Planejando corretamente

Uilson Souza
Sr. IT Projects Analyst
MCTS ISA Server 2006
MTAC – Microsoft Technical Audience Con...
Agenda
•Entendendo o ambiente
•Como seu ambiente irá funcionar
•Arquitetura de rede e features do produto
•Hardware – disc...
Entendendo seu ambiente
Topologia do ambiente
Fluxo de acesso internet
Tipo de usuário no ambiente – High, medium, low?
Re...
Como seu ambiente
irá funcionar
O que você precisa? Como você precisa?
Qual a funcionalidade do Forefront TMG para a
corpo...
Arquiteturas de rede e
features do produto
Qual arquitetura usar? Edge, 3-Leg Perimeter, Back
Firewall, Single Network Ada...
Arquiteturas de rede e
features do produto
Existem diversas implementações
de TMG usando Single Network
Adapter com regras...
Hardware
Disco/Processamento/Memória
Um dos grandes erros na montagem do servidor ocorre na
arquitetura dos discos.

Funda...
Hardware
Disco/Processamento/Memória
A arquitetura de discos sempre
deverá seguir o modelo ao lado.

Arrays separados mont...
Hardware
Disco/Processamento/Memória
Para memória – nada inferior a 4 ou 8 GB de RAM
Processamento – mínimo de 2 processad...
Hardware
Disco/Processamento/Memória
O dimensionamento de memória e processamento também
é influenciado pelo número de usu...
Hardware
Disco/Processamento/Memória
Mesmo após um bom dimensionamento, alguns problemas
podem surgir em ambientes onde o ...
Sistema Operacional, DNS e
Active Directory
A versão correta do Windows Server 2008 deverá
escolhida de acordo com o taman...
Sistema Operacional, DNS e
Active Directory
Não instalar o produto sem antes se certificar que o Windows
está totalmente c...
Sistema Operacional, DNS e
Active Directory
Verificar a saúde do seu servidor DNS e configurações antes
de implementar sua...
Sistema Operacional, DNS e
Active Directory
A mesma recomendação se faz necessária para seu Domain
Controller.

É através ...
Sistema Operacional, DNS e
Active Directory
Abaixo um link para um post onde o MVP Alberto Oliveira
narra um caso onde a c...
Placas de Rede, Log e cache
Em infras com arquitetura edge ou outra diferente de Single
Network Adapter, prestar atenção n...
Placas de Rede, Log e cache
Ambientes com duas placas de rede:
•Gateway sempre na rede externa
•Roteamento para rede inter...
Placas de Rede, Log e cache
Log s sempre sendo gravados em um disco próprio em array
ou LUN separada do SO e Cache.

Ambie...
Placas de Rede, Log e cache
Atenção para o tempo de retenção dos log s. Influencia no
espaço em disco e nas informações qu...
Placas de Rede, Log e cache
Da mesma forma que o Log, o serviço de cache deverá ter
seu próprio disco ou LUN para evitar p...
Enterprise Management Server
e Backup
O EMS gerencia arrays
com vários servidores
TMG
Enterprise Management Server
e Backup
Enterprise Management Server
e Backup
O backup de uma infra Forefront TMG deve se basear
no servidor do EMS ou no Array Ma...
Network Load Balance

Analisar bem o tráfego de sua rede
Para ambientes TMG em VM´s verificar
recomendações do fornecedor ...
Network Load Balance

Em ambientes grandes utilizar sempre Multicast
Detalhe Importante:
A Microsoft não suporta cenários ...
Proxy Transparente

Forma de se configurar o proxy transparente no TMG:
•Duas placas de rede no padrão Edge
•IP da interfa...
Proxy Transparente

Pontos de atenção:
•SecureNAT não faz autenticação
•Não é possível restringir acessos nas regras por
u...
Atualizações no produto

É importante saber qual versão do produto se está
lidando quando se faz um assessment ou um prime...
Para quem ainda usa o ISA Server

Não adianta usar mais que 4 GB de RAM – 32 Bits
Nunca use /3GB no Boot.ini – O engine FW...
Para quem ainda usa o ISA Server

Migrar urgente para o Forefront TMG!
Referências para Estudo

Forefront TMG Hardware Recommendations
http://technet.microsoft.com/en-us/library/ff382651.aspx
F...
Referências para Estudo

Guia de sobrevivência Forefront TMG no Technet Wiki:
http://social.technet.microsoft.com/wiki/con...
A Microsoft ajuda vc a planejar!

Forefront TMG Capacity Planning Tool
http://www.microsoft.com/en-us/download/details.asp...
Planejando corretamente

Obrigado pelo tempo dispensado!
Uilson Souza
Sr. IT Projects Analyst
MCTS ISA Server 2006
MTAC – ...
Próximos SlideShares
Carregando em…5
×

Forefront TMG - Planejando corretamente

1.891 visualizações

Publicada em

Apresentação sobre planejamento do Forefront TMG

Publicada em: Tecnologia
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Forefront TMG - Planejando corretamente

  1. 1. Planejando corretamente Uilson Souza Sr. IT Projects Analyst MCTS ISA Server 2006 MTAC – Microsoft Technical Audience Contributor http://uilson76.wordpress.com souzajr.nc@uol.com.br ou usouzajr@gmail.com
  2. 2. Agenda •Entendendo o ambiente •Como seu ambiente irá funcionar •Arquitetura de rede e features do produto •Hardware – disco/processamento/memória •Sistema Operacional, DNS e Active Directory •Placas de Rede, Log e cache •Enterprise Management Server e Backup •Network Load Balance •Proxy transparente •Atualizações no produto •Para quem ainda usa ISA Server •Referências para estudo
  3. 3. Entendendo seu ambiente Topologia do ambiente Fluxo de acesso internet Tipo de usuário no ambiente – High, medium, low? Redes, VLAN s, Firewalls, etc Tamanho e quantidade de links da corporação Objetivos do acesso internet
  4. 4. Como seu ambiente irá funcionar O que você precisa? Como você precisa? Qual a funcionalidade do Forefront TMG para a corporação? Que tipo de equipamento você irá usar? Appliance, VM, Servidor físico? O Forefront TMG ficará na rede interna? Será backfirewall ou ficará na borda?
  5. 5. Arquiteturas de rede e features do produto Qual arquitetura usar? Edge, 3-Leg Perimeter, Back Firewall, Single Network Adapter
  6. 6. Arquiteturas de rede e features do produto Existem diversas implementações de TMG usando Single Network Adapter com regras configuradas de forma errada, causando problemas de performance e tornando o ambiente “não suportado” http://technet.microsoft.com/en-us/library/cc995236.aspx
  7. 7. Hardware Disco/Processamento/Memória Um dos grandes erros na montagem do servidor ocorre na arquitetura dos discos. Fundamental que haja separação do disco de SO/TMG, Cache o Log O resultado desta má configuração são problemas de gargalo de disco causando lentidão para quem acessa o servidor e também para o usuário final.
  8. 8. Hardware Disco/Processamento/Memória A arquitetura de discos sempre deverá seguir o modelo ao lado. Arrays separados montados em RAID1 (que é mais performático), ou RAID10, dependendo da quantidade de discos OBS: Os tamanhos descritos na imagem ao lado são apenas exemplos
  9. 9. Hardware Disco/Processamento/Memória Para memória – nada inferior a 4 ou 8 GB de RAM Processamento – mínimo de 2 processadores para máquinas virtuais ou 1 quadcore para servidores físicos Lembrando que a licença do Forefront TMG é vendida por processador e este planejamento também influi em custos Publicação Web também é um fator que deve ser analisado, pois, vai consumir processamento
  10. 10. Hardware Disco/Processamento/Memória O dimensionamento de memória e processamento também é influenciado pelo número de usuários, tipo de acesso a internet, etc. Features como SSL Inspection, Network Inspection, URL Filtering, etc, devem obrigatoriamente ser consideradas no que tange a processamento e memória. Atenção também para método de gravação de log s, possíveis commits de LLQ s, etc.
  11. 11. Hardware Disco/Processamento/Memória Mesmo após um bom dimensionamento, alguns problemas podem surgir em ambientes onde o acesso internet não é controlado, ou ambientes que recebam muitos acessos. Nesses casos, existem métodos de configuração que evitam Lock Down mode e também Syn Flood: http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg
  12. 12. Sistema Operacional, DNS e Active Directory A versão correta do Windows Server 2008 deverá escolhida de acordo com o tamanho da sua infra. ser O Windows Server 2008 R2 Std até pode ser usado, porém, em ambientes pequenos em que a função do TMG se resuma a proxy e cache. Caso haja necessidade de VPN, a versão standard do Windows suporta até 250 conexões.
  13. 13. Sistema Operacional, DNS e Active Directory Não instalar o produto sem antes se certificar que o Windows está totalmente configurado e os patches instalados. A falta de patches pode causar problemas no comportamento não só do TMG, mas, também do próprio sistema operacional, além de deixar o equipamento sujeito a brechas de segurança. Não funciona no Windows Server 2012
  14. 14. Sistema Operacional, DNS e Active Directory Verificar a saúde do seu servidor DNS e configurações antes de implementar sua infra estrutura do Forefront TMG Qualquer problema no DNS afeta a performance e a resolução de nomes no servidor do Forefront TMG De preferência criar seu DNS Zone na sua infra de servidores AD, fazendo Forwarding para o DNS que faz as resoluções externas
  15. 15. Sistema Operacional, DNS e Active Directory A mesma recomendação se faz necessária para seu Domain Controller. É através dele que o Forefront TMG analisa as permissões por usuário nas regras e é nele que o produto busca as informações de usuário. Em infras com vários sites, verifique sempre se o seu servidor Forefront TMG buscando autenticação no AD da própria localidade.
  16. 16. Sistema Operacional, DNS e Active Directory Abaixo um link para um post onde o MVP Alberto Oliveira narra um caso onde a configuração equivocada do AD pode causar problemas na infra de proxy: http://oliveiraalberto.wordpress.com/2010/11/25/my-worst-isa-server-case
  17. 17. Placas de Rede, Log e cache Em infras com arquitetura edge ou outra diferente de Single Network Adapter, prestar atenção no Bind Order. Placa Interna sempre com prioridade! Sempre sincronize a velocidade da sua placa com a do seu roteador. Evite o “Auto Negotiation” Toda rede criada no Forefront TMG deverá estar atrelada a uma placa. http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network configuration-on-forefront-tmg.aspx
  18. 18. Placas de Rede, Log e cache Ambientes com duas placas de rede: •Gateway sempre na rede externa •Roteamento para rede interna via rotas estáticas •DNS – preferencialmente usar resolução interna e externa a partir da placa da rede interna
  19. 19. Placas de Rede, Log e cache Log s sempre sendo gravados em um disco próprio em array ou LUN separada do SO e Cache. Ambientes com mais de 10.000 usuários – recomendável não usar o SQL Express e direcionar a criação de log s para um servidor SQL através de uma rede separada. Cuidado ao direcionar log s para um servidor SQL! Alguns comandos devem ser aplicados previamente: http://technet.microsoft.com/pt-br/library/dd441079.aspx
  20. 20. Placas de Rede, Log e cache Atenção para o tempo de retenção dos log s. Influencia no espaço em disco e nas informações que você poderá precisar em um eventual relatório. Log s em TXT são mais performáticos, porém, não é possível acessar registros passados.
  21. 21. Placas de Rede, Log e cache Da mesma forma que o Log, o serviço de cache deverá ter seu próprio disco ou LUN para evitar problemas de gargalo. Não crie arquivos de log muito grandes. Isso só causa problemas. Siga o padrão definido pela Microsoft: 100 MB + 0.5 MB * número de usuários: http://msdn.microsoft.com/en-us/library/cc750618.aspx
  22. 22. Enterprise Management Server e Backup O EMS gerencia arrays com vários servidores TMG
  23. 23. Enterprise Management Server e Backup
  24. 24. Enterprise Management Server e Backup O backup de uma infra Forefront TMG deve se basear no servidor do EMS ou no Array Manager Manter sempre backup do array e/ou regras criadas no Forefront TMG. Pode ser feito via scrip ou manual. Cuidado na implementação das Redes de Backup http://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backupno-forefront-tmg/
  25. 25. Network Load Balance Analisar bem o tráfego de sua rede Para ambientes TMG em VM´s verificar recomendações do fornecedor do Host Físico as NLB Microsoft suporta até 500 mbps de tráfego. Além disso é recomendado o uso de um Balanceador Externo
  26. 26. Network Load Balance Em ambientes grandes utilizar sempre Multicast Detalhe Importante: A Microsoft não suporta cenários em que a estrutura possua balanceadores externos com estações usando o Forefront TMG Firewall Client: http://technet.microsoft.com/en-us/library/ee796231.aspx
  27. 27. Proxy Transparente Forma de se configurar o proxy transparente no TMG: •Duas placas de rede no padrão Edge •IP da interface Interna como default gateway da rede •Servidor deverá ser capaz de rotear para toda rede •Criar regra habilitando HTTP e HTTPS da interna para externa com acesso para All Users •Os acessos ocorrerão por SecureNat
  28. 28. Proxy Transparente Pontos de atenção: •SecureNAT não faz autenticação •Não é possível restringir acessos nas regras por usuário •Qualquer outro tipo de acesso diferente de All Users requer configuração de proxy explícito
  29. 29. Atualizações no produto É importante saber qual versão do produto se está lidando quando se faz um assessment ou um primeiro contato: http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-aversao-do-forefront-tmg-pt-br.aspx Produto atualmente na versão SP2 Rollup 2
  30. 30. Para quem ainda usa o ISA Server Não adianta usar mais que 4 GB de RAM – 32 Bits Nunca use /3GB no Boot.ini – O engine FWENG roda em Kernel Demais recomendações iguais ao Forefront TMG
  31. 31. Para quem ainda usa o ISA Server Migrar urgente para o Forefront TMG!
  32. 32. Referências para Estudo Forefront TMG Hardware Recommendations http://technet.microsoft.com/en-us/library/ff382651.aspx Forefront Deployment Resources http://www.microsoft.com/forefront/en/us/deployment.aspx Microsoft Forefront TMG Case Studies http://www.microsoft.com/forefront/threat-management-gateway/en/us/casestudies.aspx
  33. 33. Referências para Estudo Guia de sobrevivência Forefront TMG no Technet Wiki: http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx Forum Technet – Forefront TMG: http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads Microsoft Space: http://uilson76.wordpress.com Treinamento Online Forefront TMG: http://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefronttmg/
  34. 34. A Microsoft ajuda vc a planejar! Forefront TMG Capacity Planning Tool http://www.microsoft.com/en-us/download/details.aspx?id=15196
  35. 35. Planejando corretamente Obrigado pelo tempo dispensado! Uilson Souza Sr. IT Projects Analyst MCTS ISA Server 2006 MTAC – Microsoft Technical Audience Contributor http://uilson76.wordpress.com souzajr.nc@uol.com.br ou usouzajr@gmail.com

×