Здравствуйте, уважаемые знатоки!
Есть виртуальный сервер в составе развертывания RDS на windows server 2012r2 с ролью шлюза удаленных рабочих столов, более на нем никаких ролей не стоит. Внешний IP натится на этот сервер и юзеры получают доступ к коллекции RDS.
Понадобилось зарезервировать роль шлюза удаленных рабочих столов. Необходимо сделать 2 экземпляра сервера, что бы один, например, выводить в обслуживание, а другой стоял в работе.
Создал еще один сервер с ролью шлюза и добавил его в коллекцию. Попробовал организовать отказоустойчивость через NLB, но оказалось что он не очень подходит. Стоит выключить первый gw, сервер из интернета не доступен.
В интернетах много статей, по организации HA коллекции. Кто-то делает через NLB, кто-то делает через RoundRobin. Первый вариант не работает, остается RR. Но, если я правильно понимаю как работает RR, для этого необходимо взять у провайдера еще один внешний IP и настроить для него DNS запись у доменного регистратора. Само-собой брать лишний IP не хочется, а как сделать без этого ума не приложу. Может попробовать через failover cluster? Изучаю сейчас эту тему, но попадаются только статью про Hyper-V.
Поделитесь опытом, коллеги, кто как решал такую проблему?
Столкнулся с аналогичной ситуацией: необходимостью резервирования серверов с ролью web access (на них же развернута роль remote connection broker).
Если есть возможность более развернуто пояснить метод реализации на NLB, буду благодарен.
Исходно: все сервера фермы на кластере HyperV, ОС MS 2019, во внутренней сети, все работает корректно, единственный не до конца понятный момент именно в резервировании роли web access и connection broker.
Если использовать DNS RR, все также работает, но как в этом случае быть, если потребуется обеспечить доступ из внешней сети?
На сколько я знаю, роли web access и connecion brocker резервируются "по особенному", в настройках коллекции необходимо настроить высокую доступность. Для этого потребуется отдельный SQL сервер, в нем будет храниться база с сеансами, которые могут перекидываться между cb.
Microsoft предлагает для внешнего доступа роль RDS Gateway с доступом из вне по https, что само по себе не плохо, но нужны сертификаты. У нас была развернута инфраструктура PKI для этих целей. Простымим словами это выглядит так:
Пользователи подключаются шлюзу удаленных рабочих столов (RDS Gateway) по https.
Там проходят авторизацию. Доступны разные варианты. Мы используем логин/пароль.
Далее шлюз направляет их к RDS Connection brocker, а тот, в свою очередь, направляет на хост.
А вот уже резервирование роль RDS Gateway, как оказалось достаточно просто реализуемо через NLB.
Надеюсь, я правильно понял ваш вопрос и чем то помог)
Предлагаете все же пользоваться одним сервером шлюза? К сожалению, мне все таки надо организовать именно 2 экземпляра. Дело в том, что среда достаточно нагруженная и коллекция используется по всей стране, в разных часовых поясах. Сервер шлюза должен быть доступен почто что 24/7. Обновлять и обслуживать сервер шлюза - настоящая головная боль. Приходится согласовывать maintenance часы и работать почти ночью по выходным. Хочется немного снизить нагрузку на мой отдел и делать это в рабочее время, без лишней бюрократии)
Если нужно 24/7, то, конечно, стоит добавить второй шлюз. Тут уже ничего не могу вам подсказать кроме того, что второй IP точно не нужен т.к. failover в любом случае будет за фаерволом или на нём. Чистый RoundRobin, если верить этому документу, не поддерживается. Требуется привязка к серверу.
PS: Тоже недавно задумался о втором шлюзе, но до завершения этой истории с карантином решил не рисковать )
Средний
