Início > Fore Front TMG/ISA Server 2006 > Atenção para o correto planejamento de sua Infra Forefront TMG

Atenção para o correto planejamento de sua Infra Forefront TMG

Saudações,

Durante as úlitmas 3 semanas estive dando consultoria em um grande cliente nosso em um infra estrutura de Forefront TMG que está sendo montada com o objetivo de prover acesso internet e publicação de aplicações WEB com SSL.

O projeto já estava em andamento, porém, muitas dúvidas estavam surgindo. Depois de entender acerca da estrutura e os objetivos do projeto, sugeri com veemência que o mesmo fosse postergado e o planejamento fosse retomado.

O ponto principal foi a maneira como a rede e os roteamentos estava configurados:

Padrão Edge com duas placas de rede NA MESMA VLAN. A rede interna seria acessada a partir de uma rota.

O segundo ponto foi acerca de como o array estava sendo montado:

Dois Forefront TMG podem funcionar em workroup perfeitamente, mas, para se montar um array entre eles é preciso um certificado para que um confie no outro…e de preferência com o nome dos servidores envolvidos. Não era o caso.

O terceiro ponto de atenção foi com relação a configuração do NLB:

Geralmente NLB montado em VM´s em VSphere vão dar problema. Não vou entrar aqui no mérito do fabricante e nem uso tal produto, mas, para quem quer fazer NLB com TMG em VM´s hosteadas nesse produto, eles possuem um documento de best practices que, se for seguido, pode aliviar, ou evitar problemas e você pode acessar no link abaixo:

http://www.vmware.com/resources/techresources/1072

Para você que pagou 1/5 do preço para ter uma ótima infra estrutura virtualizada em Hyper-V, que não fica devendo em nada para o concorrente, também deve seguir o recomendado pela equipe de Failover Clustering da Microsoft em:

http://blogs.msdn.com/b/clustering/archive/2010/07/01/10033544.aspx

Após uma apresentação acerca dos pontos citados, os responsáveis irão planejar com mais atenção e seguir o que foi recomendado.

Em outros clientes pude verificar muitos pontos que podem causar problemas no acesso internet, como por exemplo a configuração do Bind Order das placas de rede num ambiente com arquitetura Edge. A placa interna deve sempre estar com a prioridade e não foi assim que encontramos o ambiente.

As configurações do Sytem Policy davam total condição a invasores de fazer o que quisessem no ambiente.

A ordem de processamento das regras tambem devem ser configuradas corretamente, ou seja, regras restritivas acima das permissivas.

E pra finalizar, uma configuração que deve ser totalmente evitada:

Em infra estruturas com ISA Server (que só executa em 32 bits) encontrei  servidores em que o parâmetro /3GB estava declarado no boot.ini. Veja bem, o padrão 32 bits trabalha com, no máximo, 4 GB´s de RAM, sendo 2 para user mode e 2 para Kernel Mode.

Em arquiteturas montadas para SQL Server ou outras aplicações, o parâmetro /3 GB é aceitável, mas, não no caso do ISA Server.

Um servidor com ISA Server não pode ter algo maior que 4 GB´s e seu principal engine (FWENG.SYS) trabalha em modo kernel. Quando vc declara o /3GB no boot.ini, vc puxa 1 GB do kernel mode para o user mode e durante um período de alto consumo do seu hardware, o serviço do ISA pode dar o famoso crash!

Para que você não tenha problemas na operação de sua Infra ISA Server ou Forefront TMG, o planejamento tem que tomar um certo tempo. Você precisa saber o que precisa, o que quer, como vai fazer, de que forma vai instalar, etc.

Lembre-se, em caso de problemas na sua infra de proxies, o suporte Microsoft (premier) está preparado para lhe atender da melhor forma possível.

Este que vos escreve também está disponível para ajudar. Procure nosso grupo de discussões no Linkedin (ISA/TMG Firewall Admins Brazil). Estamos prontos a lhe ajudar. Exponha seu case e vamos discutir de forma tirar todas as dúvidas em qualquer assunto referente ao Forefront TMG e/ou ISA Server.

Para quem tiver interesse, existe uma vasta documentação para deployment do produto.  Veja os links abaixo:

Forefront TMG (ISA Server) Product Team Blog

http://blogs.technet.com/isablog/

Forefront TMG Planning and Design

http://technet.microsoft.com/en-us/library/cc441674.aspx

Forefront TMG Deployment

http://technet.microsoft.com/en-us/library/cc441445.aspx

Forefront TMG Operations

http://technet.microsoft.com/en-us/library/cc441590.aspx

Deployment checklist

http://technet.microsoft.com/en-us/library/dd440986.aspx

System requirements for Forefront TMG

http://technet.microsoft.com/en-us/library/dd896981.aspx

Migrating and upgrading to Forefront TMG

http://technet.microsoft.com/en-us/library/dd896979.aspx

Installing Forefront TMG

http://technet.microsoft.com/en-us/library/cc441440.aspx

Configuring initial deployment settings

http://technet.microsoft.com/en-us/library/cc441442.aspx

Fiquem a vontade para deixar seus comentários!

Espero que o post possa ser útil!

Abraços

Uilson

  1. 18 de janeiro de 2012 às 1:11

    Excelente artigo Uilson. Muito bem colocado os problemas com o /3GB.

    Em relação a virtualização, outro grande problema de planejamento que eu já encontrei em vários clientes, é em relação as placas de rede fisicas que são “bindadas” na VM.
    Ambientes virtualizados com várias VMs no mesmo host, a mesma placa de rede é compartilhada entre a VM com TMG e várias outras VMs de servidores em produção. Ocasionando muitos problemas de performance de rede.

    Outro grande problema de planejamento é em relação a discos, ambientes com milhares de usuários, e o TMG com apenas um disco fisico rodando SO, Logs e cache.

    E tem tambem o planejamento de regras, esse acredito que seja um dos que causa mais problemas. A maneira como as regras são criadas impactam e muito na performance e até estabilidade do servidor e precisam ser bem planejadas🙂

    Parabens pelo artigo.

    Abraços

    Renato Marson Pagan

    • 18 de janeiro de 2012 às 7:50

      Fala Renato! É uma honra ver um comment seu aqui no meu blog! Nessas semanas tb vi muitos casos de log e cache no mesmo disco e erros na criação das regras também, mas, esses aí achei os mais gritantes. Fora que postei na madruga e acabei esquecendo…rs

      Por favor, sempre que quiser participar dos comentários com pontos relevantes como os que vc deixou e até sugestões e críticas fique a vontade!
      Abraços
      Uilson

  2. Matheus Salvador
    17 de julho de 2012 às 16:11

    Boa Tarde Uilson, tudo beleza ?
    Muito bom seu blog (foi para os favoritos aqui)..ehehe

    Queria trocar uma ideia contigo referente a uma estruturação de rede com TMG, ficaria muito agradecido de ter sua opinião.

    Hoje tenho uma estrutura de aproximadamente 130 usuários, onde tenho um server TMG com função de proxy (rede interna e apenas uma placa de rede) e um TMG Firewall de borda, que faz função apenas de Firewall. Ou seja, a navegação via proxy é encaminhada através de roteamento (swtiches) para o firewall de borda.

    Estou com ideia de implantar apenas um TMG de borga (duas NIC, uma externa e uma interna) e que este TMG absorva a função de proxy e firewall e tambem instalar o TMG Client nas maquinas.

    Voce acha uma boa prática ???

    Desde ja agradeço.

    • 18 de julho de 2012 às 14:17

      Matheus, boa tarde! Muito obrigado pela audiência no blog e pelos comentários!
      Se vc tem aplicações client/server que trafegam dados via redes e/ou internet, recomendo sim o uso do firewall client, mas, lembrando que o mesmo só irá funcionar em arquiteturas de rede com mais de uma placa…tipo a que vc tem (edge).
      Acredito que, tirando o TMG responsável pela parte de proxy na sua rede, vc diminui um nível de segurança, mas, em um ambiente com 130 usuários, creio que vc pode proceder com o que pensa, desde que ative os recursos de secure web gateway do produto, uma vez que, pelo que me disse, o TMG da borda é o último dispositivo antes de chegar na internet.
      Recomendo fortemente que ative os recursos de URL Filtering, Malware, SSL e Network Inspection. Dessa forma, vc protege mais a sua rede. Outro ponto a se lembrar é que seu antivirus esteja sempre atualizado e os patches de segurança aplicados nas estações e servidores.
      Abs.
      Uilson

  3. 14 de janeiro de 2013 às 13:35

    Spot on with this write-up, I absolutely feel this site needs a lot more attention.
    I’ll probably be returning to read through more, thanks for the information!

    • 15 de janeiro de 2013 às 11:44

      Thanks! Hope to have always good stuff to share here!

  1. 4 de julho de 2012 às 15:43

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: