© Josep Ros. Con la tecnología de Blogger.

Consulta Técnica: Problemas con el ping de VMware server a la puerta de enlace e Internet

Mi colega Daniel Álvarez me formula desde Concepción, Chile la siguiente consulta:

Josep:

He leído con mucho agrado tu blog. Sin embargo me aqueja un problema que no he visto resuelto en los temas antes propuestos, a menos que no haya buscado bien, así que paso a comentártelo:

En la empresa, que es pequeñísima, no tenemos más de 10 equipos de escritorio, he implementado desde hace 2 años una red basada en Windows Server 2003, con Active Directory y Exchange Server 2003.

Esta semana se me ha solicitado migrar la plataforma a un nuevo hardware, que es un servidor clon, en una placa Intel, con un procesador Core2 Duo, 3GB de RAM, y un RAID 0 en dos discos SATA de 320GB cada uno. Es poco, pero creo que no se requiere más para nuestra bajísima carga, (5 casillas de correo en Exchange, y no más de 10 conexiones concurrentes al servidor). Dispone de la NIC integrada Intel GigabitEthernet, y otra NIC PCI FastEthernet.

Hasta la semana pasada tenía otro servidor clon, un poco más antiguo, con placa Intel, Pentium D de 3.0 GHz, 2 MB de RAM y un sólo disco duro SATA de 320GB. En esta arquitectura, el servidor funcionaba adecuadamente para nuestros requerimientos.

Como ya conocía la virtualización, implementé en el nuevo hardware un sistema host Windows Server 2003 SP2, y levanté en él los siguientes servicios: DHCP y VMware Server 1.0.4.

Luego instalé ISA Server 2004 Standard, y configuré la NIC PCI FastEthernet (conectada al router ADSL, ya que no tenemos una conexión dedicada, pero esta nos ha funcionado bastante bien) como red externa, y la NIC GigabitEthernet como red interna. El servidor se comunicó perfectamente hacia Internet, e incluso se actualizó desde Microsoft Update.

Creé luego una VM a la que asigné 1.5 GB de RAM, una NIC en Bridge, y dos discos virtuales de 40GB cada uno, con espacio reservado (pretendo luego hacer un RAID 1 por software, para tener 2 archivos vmdk, en caso que uno de ellos se dañara). Instalé en esta VM Windows Server 2003 SP2.

Luego instalé (también en la VM) los siguientes servicios: Active Directory, DNS, Servidor de aplicaciones, Servidor de impresión, WINS, y Exchange Server 2003 SP2. Todo funcionó bien, hasta que me percaté de lo siguiente: La VM se comunica excelente con todo el resto de la LAN, tanto con el equipo Host, como con los equipos cliente conectados en los switch de nuestra LAN. Sin embargo no puede comunicarse con el exterior (Internet). La VM puede hacer ping a todos los equipos de la LAN, y a ambas NICs del host. Sin embargo no puede hacer ping a la interface FastEthernet del router ADSL. En cambio todos los otros equipos de la LAN (incluyendo al host) pueden hacer ping a esta interface.

A modo de comentario, quizás algo que pueda dar luces, el Exchange montado sobre la VM recibe correo desde el exterior, pero no puede enviar. Es decir, las comunicaciones desde Internet entran a la VM, pero no salen desde la VM.

A modo de prueba, desmonté el ISA Server y configuré el Enrutador y Acceso Remoto de Windows Server. Me ocurre lo mismo. Todos los equipos de la LAN, incluyendo al host, tienen comunicación hacia Internet. Sin embargo la VM sólo tiene comunicación LAN, y continúa sin conectarse con el exterior.

Disculpa lo extenso de este correo, pero te comento todo lo que he hecho hasta ahora.

Saludos y muchas gracias,

Daniel Alvarez Villalobos
Concepción, Chile

Apreciado Daniel,

Gracias por tus amables comentarios sobre mi blog. Genial que me describas ampliamente el problema porque cuanta más información me traslades más fácil me lo pones para intentar darte una solución apropiada.

Veamos, en primer lugar permíteme unas cuantas observaciones sobre pasos que has dado hasta ahora:

- El servicio DHCP yo lo instalaría en el Controlador de dominio (VM) y no en la máquina física. En el Host (máquina física) sólo el VMware Server con el Servidor de Aplicaciones, antivirus (díle que no te mire los archivos VMDK y poco más.

- Yo el ISA Server lo pondría como una VM que tuviese 2 NICs virtuales, uno apuntando al NIC físico de la WAN y otro al NIC físico de la LAN. Con 512Mb de RAM va que chuta.

- He comentado ampliamente en este Blog mi opinión en este tipo de máquinas con VMware Server del uso de los VMDK como espacio reservado. Entiendo que es más conveniente que los discos sean de autocrecimiento y les puedes poner el tamaño que quieras, mayor incluso que el disco duro físico y así los dejas preparados para si, el día de mañana, tienes que migrarlos a un lugar donde el tamaño de almacenamiento sea mayor.

- Juega con la RAM y mira qué tal se comporta con 1GB y 2GB, porque no necesariamente con más RAM tiene que portarse mejor la VM.

- Lo de crear 2 discos VMDK y montar un RAID 1 por software no me gusta nada. Me parece una idea equivocada. Lo que debes garantizar es la copia diaria con incrementales de las VM a un lugar externo al sistema físico, por ejemplo un disco USB o un disco Ethernet, pero en ningún caso jugártela con un RAID 1 por sofware que te dejará tirado (seguro!!) cuando más lo necesites. Yo utilizo Symantec Backup Exec System Recovery 7.0 pero puedes utilizar la herramienta que quieras, siempre desde el sistema físico.

Y hechos estos comentarios sobre el diseño decirte que el resto me parece muy bien, más que bien pensado para el número de usuarios que sois. Por otra parte decirte que siempre debes tener en cuenta que existe la posibilidad de que el sistema Host caiga y que debes tener contemplado ese escenario y, a ser posible, probado. En vuestro caso no sería difícil reubicar la VM en un equipo de usuario (un XP podría ser suficiente), pero debes tener la VM copiada y salvada en un lugar externo al Host. Ponte en el caso de que te lo roben que parece más factible que se inunde o arda, ya me entiendes.

Finalmente la problemática que tienes de que no puedes pinear la puerta de enlace a mí también me sucedió y flipé pepinillos cuando me sucedió. La solución es la siguiente:

Debes tocar el registro de la VM. Concretamente esta ruta:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Aquí debes añadir estas 3 entradas (o modificarlas si ya existen).

"EnableTCPA"=dword:00000000
"EnableRSS"=dword:00000000
"EnableTCPChimney"=dword:00000000

Reiniciar (no estoy seguro de que sea obligatorio) y listo.

Ya me contarás qué tal te ha ido.

Saludos cordiales,

Josep

3 comentarios:

Daniel dijo...

Estimado Josep:

Gracias por tus sugerencias. Me aclaras bastante el tema del diseño.

Respecto al problema de comunicaciones, había efectuado esos ajustes, basándome en unos post anteriores de tu blog, pero no me habían dado resultado.

Los ajutes y pruebas que hice fueron los siguientes:

- Cambié en el registro los parámetros de TCP/IP, tanto en la VM como en el host.
- Fijé la MAC Address de la NIC VM, de acuerdo a sugerencias de uno de los post.
- Cambié la "emulación" de la NIC en la VM desde la AMD PCNet que originalmente utiliza, a la Intel PRO 1000. Instalé también los últimos controladores para esa NIC descargados desde el sitio de Intel.
- Probé desconectando el router ADSL, y coloqué un PC en su lugar, al que hice ping desde la VM, pensando que la interface LAN del router podría complicarse con la NIC de la VM, pero tampoco se comunicó con el PC.
- Cree otra VM e instalé en ella un XP Pro, como para probar si tenía algún problema de configuración en el Windows Server 2003 SP2. El XP tampoco se comunicó al exterior.

Bueno, eso es lo que he hecho hasta ahora.

Por el momento, y para dejar a la oficina andando, tengo el sistema corriendo en máquina física. Pero continúo probando con los sistemas.

Si tengo novedades, te cuento, aunque otras sugerencias de tu parte o de otros miembros del blog no me vendrían nada mal.

Miles de gracias por la ayuda.

Saludos,

Daniel

Josep Ros dijo...

Caramba Daniel, has probado muchas cosas...

Lo único que se me ocurre es que no tengas algún antivirus corriendo en el host físico que te haya puesto algún protocolo extraño. Me sucedió una vez con uno de cuyo nombre no me acuerdo (no es el Panda), fue deshabilitar ese protocolo y ya funcionaba.

Si se me ocurre algo más te lo comento.

Saludos

José Manuel dijo...

Hola Josep,

Buenas tardes, yo tengo un problema parecido, aqui uso VMware VSphere 4.0 y tengo una VM con Windows 2003, ISA Server 2006 configurado como proxy con una sola tarjeta de red, tambien WebSence, Trendmicro Web Protect, Symantec antivirus Endpoint (este ya se lo quite) y el problema es que no me responde por ping y por lo tanto no se puede navegar a internet con este proxy, pero si mando un ping desde este servidor hacia cualquier otra dirección ip de mi red si responde, tendrás alguna idea de que pueda ser???

De antemano te agradezco y espero me puedas ayudar.


Saludos.

Consulta Técnica

[Consulta Técnica][bleft]

Virtualización

[Virtualización][twocolumns]

Naturaleza

[Naturaleza][grids]