Discussion :

[Francky8]

Bonjour,

J'ai une instance SQL Server 2008 R2 (sur W2008 R2) qui est configurée en cluster. Cette instance est pour l'instant active sur le noeud 1.
Sur le noeud, j'ai donc 3 adresses ip connues : ad ip du noeud, ad ip du cluster et ad ip de l'instance sql server (plus l'ad ip pour le heartbeat).

J'ai configuré database mail sur mon instance sql server (cluster). La passerelle SMTP se trouve en dehors de "notre" réseau et je dois donc passer par un firewall. Il faut donc autoriser mon instance SQL Server à envoyer des trames à la passerelle SMTP.

J'ai donc demandé à mon manager firewall d'ajouter l'ad ip de l'instance sql server dans le firewall (autoriser smtp). Mais ca n'a pas fonctionné. Il a fallu non pas autoriser l'ad ip de l'instance sql server (cluster) mais plutot l'ad ip du noeud (physique). Je pensais que vu que l'envoi de mails partait de database mail de l'instance sql server c'était l'ad ip du cluster sql server qui était pris en compte et non pas l'ad phyique du serveur.

Avez-vous une explication ?

S'il faut déclarer dans le firewall l'ad ip du noeud physique alors il faudra le faire pour tous les noeuds du cluster alors que sinon on pouvait se limiter à l'ad ip de l'instance sql server.

Par avance, merci pour vos explications.

Franck

[Ptit_Dje]

Bonjour Franck,

Merci pour ce message, c'est tres interessant.

Database mail utilise un executable qui se trouve hors de l'instance SQL Server.
Tu peux le voir ici:
http://msdn.microsoft.com/en-us/library/ms189635.aspx
Je pense que de ce fait, c'est effectivement l'adresse IP du noeud qui est utilisee.
Si c'est effectivement le cas, il faudra alors autoriser toutes les adresses IP du cluster a passer par le firewall, sur le port specifique.

Pour eviter de devoir penser a cela a chaque fois qu'un noeud est ajoute au cluster, on peut penser a autoriser tous les hosts d'un subnet (dedie a votre cluster) a passer par le firewall sur le port specifique (A verifier avec un admin network si c'est possible).
Ca permettrai de garder une dissociation entre le physique (IP adresse en dur) et le logique (groupe d'IP pour le cluster).

Si tu as un retour d'experience la dessus, il est bienvenu !

Bonne journee,
Jerome

[Francky8]

Bonjour Jerome,

Tout d'abord, merci pour ta réponse.
Je tiens à signaler que la qualité et la rapidité des réponses font de ce forum une aide précieuse pour moi.


Effectivement, comme tu l'indiques, l'exe de database mail étant un process externe, cela semble expliquer la prise en compte de l'adresse ip du noeud.
Je vais pouvoir apporter une explication à mon manager network. Merci.

Je vais demander à mon manager network de définir l'ensemble des adresses des noeuds appartenant au cluster et tout devrait etre ok.

A bientot


Franck

[mikedavem]

Databasemail est cluster-aware contrairement à son prédécesseur SQLMail.
Je pense (à vérifier) qu'il faut non pas mettre l'ip virtuel du cluster SQL mais l'ip virtuel du cluster Windows.

Pour eviter de devoir penser a cela a chaque fois qu'un noeud est ajoute au cluster, on peut penser a autoriser tous les hosts d'un subnet (dedie a votre cluster) a passer par le firewall sur le port specifique (A verifier avec un admin network si c'est possible).

Personnellement je ne ferai pas cela pour des raisons de sécurité. Il suffit qu'une personne mal intentionnée puisse obtenir une IP du subnet en question il pourra envoyer tranquillement des mails depuis le réseau interne.

++

[Francky8]

Bonjour David,

Merci pour ta réponse.
J'essaie de faire l'essai cet après-midi (en fonction de la disponibilité de mon manager network) et je vous fais un retour.

Je demanderai à mon manager network d'autoriser seulement l'ad ip de mon cluster windows.

A plus tard ...

Franck

[Francky8]

David,

On vient de faire l'essai en autorisant l'adresse ip du cluster Windows dans le firewall mais cela n'a pas fonctionné.

essais :
. ad ip cluster windows autorisée dans firewall : envoi mail -> non
. ad ip cluster windows + ad ip cluster sql autorisées dans firewall : envoi mail -> non
. ad ip noeud physique autorisée dans firewall : envoir mail -> OK

Il semble donc que database mail s'appuie sur l'ad ip du noeud.

J'ai demandé à mon manager network d'ajouter les 3 ad ip (3 noeuds physiques pour notre cluster). Ainsi, je pense que tout sera ok.

Merci pour votre aide et à bientot

Franck