forefront tmg - planejando corretamente

35
Planejando corretamente Uilson Souza Sr. IT Projects Analyst MCTS ISA Server 2006 MTAC Microsoft Technical Audience Contributor http://uilson76.wordpress.com [email protected] ou [email protected]

Upload: uilson-souza

Post on 20-Jul-2015

922 views

Category:

Technology


1 download

TRANSCRIPT

Page 1: Forefront TMG - Planejando corretamente

Planejando corretamente

Uilson SouzaSr. IT Projects AnalystMCTS ISA Server 2006MTAC – Microsoft Technical Audience Contributorhttp://[email protected] ou [email protected]

Page 2: Forefront TMG - Planejando corretamente

Agenda

•Entendendo o ambiente•Como seu ambiente irá funcionar•Arquitetura de rede e features do produto•Hardware –disco/processamento/memória•Sistema Operacional, DNS e Active Directory•Placas de Rede, Log e cache•Enterprise Management Server e Backup•Network Load Balance•Proxy transparente•Atualizações no produto•Para quem ainda usa ISA Server•Referências para estudo

Page 3: Forefront TMG - Planejando corretamente

Entendendo seu ambiente

Topologia do ambienteFluxo de acesso internetTipo de usuário no ambiente –High, medium, low?Redes, VLAN s, Firewalls, etcTamanho e quantidade de links da corporaçãoObjetivos do acesso internet

Page 4: Forefront TMG - Planejando corretamente

Como seu ambiente irá funcionar

O que você precisa? Como você precisa?Qual a funcionalidade do Forefront TMG para acorporação?Que tipo de equipamento você irá usar? Appliance,VM, Servidor físico?O Forefront TMG ficará na rede interna? Será back-firewall ou ficará na borda?

Page 5: Forefront TMG - Planejando corretamente

Arquiteturas de rede e features do produto

Qual arquitetura usar? Edge, 3-Leg Perimeter, BackFirewall, Single NetworkAdapter

Page 6: Forefront TMG - Planejando corretamente

Arquiteturas de rede e features do produto

Existem diversas implementaçõesde TMG usando Single NetworkAdapter com regras configuradasde forma errada, causandoproblemas de performance etornando o ambiente “nãosuportado”

http://technet.microsoft.com/en-us/library/cc995236.aspx

Page 7: Forefront TMG - Planejando corretamente

Hardware Disco/Processamento/Memória

Um dos grandes erros na montagem do servidor ocorre naarquitetura dos discos.

Fundamental que haja separação do disco de SO/TMG,Cache o Log

O resultado desta má configuração são problemas degargalo de disco causando lentidão para quem acessa oservidor e também para o usuário final.

Page 8: Forefront TMG - Planejando corretamente

Hardware Disco/Processamento/Memória

A arquitetura de discos sempredeverá seguir o modelo ao lado.

Arrays separados montados emRAID1 (que é mais performático),ou RAID10, dependendo daquantidade de discos

OBS: Ostamanhosdescritosnaimagemaoladosãoapenasexemplos

Page 9: Forefront TMG - Planejando corretamente

Hardware Disco/Processamento/Memória

Para memória – nada inferior a 4 ou 8 GB de RAM

Processamento – mínimo de 2 processadores paramáquinas virtuais ou 1 quadcore para servidores físicos

Lembrando que a licença do Forefront TMG é vendida porprocessador e este planejamento também influi em custos

Publicação Web também é um fator que deve ser analisado,pois, vai consumir processamento

Page 10: Forefront TMG - Planejando corretamente

Hardware Disco/Processamento/Memória

O dimensionamento de memória e processamento tambémé influenciado pelo número de usuários, tipo de acesso ainternet, etc.

Features como SSL Inspection, Network Inspection, URLFiltering, etc, devem obrigatoriamente ser consideradas noque tange a processamento e memória.

Atenção também para método de gravação de log s,possíveis commits de LLQ s, etc.

Page 11: Forefront TMG - Planejando corretamente

Hardware Disco/Processamento/Memória

Mesmo após um bom dimensionamento, alguns problemaspodem surgir em ambientes onde o acesso internet não écontrolado, ou ambientes que recebam muitos acessos.

Nesses casos, existem métodos de configuração que evitamLock Down mode e também Syn Flood:

http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg

Page 12: Forefront TMG - Planejando corretamente

Sistema Operacional, DNS e Active Directory

A versão correta do Windows Server 2008 deverá serescolhida de acordo com o tamanho da sua infra.

O Windows Server 2008 R2 Std até pode ser usado, porém,em ambientes pequenos em que a função do TMG seresuma a proxy e cache.

Caso haja necessidade de VPN, a versão standard doWindows suporta até 250 conexões.

Page 13: Forefront TMG - Planejando corretamente

Sistema Operacional, DNS e Active Directory

Não instalar o produto sem antes se certificar que o Windowsestá totalmente configurado e os patches instalados.

Afalta de patches pode causar problemas no comportamentonão só do TMG, mas, também do próprio sistemaoperacional, além de deixar o equipamento sujeito a brechasde segurança.

Não funciona no Windows Server 2012

Page 14: Forefront TMG - Planejando corretamente

Sistema Operacional, DNS e Active Directory

Verificar a saúde do seu servidor DNS e configurações antesde implementar sua infra estrutura do Forefront TMG

Qualquer problema no DNS afeta a performance e aresolução de nomes no servidor do Forefront TMG

De preferência criar seu DNS Zone na sua infra de servidoresAD, fazendo Forwarding para o DNS que faz as resoluçõesexternas

Page 15: Forefront TMG - Planejando corretamente

Sistema Operacional, DNS e Active Directory

Amesma recomendação se faz necessária para seu DomainController.

É através dele que o Forefront TMG analisa as permissõespor usuário nas regras e é nele que o produto busca asinformações de usuário.

Em infras com vários sites, verifique sempre se o seu servidorForefront TMG buscando autenticação no AD da próprialocalidade.

Page 17: Forefront TMG - Planejando corretamente

Placas de Rede, Log e cache

Em infras com arquitetura edge ou outra diferente de SingleNetwork Adapter, prestar atenção no Bind Order. PlacaInterna sempre com prioridade!

Sempre sincronize a velocidade da sua placa com a do seuroteador. Evite o “AutoNegotiation”

Toda rede criada no Forefront TMG deverá estar atrelada auma placa.http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network -configuration-on-forefront-tmg.aspx

Page 18: Forefront TMG - Planejando corretamente

Placas de Rede, Log e cache

Ambientes com duas placas de rede:

•Gateway sempre na rede externa•Roteamento para rede interna via rotas estáticas•DNS – preferencialmente usar resolução interna e externa apartir da placa da rede interna

Page 19: Forefront TMG - Planejando corretamente

Placas de Rede, Log e cache

Log s sempre sendo gravados em um disco próprio em arrayou LUN separada do SO e Cache.

Ambientes com mais de 10.000 usuários – recomendávelnão usar o SQL Express e direcionar a criação de log s paraum servidor SQLatravés de uma rede separada.

Cuidado ao direcionar log s para um servidor SQL! Algunscomandos devem ser aplicados previamente:http://technet.microsoft.com/pt-br/library/dd441079.aspx

Page 20: Forefront TMG - Planejando corretamente

Placas de Rede, Log e cache

Atenção para o tempo de retenção dos log s. Influencia noespaço em disco e nas informações que você poderáprecisar em um eventual relatório.

Log s em TXT são mais performáticos, porém, não é possívelacessar registros passados.

Page 22: Forefront TMG - Planejando corretamente

Enterprise Management Server e Backup

O EMS gerencia arrays

com vários servidores

TMG

Page 23: Forefront TMG - Planejando corretamente

Enterprise Management Server e Backup

Page 24: Forefront TMG - Planejando corretamente

Enterprise Management Server e Backup

O backup de uma infra Forefront TMG deve se basear

no servidor do EMS ou no Array Manager

Manter sempre backup do array e/ou regras criadas

no Forefront TMG. Pode ser feito via scrip ou manual.

Cuidado na implementação das Redes de Backuphttp://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backup-

no-forefront-tmg/

Page 25: Forefront TMG - Planejando corretamente

Network Load Balance

Analisar bem o tráfego de sua rede

Para ambientes TMG em VM´s verificar as

recomendações do fornecedor do Host Físico

NLB Microsoft suporta até 500 mbps de tráfego. Além

disso é recomendado o uso de um Balanceador

Externo

Page 27: Forefront TMG - Planejando corretamente

Proxy Transparente

Forma de se configurar o proxy transparente no TMG:

•Duas placas de rede no padrão Edge

•IP da interface Interna como default gateway da rede

•Servidor deverá ser capaz de rotear para toda rede

•Criar regra habilitando HTTP e HTTPS da interna

para externa com acesso para All Users

•Os acessos ocorrerão por SecureNat

Page 28: Forefront TMG - Planejando corretamente

Proxy Transparente

Pontos de atenção:

•SecureNAT não faz autenticação

•Não é possível restringir acessos nas regras por

usuário

•Qualquer outro tipo de acesso diferente de All Users

requer configuração de proxy explícito

Page 29: Forefront TMG - Planejando corretamente

Atualizações no produto

É importante saber qual versão do produto se está

lidando quando se faz um assessment ou um primeiro

contato:

Produto atualmente na versão SP2 Rollup 2

http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-a-

versao-do-forefront-tmg-pt-br.aspx

Page 30: Forefront TMG - Planejando corretamente

Para quem ainda usa o ISA Server

Não adianta usar mais que 4 GB de RAM – 32 Bits

Nunca use /3GB no Boot.ini – O engine FWENG roda

em Kernel

Demais recomendações iguais ao Forefront TMG

Page 31: Forefront TMG - Planejando corretamente

Para quem ainda usa o ISA Server

Migrar urgente para o Forefront TMG!

Page 33: Forefront TMG - Planejando corretamente

Referências para Estudo

Guia de sobrevivência Forefront TMG no Technet Wiki:

http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx

Forum Technet – Forefront TMG:

http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads

Microsoft Space:

http://uilson76.wordpress.com

Treinamento Online Forefront TMG:

http://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefront-

tmg/

Page 34: Forefront TMG - Planejando corretamente

A Microsoft ajuda vc a planejar!

Forefront TMG Capacity Planning Toolhttp://www.microsoft.com/en-us/download/details.aspx?id=15196

Page 35: Forefront TMG - Planejando corretamente

Planejando corretamente

Obrigado pelo tempo dispensado!

Uilson SouzaSr. IT Projects AnalystMCTS ISA Server 2006MTAC – Microsoft Technical Audience Contributorhttp://[email protected] ou [email protected]