Último aviso aos TMG Admins–31/12/2015 The Final Countdown

Saudações,

Para aqueles que acompanham este blog (foi criado em 2009), muito falamos sobre Forefront TMG e tudo que envolve uma infra de firewall, forward proxy, reverse proxy e secure web gateway. Além disso, entreguei muitas palestras, treinamentos e webcasts sobre TMG e ISA Server de 2010 até 2012…ano em que foi publicado de forma oficial o fim da suíte Forefront:

https://uilson76.wordpress.com/2012/09/12/agora-de-forma-oficial-o-fim-do-forefront-tmg/

Neste post vamos falar um pouco sobre como sobreviver ao fim do suporte ao serviço de Web Protection (URL Filtering, SSL/Network/Malware Inspection e Mail Protection) que após a data citada, continuarão funcionando, porém, não mais receberão atualizações, ou seja, torna-se inseguro manter este serviço.

Lembrando que, o suporte ao produto TMG como um todo vai até Abril de 2020. – detalhes no link acima.

Como tudo tem um ciclo, chegou a hora do produto ser descontinuado e, a meu ver, de forma radical, a Microsoft não mais oferece nenhuma solução de firewall, forward proxy e secure web gateway. Estes serviços você precisa adquirir através de outros players de mercado (Sophos, WebSense, Fortinet, Kemp, etc).

Desde 12/09/2012 – data do post no link acima – orientamos clientes, parceiros e colegas com posts, palestras e muita consultoria sobre como planejar novas soluções e no que tange a este blog (que foi criado exclusivamente para assuntos voltados ao TMG), resolvi aumentar o leque de assuntos com trabalhos, projetos e dicas minhas, não só sobre TMG, mas, também sobre tudo acerca de infra Microsoft (dentro do meu conhecimento).

A algum tempo que não cito nada de TMG, afinal de contas, nem trabalho mais com a ferramenta. Entretanto, vi diversos clientes perdidos acerca de como continuar provendo serviços de firewall, proxy e reverse proxy com outras ferramentas.

Nesse caso resolvi investir muito tempo em estudos e consultoria para clientes meus, clientes que atendi na Microsoft e em diversos webcasts e palestras que entreguei, auxiliando no planejamento e escolha da melhor ferramenta para substituir o TMG.

Desde meados de 2014 publiquei uma série de posts focados em Web Application Proxy – solução de proxy reverso da Microsoft que vem como uma feature da Role Remote Access a partir do Windows Server 2012 R2, com muitas melhorias no Windows Server 2016 (agora no Technical Preview 4) e também sobre Azure AD Application Proxy – proxy reverso para publicações em núvem, disponível nos pacotes basic e premium do Azure Active Directory.

Essa coleção de posts que publiquei aqui, no Technet Wiki e FastVue podem ser encontrados nessa vasta documentação que coloquei no Docs.com da Microsoft:

https://docs.com/uilson-souza—#collection

No link acima você terá acesso a todos os meus posts sobre Web Application Proxy, configurações, dicas, patches necessários e também muitos estudos de caso e posts do pessoal da Microsoft.

Para clientes com poucos recursos e sem tempo para migrar, ou testar uma solução nova, o MVP Richard Hicks deu uma dica muito interessante. Desde o ISA Server, era possível adicionar filtros WEB de terceiros para fazer o serviço de secure web gateway.

Serviços como URL Filtering, Mail Protection, SSL/Network/Malware Inspection eram feitos por soluções de terceiros que pegavam o tráfego de um ISA/TMG e executavam o trabalho. Esta ainda é uma opção para quem possui infra TMG para pós 31/12 deste ano. Soluções como MCAfee e WebSense cobrem essa necessidade – apesar de serem caras e com complexidade de implementação maior que o normal.

Veja neste post do Richard Hicks como proceder, usando a solução ZScaler Cloud Based Security – http://tmgblog.richardhicks.com/2013/09/16/extending-the-life-of-forefront-tmg-2010-with-zscaler-cloud-based-security/

Além disso, meu amigo Scott Glew da FastVue escreveu um post muito bom sobre a necessidade de planejar e migrar a infra TMG – http://fastvue.co/tmgreporter/blog/finding-a-forefront-tmg-replacement-is-more-urgent-than-you-thought?utm_content=buffer9d9ad&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Para termos uma perspectiva do ponto de vista das ferramentas disponíveis no mercado, escrevi diversos posts sobre o planejamento da nova infra estrutura com 4 opções distintas – Web Application Proxy, Kemp, Fortinet e Sophos.

Neste endereço você acessa uma collection minha no docs.com contendo os links para todos estes posts – https://doc.co/LQqHoG 

Com o conteúdo acima, o Blog Microsoft Space se despede de 2015, esperando o mesmo possa ser útil e ajudar aos colegas na missão de substituir sua infra TMG. Também quero desejar a todos um excelente natal com um 2016 repleto de sucesso e realizações!

Abraços

Uilson

  1. Walter
    12 de fevereiro de 2016 às 15:36

    Oi Uilson,
    Chamo-me Walter.
    Estou com um problema que por mais que bato a cabeça mais longe fico da solução.
    Tenho um TMG 2010 instalado na minha infra. Todos os micros clientes para cessarem a internet têm que passar pelo TMG.
    Tenho uma Politica no DC que seta o proxy e obriga os micros a saírem para a internet pelo TMG. Isso funcionava! De um momento para o outro, deixou de funcionar. Deixei simplesmente a regra de Barrar tudo no tag e mesmo assim os clientes saem para a internet. Se retirar o proxy no micro cliente e acessar a internet, ele acesso com sucesso.

    Não sei mais o que fazer pode ajudar-me?

    Obrigado

    • 12 de fevereiro de 2016 às 16:12

      Walter! Boa tarde! Obrigado por participar do blog.
      A primeira vista e mesmo sem conhecer seu ambiente, acredito que o problema esteja fora do seu TMG. Já verificou roteamento? Muito provavelmente as requisições estão sendo enviadas diretamente pelo gateway para um suposto firewall de borda (caso vc tenha) e o mesmo está configurado para aceitar todas as requisições de que vierem a ele.
      A opção de “automatially detect settings” está ligada no seu browser?
      Para tirar a prova, tente acesso a partir de uma estação monitorando ela pela TMG. Pelo comportamento que vc passou, nenhuma conexão deverá estar passando pelo proxy (TMG).
      Verifique tb, através da estação, a partir de um comando no prompt do DOS – gpresult /H report.html (este comando vai gerar um html com todas as políticas aplicadas a estação que vc estiver) – se a política referente ao proxy está chegando a estação.
      Não vejo outra razão para seu problema.
      Espero que consiga resolver!
      Abraço
      Uilson

  2. joe
    13 de fevereiro de 2016 às 12:48

    boa tarde Uilson, temos na empresa o TMG, agora no começo de janeiro, estamos tendo problemas com navegação dos usuarios via proxy, o tmg mostra nas categorias unknow, fica dificil monitorar agora para bloquear, acredito que seja por parte de estar acabando o suporte de atualização?, ou algo aconteceu e eu nao estou sabendo resolver.

    • 13 de fevereiro de 2016 às 17:27

      Joe, boa tarde.

      O serviço de URL Filtering foi desativado. Vc não mais receberá atualizações, nem tampouco irá ter as categorias em que navega. Foi desativado a partir de 01 de janeiro deste ano

  3. joe
    15 de fevereiro de 2016 às 16:23

    ok Uilson obrigado.

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: