¶ IV – Gestion avancée de l’accès clients
¶ A – Présentation de la haute disponibilité
¶ 1 - Présentation
La haute disponibilité de la partie accès clients permet de :
- Redonder le service d’accès client afin de prévenir les coupures de service utilisateurs
- Répartir la charge d’accès clients sur les serveurs
¶ 2 – Les éléments à prendre en considération
Afin de réaliser au mieux la haute disponibilité pour les accès clients, il est important de considérer les éléments suivants :
- Redonder le nombre de serveurs Exchange faisant autorité d’accès clients mais également les serveurs pour la partie boite aux lettres
Les serveurs CAS (Client Access Servers) devront avoir la même configuration (mêmes certificats, mêmes fonctionnalités, etc.)
- Mettre en place un matériel d’équilibrage de charge
- Bien dimensionner et redonder les équipements réseau
- Bien dimensionner et redonder les Contrôleurs de Domaine
Ce sont ces serveurs qui feront l’authentification des clients il est important de les redonder afin d’éviter la charge et une coupure de service en cas de problème sur un Contrôleur de Domaine
- Avoir une redondance matériel physique des serveurs (alimentations, etc.)
¶ 3 – Les différentes solutions de la haute disponibilité d’accès clients
- Avoir plusieurs serveurs Contrôleur de Domaine (obligatoire)
- Avoir plusieurs Serveurs Exchange pour les accès clients (Recommandé)
- Mettre en place du Round Robin pour les DNS (enregistrements MX et A)
- NIC Teaming sur les serveurs (agrégation de cartes réseau)
¶ 4 – Rappel des schémas Exchange 2016
Schéma général
Schéma des services
¶ B – Configuration de la haute disponibilité
¶ 1 – DNS Round Robin
Le DNS round-robin est une des techniques de répartition de charge consistant à associer plusieurs adresses IP à un FQDN afin de répartir les réponses à un service sur plusieurs serveurs.
Cette configuration est souvent utilisée lorsque l'entreprise ne possède pas de répartiteurs de charges et que les serveurs sont sur des réseaux distincts.
Une rotation circulaire entre ces différentes adresses permet ainsi de répartir la charge entraînée par un trafic important entre les différentes machines ayant ces adresses IP.
À chaque requête DNS d'un client, la résolution donnée est différente. Le client conserve ensuite dans son cache DNS l'adresse IP utilisée, ce qui permet de conserver une relative stabilité dans la gestion des sessions du service.
Exemple de configuration pour une redondance Autodiscover, serveur mail et MX :
Ouvrir le gestionnaire DNS puis dans la zone de recherche directe cliquer sur le domaine de l’entreprise.
Créer un nouvel enregistrement d’hôte et remplir les informations nécessaires.
Afin d’effectuer une redondance, il faudra enregistrer l’IP du serveur Exchange qui n’est pour l’instant pas configuré pour l’Autodiscover.
Une fois cet hôte ajouté, les enregistrements DNS comprendront deux fois l’Autodiscover permettant ainsi d’utiliser les deux serveurs Exchange lors de la résolution DNS.
Pour les mails, il faudra procéder de la même manière.
Attention : il faudra bien sûr laisser la même FQDN pour les différents enregistrements que l’on souhaite redonder
¶ 2 – NIC Teaming
Le « NIC Teaming » appelé aussi « association de cartes réseaux » est une fonctionnalité qui permet de fournir une tolérance aux pannes et une redondance au niveau des cartes réseaux elles-mêmes tout en effectuant de la répartition de charge sur les différentes cartes faisant partie du « NIC Teaming » (ou de l’association de cartes).
Les performances réseau sont également meilleures grâce à l'agrégat de bande passante des différentes cartes. En effet, les cartes vont fonctionner en équipe pour assurer la continuité de la connectivité. Par exemple, si l’on dispose deux cartes réseaux 10 Gbit/s et que l’on créé une « Team » avec celles-ci, l'agrégat de bande passante offrira alors un débit de 20 Gbit/s théorique.
Le « NIC Teaming » peut également être utilisé avec des cartes réseau de machines virtuelles. Dans ce cas, chaque carte réseau virtuelle devra être reliée à un switch virtuel différent. Les switches virtuels seront quant à eux attribués à une carte réseau physique différente afin d'assurer la redondance des liens
Il est possible de créer une association de cartes réseaux où une seule carte est active et où une carte est définie en tant que secours. Elle ne sera activée uniquement en cas de défaillance de la carte principale.
Configuration :
Ouvrir le « Gestionnaire de serveur » puis cliquer sur « Serveur local ».
A la ligne « Association de cartes réseau » cliquer sur « désactivé » afin de l’activer et de configurer le « NIC Teaming ».
Dans la section « équipe » cliquer sur « tâches » puis sur « nouvelle équipe »
Mettre un nom à l’équipe, sélectionner les cartes réseau qui feront partie du « NIC Teaming »
Il est possible d’ajouter des paramètres supplémentaires
Puis valider en cliquant sur « ok ». Une fois la configuration faite, le NIC Teaming sera visible dans la liste et il sera possible de voir les cartes qui le composent ainsi que leur état.
Par défaut l’équipe aura l’adresse IP d’une des deux cartes mais il est possible de configurer ses paramètres réseaux.
La team sera visible dans le « Centre Réseau et Partage »
¶ C – Diagnostique
¶ 1 – Exemples de scénarios
En général, les problèmes qui sont le plus souvent rencontrés sont :
- Des incidents de connexions des clients
- Des incidents de réceptions des messages électroniques
¶ 2 – Que faut-il contrôler
- Les journaux des évènements Windows et ceux de Exchange
- La partie IIS et la configuration d’accès clients
- Les services
- L’état de santé et la répartition des copies de bases de données
- L’état de santé et la charge des serveurs Exchange
- L’état de santé et la charge des serveurs Contrôleurs de Domaine
- La partie réseau (l’accès Internet, les accès LAN, les équipements réseau, la partie Load balancer si l’infrastructure en possède une, les pare-feu , les liaisons vers les serveurs Contrôleurs de Domaine et Exchange, les DNS, etc.)
- La configuration, les droits et les accès utilisateurs
- Les files d’attentes
- Effectuer un rapport de suivi de message