Exchange 2016 mit Kemp Loadmaster

[Squire 290]

Hallo zusammen,

 

wir wollen unsere Exchange DAG con Citrix Netscaler auf Kemp Loadmaster "umstellen"

Wie habt ihr das gehandhabt - ich wollte eigentlich "two-armed" den LM in die DMZ stellen. Die Kollegen vom Netzwerk meinen "one-armed" wäre besser?

[Dukel 468]

Wir haben das One-Armed, aber nicht in der DMZ.

Two-Armed hat den Vorteil, dass die Clients am Exchange "ankommen" und nicht der Loadbalancer, bedingt aber eine komplexere Netzwerkstruktur.

[NorbertFe 2.279]

One Armed geht auch mit Transparenz, machts aber wieder komplizierter. Ich hab wo immer möglich 2-Arm Konfigurationen bei den Kunden. Das bisschen VLAN mehr ist ja nun wirklich kein Stress.

 

Bye

Norbert

vor 9 Minuten schrieb Squire:

ich wollte eigentlich "two-armed" den LM in die DMZ stellen.

Warum eigentlich in die DMZ? Wo steht denn der Exchange? Und wie wars bisher mit Netscaler?

[Squire 290]

Die Exchange stehen im Server VLAN (intern). Clients im internen ClientVLAN kommen da aber hin (werden geroutet). Die Netscaler stehen in der DMZ und machen Loadbalancing und Reverse Proxy (one armed).

Das Kemp-Päarchen sollen für Exchange diese Funktionalitäten übernehmen (inkl. Veröffentlichung des XCH nach außen - Activesync, OWA und SMTP (letzteres geht aber da an ein Gateway in der DMZ)

 

Mit dem Netscaler hatten wir in letzter Zeit heftige Probleme (können auch nur 200MB Durchsatz) und da laufen neben der Exchangegeschichte noch einige andere Dienste (Webseiten, Shop System, VPN etc. drüber ...) 

bearbeitet 27. November 2019 von Squire

[NorbertFe 2.279]

vor 9 Minuten schrieb Squire:

Die Exchange stehen im Server VLAN (intern). Clients im internen ClientVLAN kommen da aber hin (werden geroutet).

Und wie balanced ihr dann die internen ZUgriffe? Alle in die DMZ oder steht da noch mal ein Loadbalancer intern?

[Squire 290]

bisher haben die Netzwerker das alles in die DMZ laufen lassen ...

bearbeitet 27. November 2019 von Squire

[Nobbyaushb 1.580]

vor 59 Minuten schrieb Squire:

bisher haben die Netzwerker das alles in die DMZ laufen lassen ...

Wozu? Ist m.E. kontraproduktiv....

[Squire 290]

was schlägst Du vor? Wie kann ich dann die Exchange sauber veröffentlichen (soll wie gesagt nicht mehr über Netscaler laufen)

 

[Dukel 468]

Einen Reverse Proxy (ggf. als HA, LB) in die DMZ, einen LB ins LAN.

[Squire 290]

das krieg ich aber Budget mäßig nicht mehr umgesetzt ... die Kemp gingen, weil da grad ne Aktion läuft und der "Leidensdruck" groß genug war ...Die Citrix sind von der CPU jetzt mehrfach gegen die Wand gefahren, so dass die Mail Infrastruktur teilweise lahm gelegt war ... der externe Citrix Dienstleister wußte keinen Rat .. Ticket bei Citrix ist seit über ner Woche offen - da kommt nix bei rum ...

[Dukel 468]

HA-Proxy ist Open Source und kann als Reverse Proxy für Exchange dienen.

[NorbertFe 2.279]

Ja und sogar als loadbalancer ;)

[john23 5]

Two arm intern - von dem was ich gelesen / gemacht habe würde ich Norbert recht geben. Würde two Arm auch immer bevorzugen.

[NorbertFe 2.279]

Is schwer zu raten, wenn die Frage so allgemein kommt. Da gibts einfach zu viele Möglichkeiten, wovon einige sinnvoller sein können als andere. Insofern grundsätzlich empfiehlt sich 2-Arm, weils dann mehr Möglichkeiten gibt, mit dem Kemp zu hantieren. Und spätestens wenn dazwischen ne Routing Instanz ist, sollte man sowieso so konfigurieren.

[testperson 1.858]

vor 10 Stunden schrieb Squire:

Die Citrix sind von der CPU jetzt mehrfach gegen die Wand gefahren, so dass die Mail Infrastruktur teilweise lahm gelegt war ... der externe Citrix Dienstleister wußte keinen Rat .. Ticket bei Citrix ist seit über ner Woche offen - da kommt nix bei rum ...

Da ist die Chance mit KEMP wohl auch 50/50, dass da das gleiche oder anderes passieren kann. ;)

Es gibt doch sicherlich noch weitere Citrix / Netscaler Dienstleister die man ggfs. anfragen kann. Ebenso lässt sich ein Ticket bei Citrix entsprechend eskalieren.