Utilisation de Microsoft Network Load Balancing (NLB) pour les services web de registre des certificats (CEP, CES)

Auteur Uwe GradeneggerPublié le Catégories Haute disponibilité, Services d'information sur Internet (IIS), Services web d'enregistrement des certificatsÉtiquettes

Es ist allgemein eine gute Idee, die Verfügbarkeit der Zertifikatregistrierungs-Webdienste (Zertifikatregistrierungs-Richtliniendienst, CEP und Zertifikatregistrierungs-Webdienst, CES) jederzeit sicherzustellen.

Nachfolgend wird beschrieben, wie dies mit dem Windows-Feature „Network Load Balancing“ (NLB) erreicht werden kann.

Pour pouvoir exploiter plusieurs serveurs à haute disponibilité derrière un seul nom DNS, il est nécessaire d'installer en amont des load balancers qui s'occupent de la répartition des demandes. Cela n'est pas toujours possible avec des load balancers matériels. Dans ce cas, l'équilibreur de charge logiciel, appelé Microsoft Network Load Balancing (NLB), qui est fourni avec le système d'exploitation Windows Server, peut être une option utile.

Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .

Inconvénients par rapport à un load balancer matériel

  • Mauvaises performances en cas de charge élevée, car le traitement est effectué dans un logiciel.
  • Pas de health probes possibles, c'est-à-dire que si, par exemple, tout le serveur n'est pas down, mais seulement le service, les clients courent à l'erreur.
  • En mode unicast, aucune gestion des fonctions NLB n'est possible par les nœuds Custer eux-mêmes.
  • Peut nécessiter Modifications de la configuration des serveurs participants et de l'infrastructure (par exemple lorsqu'ils sont virtualisés).

Conditions préalables

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Für die nachfolgende Anleitung wird davon ausgegangen, dass CEP und CES auf den Clusterknoten bereits und konfiguriert installiert wurden. Siehe hierzu auch Artikel „Installation d'un service web Certificate Enrollment Policy (CEP)" et "Installation d'un Certificate Enrollment Web Service (CES)„ .

Damit die Zertifikatregistrierungs-Webdienste mit einem Load Balancer verwendet werden können, müssen einige Besonderheiten berücksichtigt werden:

Installation

Avec Microsoft Network Load Balancing, les modes de fonctionnement suivants sont possibles :

  • En mode monodiffusion, chaque carte réseau n'a plus que l'adresse MAC du réseau en grappe.
  • En mode multicast (recommandé), chaque carte réseau a une adresse MAC supplémentaire pour le réseau en cluster.

Si les nœuds de cluster se trouvent sur un serveur Microsoft Hyper-V, l'usurpation d'adresse MAC doit être autorisée dans les paramètres de la carte réseau de la machine virtuelle.

La fonction Network Load Balancing doit être installée sur chaque nœud de cluster. Cela peut se faire par exemple avec la commande Windows PowerShell suivante :

Add-WindowsFeature NLB -IncludeManagementTools

Le Network Load Balancing Manager peut ensuite être démarré à partir de l'un des nœuds de cluster.

Un nouveau cluster y est créé.

Werden CEP und CES auf getrennten Servern installiert, muss die nachfolgende Konfiguration natürlich für beide Cluster durchgeführt werden.

On entre l'adresse IP ou le nom d'hôte du premier nœud de cluster et on se connecte à lui.

La boîte de dialogue suivante peut être laissée avec les paramètres par défaut.

L'adresse IP du cluster est ensuite créée.

Ensuite, il faut encore donner un nom au cluster et choisir le mode de fonctionnement. Le choix du mode dépend des possibilités de l'infrastructure. Voir "Configurer l'infrastructure réseau pour supporter le mode de fonctionnement NLB" (Microsoft). Dans cet exemple, le mode multicast est utilisé.

Im nächsten Dialog wird der Portbereich eingeschränkt. Für die Zertifikatregistrierungs-Webdienste reicht es, den Bereich auf den TCP-Port 443 einzuschränken.

Enfin, les autres nœuds de cluster sont ajoutés.

Test de fonctionnement

Nach der Einrichtung des Load Balancing sollte ein Funktiontest der Dienste durchgeführt werden. Siehe hierzu auch Artikel „Effectuer un test fonctionnel pour le Certificate Enrollment Policy Web Service (CEP)" et "Funktionstest durchführen für den Certificate Enrollment Web Service (CES)„ .

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais