Перенаправление трафика с одного ISA сервера на второй.
 

Что имею:
Локальная сеть, в ней 2 сервера ISA Standard 2006, с 2-мя разными провайдерами.
Часть рабочих станций ходят в интернет через первый сервер, часть через второй.

Что хочу:
При падении интернета на первом сервере перенаправлять все запросы, идущие на этот сервер, на второй, на котором есть интернет и наоборот.
В идеале, конечно, что бы это происходило автоматически (но только при падении интернет-канала, а не в режиме балансировки нагрузки), но можно и вручную (включение пары правил и т.п.).

Подскажите, пожалуйста, как это реализовать, второй день бьюсь, пока безрезультатно.

evg_vl,

К сожалению ISA Server 2006 Standard Edition на это не расчитана для этого у MS есть специальная редакция ISA Server 2006 Enterprise Edition, рекомендую обратится к ней ;)

А как сделать в ISA Server 2006 Enterprise Edition? ;)

я возможно ошибаюсь, в Enterprise Edition существует возможность балансировки, между 2-мя и более ISA-серверами, можно попробовать воспользоваться этой опцией, но он балансирует нагрузку, а мне надо перенаправлять трафик на другой ISA-сервер только при падении интернет-канала (подойдет способ и вручную, прописать какие-то правила и маршрутизацию, но у меня ничего не вышло). Если я ошибаюсь, насчет EE - поправьте, пожалуйста.

А почему нельзя добавить второй шлюз с такой же метрикой, как у основного, в таком случае при падении первого запросы будут пытаться идти через второй шлюз, на котором тоже будет ISA?

пробовал, но не работает, видимо потому что второй ISA-сервер тоже находится в локалке и IP второго ISA-сервера относится к internal.
так же делал метрику меньше чем у основного (у которого инет отвалился), и в правилах прописывал ,на втором ISA-сервере прописывал полный доступ в интернет с первого ISA-сервера для всех юзеров.

Погодите, а при чем тут IP второго ISA? Если поставить у машины шлюзом по умолчанию именно второй сервер, то инет у пользователя будет? Т.е. Сделать так, как будто первого сервера нет вообще. При таком раскладе интернет есть? А то, может, проблема в другом совсем и мы не там роем?

Работать то будет, но бегать и менять IP шлюза на полутора десятке компьютеров меня обламывает, остальные получают IP через DHCP, можно поменять IP шлюза на DHCP-сервере, но тогда придется всем компьютеры перегружать, ipconfig /renew не всегда, почему то, обновляет шлюз и днс, если IP не меняется(и ребут может не помочь). + ко всему надо менять имя сервера в ISA-клиенте.

тут я протупил, вы имели ввиду второй шлюз на клиенте прописать, к сожалению не получится, потому что помимо шлюза нужно ещё в ISA-клиенте менять имя сервера.

evg_vl,

Ещё раз повторю, ставите ISA Server 2006 Enterprise Edition и там всё настраиваете. Вы всё верно поняли в Enterprise Edition существует возможность балансировки, но это же как раз Вам и надо ;) Ведь что такое балансировка, это когда один сервер слишком нагружен запросы перенаправляются к другому и это же когда выходящий канал у одного иса сервера недоступен то запросы то же перенаправляются к другому. ;)

P.S. Можно ещё попробовать заморочиться с TMG (там с этим всё же что-то сделали), но он более прожорлив к железу.

Если у Вас есть конкретные вопросы задавайте, попробую разобрать. А расписывать всё по шагово, уж извините, не буду, муторно, долго да и времени нет.

к сожалению, куплен стандарт :( апгрейд в ближайшее время не предвидется.

Тогда ставите перед одной из ISA железку с двумя WAN и пусть она занимается такой ерундой, а вторую ису просто убрать.

P.S. Другого выходя я не вижу... или меняйте условия задачи или меняйте цель. ;)

Конкретный вопрос. Как, имея
Ответ: возьмите ИСА 2006 ЕЕ, извините, ну уж очень расплывчат.

Grub,

Ещё раз повторю: у Вас что-то конкретно не получается? Вы что-то конкретное пытались сделать?
Или Вас интересует чисто умозрительный эксперимент? Тогда обращайтесь к книге дяде Шиндлера, со времён 2004 исы в этом вопросе ничего не поменялось. ;)
Я данную концепцию нигде не реализовывал (просто небыло надобности), но знаю что она есть и работает.

P.S. Вообще-то чисто умозрительно достаточно наличие двух серверов с ISA Server 2006 Enterprise Edition в одной подсети. Объединения их в один "пул", а перераспределение происходит автоматически (или там есть возможность настройки, но очень небольшая, просто сейчас уже не упомню всего), при невозможности получения ответа от одного сервера, запрос пересылается на другой сервер.

P.P.S. И ещё, если надумаете дальше развивать данный вопрос, думается будет лучше вынести его в отдельную тему. ;)

Объединение в один массив уже не получится, т.к. все серверы(3) разнесены в разные массивы. Каждый из серверов ходит через свой канал. Хотелось бы, при падении одного канала, чтобы сервак переправлял запросы на другой(указанный где-то).
У меня конкретно не получается ничего, потому как я незнаю откуда начать копать в этом направлении(кроме книжки Шиндлера). Поэтому у Вас и спрашиваю: как?
Какой метод использовать? Мне не нужны конкретные шаги. Мне нужно знать метод. Типа настройки upstream и downstream серверов. При падении канала на самом downstream сервере, он бы пересылал запросы на upstream. Но только при падении канала, а не постояно.
Теперь мой вопрос понятен?

Теперь стало яснее. Спасибо. :blind:

К сожалению, при такой постановке задачи реализовать это с помощью встроенных правил исы 2006 нельзя (можно только в TMG). Хотя с помощью скриптов (vbs) можно, где то я встречал такое решение (принцип решения прост: пингуется хост, при не ответе запускается скрипт который правит одну настройку в исе "Конфигурация-Общие-Настройте последовательное соединение межсетевых экранов", а при возникновении положительного ответа запускается противоположный скрипт, который меняет всё назад).

P.S. Я так понимаю, что у Вас все три иса сервера находятся в разных доменах?

Нет, в домене в одном, но в разных массивах и в разных офисах(массивы создавались по офису). Раньше выход в инет был только из одного офиса и предполагалось использовать в нем 2 исы и распределять нагрузку. Но возможности изменились и теперь в каждом офисе есть выход в инет и по исе. Но вот подстраховаться было бы не плохо и использовать для этого уже существующие возможности.