Forefront TMG - Planejando corretamente

1.817 visualizações

Publicada em

Apresentação sobre planejamento do Forefront TMG

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.817
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
45
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Forefront TMG - Planejando corretamente

  1. 1. Planejando corretamente Uilson Souza Sr. IT Projects Analyst MCTS ISA Server 2006 MTAC – Microsoft Technical Audience Contributor http://uilson76.wordpress.com souzajr.nc@uol.com.br ou usouzajr@gmail.com
  2. 2. Agenda •Entendendo o ambiente •Como seu ambiente irá funcionar •Arquitetura de rede e features do produto •Hardware – disco/processamento/memória •Sistema Operacional, DNS e Active Directory •Placas de Rede, Log e cache •Enterprise Management Server e Backup •Network Load Balance •Proxy transparente •Atualizações no produto •Para quem ainda usa ISA Server •Referências para estudo
  3. 3. Entendendo seu ambiente Topologia do ambiente Fluxo de acesso internet Tipo de usuário no ambiente – High, medium, low? Redes, VLAN s, Firewalls, etc Tamanho e quantidade de links da corporação Objetivos do acesso internet
  4. 4. Como seu ambiente irá funcionar O que você precisa? Como você precisa? Qual a funcionalidade do Forefront TMG para a corporação? Que tipo de equipamento você irá usar? Appliance, VM, Servidor físico? O Forefront TMG ficará na rede interna? Será backfirewall ou ficará na borda?
  5. 5. Arquiteturas de rede e features do produto Qual arquitetura usar? Edge, 3-Leg Perimeter, Back Firewall, Single Network Adapter
  6. 6. Arquiteturas de rede e features do produto Existem diversas implementações de TMG usando Single Network Adapter com regras configuradas de forma errada, causando problemas de performance e tornando o ambiente “não suportado” http://technet.microsoft.com/en-us/library/cc995236.aspx
  7. 7. Hardware Disco/Processamento/Memória Um dos grandes erros na montagem do servidor ocorre na arquitetura dos discos. Fundamental que haja separação do disco de SO/TMG, Cache o Log O resultado desta má configuração são problemas de gargalo de disco causando lentidão para quem acessa o servidor e também para o usuário final.
  8. 8. Hardware Disco/Processamento/Memória A arquitetura de discos sempre deverá seguir o modelo ao lado. Arrays separados montados em RAID1 (que é mais performático), ou RAID10, dependendo da quantidade de discos OBS: Os tamanhos descritos na imagem ao lado são apenas exemplos
  9. 9. Hardware Disco/Processamento/Memória Para memória – nada inferior a 4 ou 8 GB de RAM Processamento – mínimo de 2 processadores para máquinas virtuais ou 1 quadcore para servidores físicos Lembrando que a licença do Forefront TMG é vendida por processador e este planejamento também influi em custos Publicação Web também é um fator que deve ser analisado, pois, vai consumir processamento
  10. 10. Hardware Disco/Processamento/Memória O dimensionamento de memória e processamento também é influenciado pelo número de usuários, tipo de acesso a internet, etc. Features como SSL Inspection, Network Inspection, URL Filtering, etc, devem obrigatoriamente ser consideradas no que tange a processamento e memória. Atenção também para método de gravação de log s, possíveis commits de LLQ s, etc.
  11. 11. Hardware Disco/Processamento/Memória Mesmo após um bom dimensionamento, alguns problemas podem surgir em ambientes onde o acesso internet não é controlado, ou ambientes que recebam muitos acessos. Nesses casos, existem métodos de configuração que evitam Lock Down mode e também Syn Flood: http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg
  12. 12. Sistema Operacional, DNS e Active Directory A versão correta do Windows Server 2008 deverá escolhida de acordo com o tamanho da sua infra. ser O Windows Server 2008 R2 Std até pode ser usado, porém, em ambientes pequenos em que a função do TMG se resuma a proxy e cache. Caso haja necessidade de VPN, a versão standard do Windows suporta até 250 conexões.
  13. 13. Sistema Operacional, DNS e Active Directory Não instalar o produto sem antes se certificar que o Windows está totalmente configurado e os patches instalados. A falta de patches pode causar problemas no comportamento não só do TMG, mas, também do próprio sistema operacional, além de deixar o equipamento sujeito a brechas de segurança. Não funciona no Windows Server 2012
  14. 14. Sistema Operacional, DNS e Active Directory Verificar a saúde do seu servidor DNS e configurações antes de implementar sua infra estrutura do Forefront TMG Qualquer problema no DNS afeta a performance e a resolução de nomes no servidor do Forefront TMG De preferência criar seu DNS Zone na sua infra de servidores AD, fazendo Forwarding para o DNS que faz as resoluções externas
  15. 15. Sistema Operacional, DNS e Active Directory A mesma recomendação se faz necessária para seu Domain Controller. É através dele que o Forefront TMG analisa as permissões por usuário nas regras e é nele que o produto busca as informações de usuário. Em infras com vários sites, verifique sempre se o seu servidor Forefront TMG buscando autenticação no AD da própria localidade.
  16. 16. Sistema Operacional, DNS e Active Directory Abaixo um link para um post onde o MVP Alberto Oliveira narra um caso onde a configuração equivocada do AD pode causar problemas na infra de proxy: http://oliveiraalberto.wordpress.com/2010/11/25/my-worst-isa-server-case
  17. 17. Placas de Rede, Log e cache Em infras com arquitetura edge ou outra diferente de Single Network Adapter, prestar atenção no Bind Order. Placa Interna sempre com prioridade! Sempre sincronize a velocidade da sua placa com a do seu roteador. Evite o “Auto Negotiation” Toda rede criada no Forefront TMG deverá estar atrelada a uma placa. http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network configuration-on-forefront-tmg.aspx
  18. 18. Placas de Rede, Log e cache Ambientes com duas placas de rede: •Gateway sempre na rede externa •Roteamento para rede interna via rotas estáticas •DNS – preferencialmente usar resolução interna e externa a partir da placa da rede interna
  19. 19. Placas de Rede, Log e cache Log s sempre sendo gravados em um disco próprio em array ou LUN separada do SO e Cache. Ambientes com mais de 10.000 usuários – recomendável não usar o SQL Express e direcionar a criação de log s para um servidor SQL através de uma rede separada. Cuidado ao direcionar log s para um servidor SQL! Alguns comandos devem ser aplicados previamente: http://technet.microsoft.com/pt-br/library/dd441079.aspx
  20. 20. Placas de Rede, Log e cache Atenção para o tempo de retenção dos log s. Influencia no espaço em disco e nas informações que você poderá precisar em um eventual relatório. Log s em TXT são mais performáticos, porém, não é possível acessar registros passados.
  21. 21. Placas de Rede, Log e cache Da mesma forma que o Log, o serviço de cache deverá ter seu próprio disco ou LUN para evitar problemas de gargalo. Não crie arquivos de log muito grandes. Isso só causa problemas. Siga o padrão definido pela Microsoft: 100 MB + 0.5 MB * número de usuários: http://msdn.microsoft.com/en-us/library/cc750618.aspx
  22. 22. Enterprise Management Server e Backup O EMS gerencia arrays com vários servidores TMG
  23. 23. Enterprise Management Server e Backup
  24. 24. Enterprise Management Server e Backup O backup de uma infra Forefront TMG deve se basear no servidor do EMS ou no Array Manager Manter sempre backup do array e/ou regras criadas no Forefront TMG. Pode ser feito via scrip ou manual. Cuidado na implementação das Redes de Backup http://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backupno-forefront-tmg/
  25. 25. Network Load Balance Analisar bem o tráfego de sua rede Para ambientes TMG em VM´s verificar recomendações do fornecedor do Host Físico as NLB Microsoft suporta até 500 mbps de tráfego. Além disso é recomendado o uso de um Balanceador Externo
  26. 26. Network Load Balance Em ambientes grandes utilizar sempre Multicast Detalhe Importante: A Microsoft não suporta cenários em que a estrutura possua balanceadores externos com estações usando o Forefront TMG Firewall Client: http://technet.microsoft.com/en-us/library/ee796231.aspx
  27. 27. Proxy Transparente Forma de se configurar o proxy transparente no TMG: •Duas placas de rede no padrão Edge •IP da interface Interna como default gateway da rede •Servidor deverá ser capaz de rotear para toda rede •Criar regra habilitando HTTP e HTTPS da interna para externa com acesso para All Users •Os acessos ocorrerão por SecureNat
  28. 28. Proxy Transparente Pontos de atenção: •SecureNAT não faz autenticação •Não é possível restringir acessos nas regras por usuário •Qualquer outro tipo de acesso diferente de All Users requer configuração de proxy explícito
  29. 29. Atualizações no produto É importante saber qual versão do produto se está lidando quando se faz um assessment ou um primeiro contato: http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-aversao-do-forefront-tmg-pt-br.aspx Produto atualmente na versão SP2 Rollup 2
  30. 30. Para quem ainda usa o ISA Server Não adianta usar mais que 4 GB de RAM – 32 Bits Nunca use /3GB no Boot.ini – O engine FWENG roda em Kernel Demais recomendações iguais ao Forefront TMG
  31. 31. Para quem ainda usa o ISA Server Migrar urgente para o Forefront TMG!
  32. 32. Referências para Estudo Forefront TMG Hardware Recommendations http://technet.microsoft.com/en-us/library/ff382651.aspx Forefront Deployment Resources http://www.microsoft.com/forefront/en/us/deployment.aspx Microsoft Forefront TMG Case Studies http://www.microsoft.com/forefront/threat-management-gateway/en/us/casestudies.aspx
  33. 33. Referências para Estudo Guia de sobrevivência Forefront TMG no Technet Wiki: http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx Forum Technet – Forefront TMG: http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads Microsoft Space: http://uilson76.wordpress.com Treinamento Online Forefront TMG: http://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefronttmg/
  34. 34. A Microsoft ajuda vc a planejar! Forefront TMG Capacity Planning Tool http://www.microsoft.com/en-us/download/details.aspx?id=15196
  35. 35. Planejando corretamente Obrigado pelo tempo dispensado! Uilson Souza Sr. IT Projects Analyst MCTS ISA Server 2006 MTAC – Microsoft Technical Audience Contributor http://uilson76.wordpress.com souzajr.nc@uol.com.br ou usouzajr@gmail.com

×