Im ersten Teil der Erweiterung der kleinen Exchange Organisation wurde bereits das Active Directory redundant ausgelegt. In diesem Artikel ist die Sophos UTM dran. Leider bildet in meiner Testumgebung die Fritzbox vor der UTM einen Single Point of Failure, in meiner Testumgebung kann ich leider nicht anders verfahren.
Die bestehende UTM Installation wird um eine weitere UTM VM auf Server2 ergänzt. Beide UTMs bilden dann einen Active Passive Cluster.
Konfiguration UTM1
Für die Konfiguration eines Active-Passive Clusters bei der UTM wird eine weitere Netzwerkkarte benötigt. Ich habe also eine weitere Netzwerkkarte zur VM hinzugefügt, welche am vSwitch des HyperVisors in ein VLAN getagt wird, welches nur für die Synchronisation der UTMs verwendet wird. Insgesamt hat die VM also nun 3 vNICs: Internal, External und Sync.
Hinweis: Wenn ESXi als HyperVisor eingesetzt wird, ist das nachträgliche Hinzufügen einer vNIC problematisch in Verbindung mit der UTM. Die UTM würfelt dann munter die Zuordnung der Netzwerkarten durcheinander. Bei Hyper-V scheint es hingegen unproblematisch zu sein.
Für den UTM Cluster muss zusätzlich das MAC-Spoofing aktiviert werden, damit im Failover Fall die MAC-Adresse auf die verbleibende VM umgeschaltet werden kann. Die Einstellung findet sich in den „Erweiterten Features“ zu den Netzwerkkarten in Hyper-V:
Ich habe MAC-Spoofing für alle Netzwerkkarten der beiden UTMs erlaubt.
Bei ESXi wird die Einstellung auf Ebene der Portgruppe vorgenommen:
Die zusätzliche Netzwerkkarte darf nicht als Interface in der UTM konfiguriert werden, sondern bleibt exklusiv für die Synchronisation des Clusters.
In den Einstellungen der UTM kann jetzt der Cluster Modus aktiviert werden. Automatic Configuration bereitet einen Active-Passive Cluster vor:
Weiter geht es mit UTM2 auf Server2
Konfiguration UTM2
Für die zweite UTM habe ich eine VM auf Server2 erstellt, virtuelle Hardware ist gleich der VM auf Server1. Die Installation unterscheidet sich nicht vom normalen Setup: ISO anhängen, installieren, fertig. Nur eine entsprechende IP muss angegeben werden. Ich habe die 172.16.100.253 für UTM2 gewählt.
Nach dem Neustart müssen nur wenige Einstellungen vorgenommen werden:
Das Basic Setup kann einfach durchgeklickt werden:
Hier der Überblick, außer der IP ist nichts konfiguriert:
Nach der Anmeldung am Webinterface wird auch an der zweiten UTM der Cluster Modus aktiviert:
Cluster überprüfen
Die Konfiguration kann anhand der Live Logs überprüft werden. UTM1 auf Server1 wird Master, da sie länger läuft, also die höhere Uptime hat:
UTM2 wird zum Slave:
Nach der Konfiguration den Clusters, beginnt die Synchronisation der Konfiguration, dies lässt sich auf der Master UTM verfolgen:
Nach kurzer Zeit sollte die Konfiguration synchron sein und der Cluster ist bereit:
Node1 (UTM1) ist aktiv, Node2 (UTM2) steht als StandBy zur Verfügung.
Ich habe UTM1 ausgeschaltet, hier das Ergebnis:
Ein Ping ist auf der Strecke geblieben, ist lässt sich wohl verkraften.
Zusammenfassung
Auf Server2 laufen jetzt 2 VMs, ein DC und eine UTM. Die entsprechenden Partner auf Server1 dürften bereits ausfallen und es würde zu keinem nennenswerten Ausfall kommen.
Ein Problem stellt allerdings die Fritzbox dar, fällt die Fritzbox aus, steht keine Internetverbindung mehr zur Verfügung. Hier könnte man über einen zweiten Internetzugang von einem anderen Provider nachdenken. In diesem Fall sollten aber beide Anschlüsse über eine statische IP verfügen.
Alternativ lässt sich auch eine weitere Fritzbox vorhalten, die im Fehlerfall angeschlossen wird, das hilft allerdings nicht wenn der Provider Probleme hat.
Hier muss ich mal eine Ergänzung anbringen:
Es reicht nicht, nur das MAC-Spoofing (Hyper-V) zu aktivieren, es müssen statische MAC-Adressen vergeben werden (im selben Fenster). Der Cluster wird auf Basis der MAC-Adressen erstellt. Bootet man eine der virtuellen UTM’s neu, so erhält man eine neue MAC Adresse und der Cluster ist im SplitBrain.
Gruß Thomas