicht.
Da kann ich dir nicht ganz folgen. Warum soll dies nicht gehen?Ansatz wäre dynamische SRV Records
Dynmaische SRV Records? Höre ich heute das erste Mal. Wie funktioniert das?Oder wechselt du es mit Service Connection Point (SCPs)? Die könnte man manuell ändern. Aber das ist so ne Sache...
Gruß,
Dani
Hallo Dani,
also bei der Watchguard wird von LB gesprochen....auch in der Doku ist der Rede vom klassischen LB. Ich kanns WAN wie auch LAN-seitig konfigurieren.....und es funktioniert auch, solange ich IP-Adressen verwende die aus dem gleichen Subnetz sind. Binde ich aber eine Adresse ein die in einem VPN-angebundenen Subnet liegt meckert er, bzw. spricht den Server gar nicht an.
Ich schau mir die Lösung von Zevenet mal an, danke. Wollte aber eigentlich vermeiden nochmal extra was administrieren zu müssen.
VG Michl
also bei der Watchguard wird von LB gesprochen....auch in der Doku ist der Rede vom klassischen LB. Ich kanns WAN wie auch LAN-seitig konfigurieren.....und es funktioniert auch, solange ich IP-Adressen verwende die aus dem gleichen Subnetz sind. Binde ich aber eine Adresse ein die in einem VPN-angebundenen Subnet liegt meckert er, bzw. spricht den Server gar nicht an.
Ich schau mir die Lösung von Zevenet mal an, danke. Wollte aber eigentlich vermeiden nochmal extra was administrieren zu müssen.
VG Michl
Hallo Michl,
Denn schließlich soll es hinterher evtl. noch entstört werden bei Problemen.
Gruß,
Dani
Wollte aber eigentlich vermeiden nochmal extra was administrieren zu müssen.
in diesem Fall mach doch einen Support Case auf. Denn schließlich soll es hinterher evtl. noch entstört werden bei Problemen.Gruß,
Dani
Hallo Dani,
ok dann frag ich mal bei denen nach.
Danke Dir.
VG Michl
ok dann frag ich mal bei denen nach.
Danke Dir.
VG Michl
Zitat von @Michl1976:
Nein, es geht darum, dass die Webdienste OWA etc. verfügbar bleiben.
Die MX-Records sind klar.
VG Michl
Nein, es geht darum, dass die Webdienste OWA etc. verfügbar bleiben.
Die MX-Records sind klar.
VG Michl
Eine DAG über WAN würd ich dir grundsätzlich nicht empfehlen, wenn dein WAN Link tot ist, ist die eine Seite auch weg, dadurch machst du dir mehr Probleme als du verhinderst. Der Grund dafür, der zwei Host Cluster besteht effektiv aus drei Votes, den beiden Hosts und einem Quorum, dem File Share Witness, das musst du ja irgendwo hinlegen, also wahrscheinlich in eine der beiden Sites.
Wenn dein WAN Link down ist, verlierst du auf einer Seite dein Mehrheitsvotum da das File Share Witness nicht mehr erreichbar ist.
Das heißt dein Cluster failovert ohnehin in die Haupt-Site, die andere Seite ist down, dort erhöhst du dadurch also nicht die Verfügbarkeit.
Dafür opferst du aber die Performance die du für die Replikation brauchst. Ist dein WAN-Link dafür wirklich schnell genug?
Hallo,
ich habe am Standort A 100Mbit sowie eine 10Mbit-Backup-Leitung. Am Standort B ebenfalls 100Mbit und eine 50vDSL als Backup. Außerdem habe ich am Standort A zwei Firewalls im Cluster. Das mir da die WAN-Verbindung komplett wegbricht halte ich eher für unwahrscheinlich. Den 100%igen Ausfallschutz haben wir damit natürlich nicht und lohnt sich auch nicht für uns. Und ja, durch das DAG geht auch die Performance etwas in die Knie. Aber danke für den Tipp, den File Share Witness habe ich bei meiner "Ausfall-Theorie" nicht berücksichtigt.
Mir gings jetzt eben in erster Linie darum, wenn mal ein Server ausfällt oder auch mal der Exchanger upgedatet werden muss, dass für diese Zeit eben die Dienste weiterhin verfügbar sind.
VG Michl
ich habe am Standort A 100Mbit sowie eine 10Mbit-Backup-Leitung. Am Standort B ebenfalls 100Mbit und eine 50vDSL als Backup. Außerdem habe ich am Standort A zwei Firewalls im Cluster. Das mir da die WAN-Verbindung komplett wegbricht halte ich eher für unwahrscheinlich. Den 100%igen Ausfallschutz haben wir damit natürlich nicht und lohnt sich auch nicht für uns. Und ja, durch das DAG geht auch die Performance etwas in die Knie. Aber danke für den Tipp, den File Share Witness habe ich bei meiner "Ausfall-Theorie" nicht berücksichtigt.
Mir gings jetzt eben in erster Linie darum, wenn mal ein Server ausfällt oder auch mal der Exchanger upgedatet werden muss, dass für diese Zeit eben die Dienste weiterhin verfügbar sind.
VG Michl
OK, also ich habe mit dem Watchguard-Support Kontakt aufgenommen. Es ist auch über die WAN-Strecke ein Loadbalancing oder - wie in meinem Falle - viel mehr ein Failover möglich.
Dafür muss lediglich die Routing-Tabelle in den Site2Site-VPN-Verbindungen erweitert werden:
0.0.0.0/0 <==> IP-Segment Location B (an der Firewall an Standort A)
IP-Segment Location B <==> 0.0.0.0/0 (an der Firewall an Standort B)
Jetzt funktioniert es.
Vielen Dank an alle die sich beteiligt haben.
VG Michl
Dafür muss lediglich die Routing-Tabelle in den Site2Site-VPN-Verbindungen erweitert werden:
0.0.0.0/0 <==> IP-Segment Location B (an der Firewall an Standort A)
IP-Segment Location B <==> 0.0.0.0/0 (an der Firewall an Standort B)
Jetzt funktioniert es.
Vielen Dank an alle die sich beteiligt haben.
VG Michl
