Encaminhamento para um cluster de serviços de terminal

2

Estou tentando conectar-me a um cluster do Windows 2008 R2 com balanceamento de carga usando os Serviços de Área de Trabalho Remota. Não tenho problemas para conectar-me aos endereços IP dos servidores (.253.16 e .253.17) ou ao endereço de cluster (.253.20) de dentro da sub-rede (.253).

O problema é quando tento conectar-me a partir da outra sub-rede (.251). Eu posso remoto para os outros servidores não-clusterizados (.253.12 e .253.15) dentro da sub-rede .253 do .251 sem um problema. Eu recebo uma resposta ping do cluster e outros servidores quando estou na sub-rede .251. Mas quando eu tento conectar via desktop remoto, ele acaba, mas apenas para qualquer um dos IPs no cluster (.20, .17, .16).

Meu ASA 5510 manipulando a mensagem de relatórios de roteamento no log: Negar TCP (sem conexão) de 192.168.251.2/4283 para 192.168.253.16/3389 flag FIN PSH ACK

Atualização: parece que, se eu tiver um host inativo, ele funciona.

    
por Dave 30.03.2010 / 20:50

2 respostas

1

A mensagem de erro que você está descrevendo mostra a inspeção de estado do ASA em jogo. A "sem conexão" significa exatamente isso: o ASA não possui uma entrada em sua tabela de conexão para uma conexão TCP entre 192.168.251.2:4283 e 192.168.253.16:3389.

Eu configuraria uma captura da seguinte forma:

asa(config)# access-list RDPcap permit tcp host 192.168.251.2 host 192.168.253.16 eq 3389
asa(config)# access-list RDPcap permit tcp host 192.168.251.2 host 192.168.253.17 eq 3389
asa(config)# access-list RDPcap permit tcp host 192.168.251.2 host 192.168.253.20 eq 3389
asa(config)# access-list RDPcap permit tcp host 192.168.253.16 eq 3389 host 192.168.251.2
asa(config)# access-list RDPcap permit tcp host 192.168.253.17 eq 3389 host 192.168.251.2
asa(config)# access-list RDPcap permit tcp host 192.168.253.20 eq 3389 host 192.168.251.2
asa# capture RDPcap1 access-list RDPcap interface LAN251
asa# capture RDPcap2 access-list RDPcap interface LAN253

em que LAN251 é a interface conectada à rede 192.168.251.0/24 e LAN253 é a interface conectada à rede 192.168.253.0/24.

Em seguida, tente se conectar via RDP e ver o que há nas capturas.

Minha aposta é que você descobrirá que quando estiver tentando se conectar a um dos IPs (verá um pacote SYN enviado de uma porta aleatória > 1024 em 192.168.251.2 para a porta 3389 em 192.168). 253.16 / 17/20), você verá a resposta (SYN-ACK) retornar de um endereço IP diferente e o firewall receberá esse pacote SYN-ACK, mas não o encaminhará para o cliente RDP.

Se este for o caso, a solução não está no ASA. Você precisa descobrir como configurar qualquer plataforma de clustering ou balanceamento de carga que esteja usando para funcionar corretamente com o RDP.

Se esse não for o caso, cole as capturas para que a comunidade possa analisá-las.

    
por 04.05.2010 / 17:49
0

Dê uma olhada na configuração do firewall nos Servidores de Terminal em Cluster. Eles provavelmente têm permissão definida apenas para a sub-rede local. Você só precisa modificar essas regras ou adicionar novas regras para permitir conexões na porta 3389 (porta 443 para um Gateway TS) da outra sub-rede.

Se isso não funcionar, sair em um membro neste, mas pode ser que o seu ASA não tenha uma regra para permitir o tráfego da sub-rede .251 para os IPs do culster. Tente telnet no ASA e execute sh run | gr access-
e procure por linhas com texto semelhante a "permitir ip x.y.251.0 255.255.255.0 x.y.253.0 255.255.255.240"
Essa linha permitiria o acesso apenas aos primeiros vários IPs na sub-rede .253.

    
por 30.03.2010 / 21:38