forefront tmg - planejando corretamente

Planejando corretamente

Uilson SouzaSr. IT Projects AnalystMCTS ISA Server 2006MTAC – Microsoft Technical Audience Contributorhttp://uilson76.wordpress.comsouzajr.nc@uol.com.br ou usouzajr@gmail.com

Agenda

•Entendendo o ambiente•Como seu ambiente irá funcionar•Arquitetura de rede e features do produto•Hardware –disco/processamento/memória•Sistema Operacional, DNS e Active Directory•Placas de Rede, Log e cache•Enterprise Management Server e Backup•Network Load Balance•Proxy transparente•Atualizações no produto•Para quem ainda usa ISA Server•Referências para estudo

Entendendo seu ambiente

Topologia do ambienteFluxo de acesso internetTipo de usuário no ambiente –High, medium, low?Redes, VLAN s, Firewalls, etcTamanho e quantidade de links da corporaçãoObjetivos do acesso internet

Como seu ambiente irá funcionar

O que você precisa? Como você precisa?Qual a funcionalidade do Forefront TMG para acorporação?Que tipo de equipamento você irá usar? Appliance,VM, Servidor físico?O Forefront TMG ficará na rede interna? Será back-firewall ou ficará na borda?

Arquiteturas de rede e features do produto

Qual arquitetura usar? Edge, 3-Leg Perimeter, BackFirewall, Single NetworkAdapter

Arquiteturas de rede e features do produto

Existem diversas implementaçõesde TMG usando Single NetworkAdapter com regras configuradasde forma errada, causandoproblemas de performance etornando o ambiente “nãosuportado”

http://technet.microsoft.com/en-us/library/cc995236.aspx

Hardware Disco/Processamento/Memória

Um dos grandes erros na montagem do servidor ocorre naarquitetura dos discos.

Fundamental que haja separação do disco de SO/TMG,Cache o Log

O resultado desta má configuração são problemas degargalo de disco causando lentidão para quem acessa oservidor e também para o usuário final.

Hardware Disco/Processamento/Memória

A arquitetura de discos sempredeverá seguir o modelo ao lado.

Arrays separados montados emRAID1 (que é mais performático),ou RAID10, dependendo daquantidade de discos

OBS: Ostamanhosdescritosnaimagemaoladosãoapenasexemplos

Hardware Disco/Processamento/Memória

Para memória – nada inferior a 4 ou 8 GB de RAM

Processamento – mínimo de 2 processadores paramáquinas virtuais ou 1 quadcore para servidores físicos

Lembrando que a licença do Forefront TMG é vendida porprocessador e este planejamento também influi em custos

Publicação Web também é um fator que deve ser analisado,pois, vai consumir processamento

Hardware Disco/Processamento/Memória

O dimensionamento de memória e processamento tambémé influenciado pelo número de usuários, tipo de acesso ainternet, etc.

Features como SSL Inspection, Network Inspection, URLFiltering, etc, devem obrigatoriamente ser consideradas noque tange a processamento e memória.

Atenção também para método de gravação de log s,possíveis commits de LLQ s, etc.

Hardware Disco/Processamento/Memória

Mesmo após um bom dimensionamento, alguns problemaspodem surgir em ambientes onde o acesso internet não écontrolado, ou ambientes que recebam muitos acessos.

Nesses casos, existem métodos de configuração que evitamLock Down mode e também Syn Flood:

http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg

Sistema Operacional, DNS e Active Directory

A versão correta do Windows Server 2008 deverá serescolhida de acordo com o tamanho da sua infra.

O Windows Server 2008 R2 Std até pode ser usado, porém,em ambientes pequenos em que a função do TMG seresuma a proxy e cache.

Caso haja necessidade de VPN, a versão standard doWindows suporta até 250 conexões.

Sistema Operacional, DNS e Active Directory

Não instalar o produto sem antes se certificar que o Windowsestá totalmente configurado e os patches instalados.

Afalta de patches pode causar problemas no comportamentonão só do TMG, mas, também do próprio sistemaoperacional, além de deixar o equipamento sujeito a brechasde segurança.

Não funciona no Windows Server 2012

Sistema Operacional, DNS e Active Directory

Verificar a saúde do seu servidor DNS e configurações antesde implementar sua infra estrutura do Forefront TMG

Qualquer problema no DNS afeta a performance e aresolução de nomes no servidor do Forefront TMG

De preferência criar seu DNS Zone na sua infra de servidoresAD, fazendo Forwarding para o DNS que faz as resoluçõesexternas

Sistema Operacional, DNS e Active Directory

Amesma recomendação se faz necessária para seu DomainController.

É através dele que o Forefront TMG analisa as permissõespor usuário nas regras e é nele que o produto busca asinformações de usuário.

Em infras com vários sites, verifique sempre se o seu servidorForefront TMG buscando autenticação no AD da próprialocalidade.

Sistema Operacional, DNS e Active Directory

Abaixo um link para um post onde o MVP Alberto Oliveiranarra um caso onde a configuração equivocada do AD podecausar problemas na infra de proxy:

http://oliveiraalberto.wordpress.com/2010/11/25/my-worst-isa-server-case

Placas de Rede, Log e cache

Em infras com arquitetura edge ou outra diferente de SingleNetwork Adapter, prestar atenção no Bind Order. PlacaInterna sempre com prioridade!

Sempre sincronize a velocidade da sua placa com a do seuroteador. Evite o “AutoNegotiation”

Toda rede criada no Forefront TMG deverá estar atrelada auma placa.http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network -configuration-on-forefront-tmg.aspx

Placas de Rede, Log e cache

Ambientes com duas placas de rede:

•Gateway sempre na rede externa•Roteamento para rede interna via rotas estáticas•DNS – preferencialmente usar resolução interna e externa apartir da placa da rede interna

Placas de Rede, Log e cache

Log s sempre sendo gravados em um disco próprio em arrayou LUN separada do SO e Cache.

Ambientes com mais de 10.000 usuários – recomendávelnão usar o SQL Express e direcionar a criação de log s paraum servidor SQLatravés de uma rede separada.

Cuidado ao direcionar log s para um servidor SQL! Algunscomandos devem ser aplicados previamente:http://technet.microsoft.com/pt-br/library/dd441079.aspx

Placas de Rede, Log e cache

Atenção para o tempo de retenção dos log s. Influencia noespaço em disco e nas informações que você poderáprecisar em um eventual relatório.

Log s em TXT são mais performáticos, porém, não é possívelacessar registros passados.

Placas de Rede, Log e cache

Da mesma forma que o Log, o serviço de cache deverá terseu próprio disco ou LUN para evitar problemas de gargalo.

Não crie arquivos de log muito grandes. Isso só causaproblemas. Siga o padrão definido pela Microsoft:100 MB + 0.5 MB * número de usuários:

http://msdn.microsoft.com/en-us/library/cc750618.aspx

Enterprise Management Server e Backup

O EMS gerencia arrays

com vários servidores

TMG

Enterprise Management Server e Backup

Enterprise Management Server e Backup

O backup de uma infra Forefront TMG deve se basear

no servidor do EMS ou no Array Manager

Manter sempre backup do array e/ou regras criadas

no Forefront TMG. Pode ser feito via scrip ou manual.

Cuidado na implementação das Redes de Backuphttp://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backup-

no-forefront-tmg/

Network Load Balance

Analisar bem o tráfego de sua rede

Para ambientes TMG em VM´s verificar as

recomendações do fornecedor do Host Físico

NLB Microsoft suporta até 500 mbps de tráfego. Além

disso é recomendado o uso de um Balanceador

Externo

Network Load Balance

Em ambientes grandes utilizar sempre Multicast

Detalhe Importante:

A Microsoft não suporta cenários em que a estrutura

possua balanceadores externos com estações

usando o Forefront TMG Firewall Client:http://technet.microsoft.com/en-us/library/ee796231.aspx

Proxy Transparente

Forma de se configurar o proxy transparente no TMG:

•Duas placas de rede no padrão Edge

•IP da interface Interna como default gateway da rede

•Servidor deverá ser capaz de rotear para toda rede

•Criar regra habilitando HTTP e HTTPS da interna

para externa com acesso para All Users

•Os acessos ocorrerão por SecureNat

Proxy Transparente

Pontos de atenção:

•SecureNAT não faz autenticação

•Não é possível restringir acessos nas regras por

usuário

•Qualquer outro tipo de acesso diferente de All Users

requer configuração de proxy explícito

Atualizações no produto

É importante saber qual versão do produto se está

lidando quando se faz um assessment ou um primeiro

contato:

Produto atualmente na versão SP2 Rollup 2

http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-a-

versao-do-forefront-tmg-pt-br.aspx

Para quem ainda usa o ISA Server

Não adianta usar mais que 4 GB de RAM – 32 Bits

Nunca use /3GB no Boot.ini – O engine FWENG roda

em Kernel

Demais recomendações iguais ao Forefront TMG

Para quem ainda usa o ISA Server

Migrar urgente para o Forefront TMG!

Referências para Estudo

Forefront TMG Hardware Recommendations

http://technet.microsoft.com/en-us/library/ff382651.aspx

Forefront Deployment Resources

http://www.microsoft.com/forefront/en/us/deployment.aspx

Microsoft Forefront TMG Case Studies

http://www.microsoft.com/forefront/threat-management-gateway/en/us/case-

studies.aspx

Referências para Estudo

Guia de sobrevivência Forefront TMG no Technet Wiki:

http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx

Forum Technet – Forefront TMG:

http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads

Microsoft Space:

http://uilson76.wordpress.com

Treinamento Online Forefront TMG:

http://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefront-

tmg/

A Microsoft ajuda vc a planejar!

Forefront TMG Capacity Planning Toolhttp://www.microsoft.com/en-us/download/details.aspx?id=15196

Planejando corretamente

Obrigado pelo tempo dispensado!

Uilson SouzaSr. IT Projects AnalystMCTS ISA Server 2006MTAC – Microsoft Technical Audience Contributorhttp://uilson76.wordpress.comsouzajr.nc@uol.com.br ou usouzajr@gmail.com