Início > Fore Front TMG/ISA Server 2006 > ISA Server e/ou TMG em um Domain Controller

ISA Server e/ou TMG em um Domain Controller

Saudações,

Primeiro post de 2011! Espero que tenham tido uma boa passagem!

Ontem a tarde fui questionado sobre a instalação do ISA Server e/ou TMG em um domain controller. Loucura não? Particularmente sou totalmente contra, mas, tem sempre um “kamikazi” no mundo da TI.

Um amigo estava fazendo um trabalhinho por fora e viu que, no ambiente que estava mexendo, o DC tinha, além do Exchange, também o ISA Server 2006. Resolvi então compartilhar esse assunto. Veja bem, existem diversas questões de segurança envolvidas neste tema;

Pra quem conhece bem o pacote SBS (Small Business Server) do Windows Server 2003, sabe que, antigamente era possível fazer a instalação do ISA Server no DC (e ainda o é), porém, com diversos problemas referentes a segurança, o SBS passou a ser distribuido sem o ISA no pacote. Pense bem, você tem um ISA Server no seu domain controller, que vai ficar com “a cara pra rua”…é um risco não?

Além disso, atuei em cases em que, em um domain controller, haviam instalado o client do ISA Server. Este cenário não é suportado pela Microsoft. Você pode ter problemas no seu DC. Alguns cenários para ISA Server podem ser vistos na documentação que está no link abaixo:

http://technet.microsoft.com/en-us/library/cc302678.aspx

No caso do TMG, não é possivel fazer a instalação do produto em um domain controller. Caso você queira fazer essa “loucura”, a única maneira é executando um “demote” no seu DC, instalando o produto e finalizar com o dcpromo.

Em caráter de curiosidade, fiz um DC em um ambiente virtual e iniciei a instalação do TMG. Olhem só a mensagem que deu:

image

Lembrando que Microsoft também não suporta esse tipo de cenário. No link abaixo você encontra uma documentação com todos os cenários não suportados para Forefront TMG:

http://technet.microsoft.com/en-us/library/ee796231.aspx

Vamos começar 2011 com o pé direito, fazendo as coisas do jeito certo..rs!

Abraços

Uilson

  1. 4 de janeiro de 2011 às 16:58

    Grande Uilson, Exatamente isso, o Analista ( se é que podemos chamar de analista ), implementou tudo no DC e ainda não colocou AV. E não utilizava o Windows Update!!!
    Através do Process Viewer , percebemos que haviam 25 MIL conexões para internet, derrubando todos os serviços a cada 30 Minutos aproximadamente.
    Esse tipo de malware é o Conficker que estava fazendo isso.
    Através de algumas soluções de remoção de Malware e Vírus, conseguimos eliminar todos em aproximadamente quatro horas, e no total 10 horas para reestabelecer toda a rede.

    Obrigado pelo apoio e parabéns pelo Blog!
    Henrique Cezar Cutino

    • 4 de janeiro de 2011 às 18:42

      Valeu pela inspiração para escrever o post!

  2. 4 de janeiro de 2011 às 20:46

    Lembrando que com o TMG 2010 SP1 Update 1 uma excessão a regra é aberta, agora supartamos instalação de TMG em RODC e essa tela de erro não aparece mais. Ver a documentação completa em: http://technet.microsoft.com/en-us/library/ff808305.aspx

    • 5 de janeiro de 2011 às 9:18

      Fala Uilson, td bem?

      Gostei do seu post referente a instalação do ISA/TMG em DCs. Tb concordo com a abordagem de não instalar o ISA/TMG em DCs. Como diz a lógica, quanto menos privilégios, melhor. Então, nesse caso, quanto menor a superfície de ataque que um firewall possui, melhor.
      Mas, mesmo assim muitos possuem dúvidas e vontade para fazer esse tipo de instalação. A Microsoft mudou sobre a suportabilidade do ISA/TMG em DCs, fiz um post referente a isso: http://bit.ly/gU3CXv

      Abraços,
      Paulo Oliveira.

      • 5 de janeiro de 2011 às 12:49

        Grande Paulo! Obrigado pela interação no blog! O seu post ficou sensacional mesmo! Não estava a par dessas mudanças. Não tive tempo de ler nenhuma documentação. Vou postar outro artigo apontando para o seu para esclarecer mais ainda o tema…se bem que, como vc, ainda sou contra esse cenário.

    • 5 de janeiro de 2011 às 12:50

      Valeu Yuri! Obrigado pela ajuda!

  1. 5 de janeiro de 2011 às 0:34
  2. 5 de janeiro de 2011 às 13:12

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: