Post on 20-Jul-2015
Planejando corretamente
Uilson SouzaSr. IT Projects AnalystMCTS ISA Server 2006MTAC – Microsoft Technical Audience Contributorhttp://uilson76.wordpress.comsouzajr.nc@uol.com.br ou usouzajr@gmail.com
Agenda
•Entendendo o ambiente•Como seu ambiente irá funcionar•Arquitetura de rede e features do produto•Hardware –disco/processamento/memória•Sistema Operacional, DNS e Active Directory•Placas de Rede, Log e cache•Enterprise Management Server e Backup•Network Load Balance•Proxy transparente•Atualizações no produto•Para quem ainda usa ISA Server•Referências para estudo
Entendendo seu ambiente
Topologia do ambienteFluxo de acesso internetTipo de usuário no ambiente –High, medium, low?Redes, VLAN s, Firewalls, etcTamanho e quantidade de links da corporaçãoObjetivos do acesso internet
Como seu ambiente irá funcionar
O que você precisa? Como você precisa?Qual a funcionalidade do Forefront TMG para acorporação?Que tipo de equipamento você irá usar? Appliance,VM, Servidor físico?O Forefront TMG ficará na rede interna? Será back-firewall ou ficará na borda?
Arquiteturas de rede e features do produto
Qual arquitetura usar? Edge, 3-Leg Perimeter, BackFirewall, Single NetworkAdapter
Arquiteturas de rede e features do produto
Existem diversas implementaçõesde TMG usando Single NetworkAdapter com regras configuradasde forma errada, causandoproblemas de performance etornando o ambiente “nãosuportado”
http://technet.microsoft.com/en-us/library/cc995236.aspx
Hardware Disco/Processamento/Memória
Um dos grandes erros na montagem do servidor ocorre naarquitetura dos discos.
Fundamental que haja separação do disco de SO/TMG,Cache o Log
O resultado desta má configuração são problemas degargalo de disco causando lentidão para quem acessa oservidor e também para o usuário final.
Hardware Disco/Processamento/Memória
A arquitetura de discos sempredeverá seguir o modelo ao lado.
Arrays separados montados emRAID1 (que é mais performático),ou RAID10, dependendo daquantidade de discos
OBS: Ostamanhosdescritosnaimagemaoladosãoapenasexemplos
Hardware Disco/Processamento/Memória
Para memória – nada inferior a 4 ou 8 GB de RAM
Processamento – mínimo de 2 processadores paramáquinas virtuais ou 1 quadcore para servidores físicos
Lembrando que a licença do Forefront TMG é vendida porprocessador e este planejamento também influi em custos
Publicação Web também é um fator que deve ser analisado,pois, vai consumir processamento
Hardware Disco/Processamento/Memória
O dimensionamento de memória e processamento tambémé influenciado pelo número de usuários, tipo de acesso ainternet, etc.
Features como SSL Inspection, Network Inspection, URLFiltering, etc, devem obrigatoriamente ser consideradas noque tange a processamento e memória.
Atenção também para método de gravação de log s,possíveis commits de LLQ s, etc.
Hardware Disco/Processamento/Memória
Mesmo após um bom dimensionamento, alguns problemaspodem surgir em ambientes onde o acesso internet não écontrolado, ou ambientes que recebam muitos acessos.
Nesses casos, existem métodos de configuração que evitamLock Down mode e também Syn Flood:
http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg
Sistema Operacional, DNS e Active Directory
A versão correta do Windows Server 2008 deverá serescolhida de acordo com o tamanho da sua infra.
O Windows Server 2008 R2 Std até pode ser usado, porém,em ambientes pequenos em que a função do TMG seresuma a proxy e cache.
Caso haja necessidade de VPN, a versão standard doWindows suporta até 250 conexões.
Sistema Operacional, DNS e Active Directory
Não instalar o produto sem antes se certificar que o Windowsestá totalmente configurado e os patches instalados.
Afalta de patches pode causar problemas no comportamentonão só do TMG, mas, também do próprio sistemaoperacional, além de deixar o equipamento sujeito a brechasde segurança.
Não funciona no Windows Server 2012
Sistema Operacional, DNS e Active Directory
Verificar a saúde do seu servidor DNS e configurações antesde implementar sua infra estrutura do Forefront TMG
Qualquer problema no DNS afeta a performance e aresolução de nomes no servidor do Forefront TMG
De preferência criar seu DNS Zone na sua infra de servidoresAD, fazendo Forwarding para o DNS que faz as resoluçõesexternas
Sistema Operacional, DNS e Active Directory
Amesma recomendação se faz necessária para seu DomainController.
É através dele que o Forefront TMG analisa as permissõespor usuário nas regras e é nele que o produto busca asinformações de usuário.
Em infras com vários sites, verifique sempre se o seu servidorForefront TMG buscando autenticação no AD da próprialocalidade.
Sistema Operacional, DNS e Active Directory
Abaixo um link para um post onde o MVP Alberto Oliveiranarra um caso onde a configuração equivocada do AD podecausar problemas na infra de proxy:
http://oliveiraalberto.wordpress.com/2010/11/25/my-worst-isa-server-case
Placas de Rede, Log e cache
Em infras com arquitetura edge ou outra diferente de SingleNetwork Adapter, prestar atenção no Bind Order. PlacaInterna sempre com prioridade!
Sempre sincronize a velocidade da sua placa com a do seuroteador. Evite o “AutoNegotiation”
Toda rede criada no Forefront TMG deverá estar atrelada auma placa.http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network -configuration-on-forefront-tmg.aspx
Placas de Rede, Log e cache
Ambientes com duas placas de rede:
•Gateway sempre na rede externa•Roteamento para rede interna via rotas estáticas•DNS – preferencialmente usar resolução interna e externa apartir da placa da rede interna
Placas de Rede, Log e cache
Log s sempre sendo gravados em um disco próprio em arrayou LUN separada do SO e Cache.
Ambientes com mais de 10.000 usuários – recomendávelnão usar o SQL Express e direcionar a criação de log s paraum servidor SQLatravés de uma rede separada.
Cuidado ao direcionar log s para um servidor SQL! Algunscomandos devem ser aplicados previamente:http://technet.microsoft.com/pt-br/library/dd441079.aspx
Placas de Rede, Log e cache
Atenção para o tempo de retenção dos log s. Influencia noespaço em disco e nas informações que você poderáprecisar em um eventual relatório.
Log s em TXT são mais performáticos, porém, não é possívelacessar registros passados.
Placas de Rede, Log e cache
Da mesma forma que o Log, o serviço de cache deverá terseu próprio disco ou LUN para evitar problemas de gargalo.
Não crie arquivos de log muito grandes. Isso só causaproblemas. Siga o padrão definido pela Microsoft:100 MB + 0.5 MB * número de usuários:
http://msdn.microsoft.com/en-us/library/cc750618.aspx
Enterprise Management Server e Backup
O EMS gerencia arrays
com vários servidores
TMG
Enterprise Management Server e Backup
Enterprise Management Server e Backup
O backup de uma infra Forefront TMG deve se basear
no servidor do EMS ou no Array Manager
Manter sempre backup do array e/ou regras criadas
no Forefront TMG. Pode ser feito via scrip ou manual.
Cuidado na implementação das Redes de Backuphttp://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backup-
no-forefront-tmg/
Network Load Balance
Analisar bem o tráfego de sua rede
Para ambientes TMG em VM´s verificar as
recomendações do fornecedor do Host Físico
NLB Microsoft suporta até 500 mbps de tráfego. Além
disso é recomendado o uso de um Balanceador
Externo
Network Load Balance
Em ambientes grandes utilizar sempre Multicast
Detalhe Importante:
A Microsoft não suporta cenários em que a estrutura
possua balanceadores externos com estações
usando o Forefront TMG Firewall Client:http://technet.microsoft.com/en-us/library/ee796231.aspx
Proxy Transparente
Forma de se configurar o proxy transparente no TMG:
•Duas placas de rede no padrão Edge
•IP da interface Interna como default gateway da rede
•Servidor deverá ser capaz de rotear para toda rede
•Criar regra habilitando HTTP e HTTPS da interna
para externa com acesso para All Users
•Os acessos ocorrerão por SecureNat
Proxy Transparente
Pontos de atenção:
•SecureNAT não faz autenticação
•Não é possível restringir acessos nas regras por
usuário
•Qualquer outro tipo de acesso diferente de All Users
requer configuração de proxy explícito
Atualizações no produto
É importante saber qual versão do produto se está
lidando quando se faz um assessment ou um primeiro
contato:
Produto atualmente na versão SP2 Rollup 2
http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-a-
versao-do-forefront-tmg-pt-br.aspx
Para quem ainda usa o ISA Server
Não adianta usar mais que 4 GB de RAM – 32 Bits
Nunca use /3GB no Boot.ini – O engine FWENG roda
em Kernel
Demais recomendações iguais ao Forefront TMG
Para quem ainda usa o ISA Server
Migrar urgente para o Forefront TMG!
Referências para Estudo
Forefront TMG Hardware Recommendations
http://technet.microsoft.com/en-us/library/ff382651.aspx
Forefront Deployment Resources
http://www.microsoft.com/forefront/en/us/deployment.aspx
Microsoft Forefront TMG Case Studies
http://www.microsoft.com/forefront/threat-management-gateway/en/us/case-
studies.aspx
Referências para Estudo
Guia de sobrevivência Forefront TMG no Technet Wiki:
http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx
Forum Technet – Forefront TMG:
http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads
Microsoft Space:
http://uilson76.wordpress.com
Treinamento Online Forefront TMG:
http://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefront-
tmg/
A Microsoft ajuda vc a planejar!
Forefront TMG Capacity Planning Toolhttp://www.microsoft.com/en-us/download/details.aspx?id=15196
Planejando corretamente
Obrigado pelo tempo dispensado!
Uilson SouzaSr. IT Projects AnalystMCTS ISA Server 2006MTAC – Microsoft Technical Audience Contributorhttp://uilson76.wordpress.comsouzajr.nc@uol.com.br ou usouzajr@gmail.com