SlideShare ist ein Scribd-Unternehmen logo

Planejando TMG

Uilson Souza
Uilson Souza

O documento fornece diretrizes para planejamento correto de implementação do Forefront TMG, incluindo dimensionamento de hardware, arquitetura de rede, configuração de sistema operacional, backup e atualizações. É destacada a importância de separar discos, processamento e memória para diferentes funções e evitar gargalos.

Technologie
1 von 35
Downloaden Sie, um offline zu lesen
Planejando corretamente Uilson Souza Sr. IT Projects Analyst MCTS ISA Server 2006 MTAC – Microsoft Technical Audience Contributor http://uilson76.wordpress.com souzajr.nc@uol.com.br ou usouzajr@gmail.com
Agenda •Entendendo o ambiente •Como seu ambiente irá funcionar •Arquitetura de rede e features do produto •Hardware – disco/processamento/memória •Sistema Operacional, DNS e Active Directory •Placas de Rede, Log e cache •Enterprise Management Server e Backup •Network Load Balance •Proxy transparente •Atualizações no produto •Para quem ainda usa ISA Server •Referências para estudo
Entendendo seu ambiente Topologia do ambiente Fluxo de acesso internet Tipo de usuário no ambiente – High, medium, low? Redes, VLAN s, Firewalls, etc Tamanho e quantidade de links da corporação Objetivos do acesso internet
Como seu ambiente irá funcionar O que você precisa? Como você precisa? Qual a funcionalidade do Forefront TMG para a corporação? Que tipo de equipamento você irá usar? Appliance, VM, Servidor físico? O Forefront TMG ficará na rede interna? Será backfirewall ou ficará na borda?
Arquiteturas de rede e features do produto Qual arquitetura usar? Edge, 3-Leg Perimeter, Back Firewall, Single Network Adapter
Arquiteturas de rede e features do produto Existem diversas implementações de TMG usando Single Network Adapter com regras configuradas de forma errada, causando problemas de performance e tornando o ambiente “não suportado” http://technet.microsoft.com/en-us/library/cc995236.aspx
Hardware Disco/Processamento/Memória Um dos grandes erros na montagem do servidor ocorre na arquitetura dos discos. Fundamental que haja separação do disco de SO/TMG, Cache o Log O resultado desta má configuração são problemas de gargalo de disco causando lentidão para quem acessa o servidor e também para o usuário final.
Hardware Disco/Processamento/Memória A arquitetura de discos sempre deverá seguir o modelo ao lado. Arrays separados montados em RAID1 (que é mais performático), ou RAID10, dependendo da quantidade de discos OBS: Os tamanhos descritos na imagem ao lado são apenas exemplos
Hardware Disco/Processamento/Memória Para memória – nada inferior a 4 ou 8 GB de RAM Processamento – mínimo de 2 processadores para máquinas virtuais ou 1 quadcore para servidores físicos Lembrando que a licença do Forefront TMG é vendida por processador e este planejamento também influi em custos Publicação Web também é um fator que deve ser analisado, pois, vai consumir processamento
Hardware Disco/Processamento/Memória O dimensionamento de memória e processamento também é influenciado pelo número de usuários, tipo de acesso a internet, etc. Features como SSL Inspection, Network Inspection, URL Filtering, etc, devem obrigatoriamente ser consideradas no que tange a processamento e memória. Atenção também para método de gravação de log s, possíveis commits de LLQ s, etc.
Hardware Disco/Processamento/Memória Mesmo após um bom dimensionamento, alguns problemas podem surgir em ambientes onde o acesso internet não é controlado, ou ambientes que recebam muitos acessos. Nesses casos, existem métodos de configuração que evitam Lock Down mode e também Syn Flood: http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg
Sistema Operacional, DNS e Active Directory A versão correta do Windows Server 2008 deverá escolhida de acordo com o tamanho da sua infra. ser O Windows Server 2008 R2 Std até pode ser usado, porém, em ambientes pequenos em que a função do TMG se resuma a proxy e cache. Caso haja necessidade de VPN, a versão standard do Windows suporta até 250 conexões.
Sistema Operacional, DNS e Active Directory Não instalar o produto sem antes se certificar que o Windows está totalmente configurado e os patches instalados. A falta de patches pode causar problemas no comportamento não só do TMG, mas, também do próprio sistema operacional, além de deixar o equipamento sujeito a brechas de segurança. Não funciona no Windows Server 2012
Sistema Operacional, DNS e Active Directory Verificar a saúde do seu servidor DNS e configurações antes de implementar sua infra estrutura do Forefront TMG Qualquer problema no DNS afeta a performance e a resolução de nomes no servidor do Forefront TMG De preferência criar seu DNS Zone na sua infra de servidores AD, fazendo Forwarding para o DNS que faz as resoluções externas
Sistema Operacional, DNS e Active Directory A mesma recomendação se faz necessária para seu Domain Controller. É através dele que o Forefront TMG analisa as permissões por usuário nas regras e é nele que o produto busca as informações de usuário. Em infras com vários sites, verifique sempre se o seu servidor Forefront TMG buscando autenticação no AD da própria localidade.
Sistema Operacional, DNS e Active Directory Abaixo um link para um post onde o MVP Alberto Oliveira narra um caso onde a configuração equivocada do AD pode causar problemas na infra de proxy: http://oliveiraalberto.wordpress.com/2010/11/25/my-worst-isa-server-case
Placas de Rede, Log e cache Em infras com arquitetura edge ou outra diferente de Single Network Adapter, prestar atenção no Bind Order. Placa Interna sempre com prioridade! Sempre sincronize a velocidade da sua placa com a do seu roteador. Evite o “Auto Negotiation” Toda rede criada no Forefront TMG deverá estar atrelada a uma placa. http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network configuration-on-forefront-tmg.aspx
Placas de Rede, Log e cache Ambientes com duas placas de rede: •Gateway sempre na rede externa •Roteamento para rede interna via rotas estáticas •DNS – preferencialmente usar resolução interna e externa a partir da placa da rede interna
Placas de Rede, Log e cache Log s sempre sendo gravados em um disco próprio em array ou LUN separada do SO e Cache. Ambientes com mais de 10.000 usuários – recomendável não usar o SQL Express e direcionar a criação de log s para um servidor SQL através de uma rede separada. Cuidado ao direcionar log s para um servidor SQL! Alguns comandos devem ser aplicados previamente: http://technet.microsoft.com/pt-br/library/dd441079.aspx
Placas de Rede, Log e cache Atenção para o tempo de retenção dos log s. Influencia no espaço em disco e nas informações que você poderá precisar em um eventual relatório. Log s em TXT são mais performáticos, porém, não é possível acessar registros passados.
Placas de Rede, Log e cache Da mesma forma que o Log, o serviço de cache deverá ter seu próprio disco ou LUN para evitar problemas de gargalo. Não crie arquivos de log muito grandes. Isso só causa problemas. Siga o padrão definido pela Microsoft: 100 MB + 0.5 MB * número de usuários: http://msdn.microsoft.com/en-us/library/cc750618.aspx
Enterprise Management Server e Backup O EMS gerencia arrays com vários servidores TMG
Enterprise Management Server e Backup
Enterprise Management Server e Backup O backup de uma infra Forefront TMG deve se basear no servidor do EMS ou no Array Manager Manter sempre backup do array e/ou regras criadas no Forefront TMG. Pode ser feito via scrip ou manual. Cuidado na implementação das Redes de Backup http://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backupno-forefront-tmg/
Network Load Balance Analisar bem o tráfego de sua rede Para ambientes TMG em VM´s verificar recomendações do fornecedor do Host Físico as NLB Microsoft suporta até 500 mbps de tráfego. Além disso é recomendado o uso de um Balanceador Externo
Network Load Balance Em ambientes grandes utilizar sempre Multicast Detalhe Importante: A Microsoft não suporta cenários em que a estrutura possua balanceadores externos com estações usando o Forefront TMG Firewall Client: http://technet.microsoft.com/en-us/library/ee796231.aspx
Proxy Transparente Forma de se configurar o proxy transparente no TMG: •Duas placas de rede no padrão Edge •IP da interface Interna como default gateway da rede •Servidor deverá ser capaz de rotear para toda rede •Criar regra habilitando HTTP e HTTPS da interna para externa com acesso para All Users •Os acessos ocorrerão por SecureNat
Proxy Transparente Pontos de atenção: •SecureNAT não faz autenticação •Não é possível restringir acessos nas regras por usuário •Qualquer outro tipo de acesso diferente de All Users requer configuração de proxy explícito
Atualizações no produto É importante saber qual versão do produto se está lidando quando se faz um assessment ou um primeiro contato: http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-aversao-do-forefront-tmg-pt-br.aspx Produto atualmente na versão SP2 Rollup 2
Para quem ainda usa o ISA Server Não adianta usar mais que 4 GB de RAM – 32 Bits Nunca use /3GB no Boot.ini – O engine FWENG roda em Kernel Demais recomendações iguais ao Forefront TMG
Para quem ainda usa o ISA Server Migrar urgente para o Forefront TMG!
Referências para Estudo Forefront TMG Hardware Recommendations http://technet.microsoft.com/en-us/library/ff382651.aspx Forefront Deployment Resources http://www.microsoft.com/forefront/en/us/deployment.aspx Microsoft Forefront TMG Case Studies http://www.microsoft.com/forefront/threat-management-gateway/en/us/casestudies.aspx
Referências para Estudo Guia de sobrevivência Forefront TMG no Technet Wiki: http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx Forum Technet – Forefront TMG: http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads Microsoft Space: http://uilson76.wordpress.com Treinamento Online Forefront TMG: http://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefronttmg/
A Microsoft ajuda vc a planejar! Forefront TMG Capacity Planning Tool http://www.microsoft.com/en-us/download/details.aspx?id=15196
Planejando corretamente Obrigado pelo tempo dispensado! Uilson Souza Sr. IT Projects Analyst MCTS ISA Server 2006 MTAC – Microsoft Technical Audience Contributor http://uilson76.wordpress.com souzajr.nc@uol.com.br ou usouzajr@gmail.com

Empfohlen

Tutorial do ris serviços de instalação remota
Tutorial do ris serviços de instalação remotaTutorial do ris serviços de instalação remota
Tutorial do ris serviços de instalação remotafernandao777
 
Hardware servidores
Hardware servidoresHardware servidores
Hardware servidoresIllo Vinicius
 
Instalação, configuração e administração de um SO Cliente/Servidor
Instalação, configuração e administração de um SO Cliente/ServidorInstalação, configuração e administração de um SO Cliente/Servidor
Instalação, configuração e administração de um SO Cliente/ServidorEdgar Costa
 
Componentes de Hardware e Servidores
Componentes de Hardware e ServidoresComponentes de Hardware e Servidores
Componentes de Hardware e Servidorestiredes
 
Apresentacao_Zabbix
Apresentacao_ZabbixApresentacao_Zabbix
Apresentacao_ZabbixRafael Mendonça
 
Infraestrutura de Servidores - Anchieta
Infraestrutura de Servidores - AnchietaInfraestrutura de Servidores - Anchieta
Infraestrutura de Servidores - AnchietaEdilson Feitoza
 
Configurando as ferramentas do Windows Server 2008
Configurando as ferramentas do Windows Server 2008Configurando as ferramentas do Windows Server 2008
Configurando as ferramentas do Windows Server 2008Guilherme Lima
 
Windows Server 2003
Windows Server 2003Windows Server 2003
Windows Server 2003Goncalo
 

Weitere ähnliche Inhalte

Was ist angesagt?

Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioFernando Palma
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataquesCarlos Veiga
 
S.o. windows server2008
S.o. windows server2008S.o. windows server2008
S.o. windows server2008teacherpereira
 
Ficha de trabalho nº2 so 11º-2011_2012
Ficha de trabalho nº2 so 11º-2011_2012Ficha de trabalho nº2 so 11º-2011_2012
Ficha de trabalho nº2 so 11º-2011_2012teacherpereira
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannTchelinux
 
Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory gigadrop
 
Apresentacao Veeam Backup & Replication
Apresentacao Veeam Backup & ReplicationApresentacao Veeam Backup & Replication
Apresentacao Veeam Backup & ReplicationBlue Solutions
 
Introdução ao zend framework
Introdução ao zend frameworkIntrodução ao zend framework
Introdução ao zend frameworkMarcos Oliveira
 
Controlador de Domínio Open Source
Controlador de Domínio Open SourceControlador de Domínio Open Source
Controlador de Domínio Open SourceRicardo Pinheiro
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 
Artigo: Aplicando recomendações de segurança na instalação do Zabbix
Artigo: Aplicando recomendações de segurança na instalação do ZabbixArtigo: Aplicando recomendações de segurança na instalação do Zabbix
Artigo: Aplicando recomendações de segurança na instalação do ZabbixAécio Pires
 
Windows 2003 guia_completo
Windows 2003 guia_completoWindows 2003 guia_completo
Windows 2003 guia_completocleanrail
 
Instalação e configuração do windows server 2003
Instalação e configuração do windows server 2003Instalação e configuração do windows server 2003
Instalação e configuração do windows server 2003andrefrois2
 

Was ist angesagt? (20)

Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
 
Ferramentas de ataques
Ferramentas de ataquesFerramentas de ataques
Ferramentas de ataques
 
S.o. windows server2008
S.o. windows server2008S.o. windows server2008
S.o. windows server2008
 
Performance em Java
Performance em JavaPerformance em Java
Performance em Java
 
Ficha de trabalho nº2 so 11º-2011_2012
Ficha de trabalho nº2 so 11º-2011_2012Ficha de trabalho nº2 so 11º-2011_2012
Ficha de trabalho nº2 so 11º-2011_2012
 
Instalação
InstalaçãoInstalação
Instalação
 
Thedude
ThedudeThedude
Thedude
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
 
Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory Tutorial servidor debian linux ocs invetory
Tutorial servidor debian linux ocs invetory
 
Administração de Redes Linux - I
Administração de Redes Linux - IAdministração de Redes Linux - I
Administração de Redes Linux - I
 
Apresentacao Veeam Backup & Replication
Apresentacao Veeam Backup & ReplicationApresentacao Veeam Backup & Replication
Apresentacao Veeam Backup & Replication
 
Introdução ao zend framework
Introdução ao zend frameworkIntrodução ao zend framework
Introdução ao zend framework
 
Controlador de Domínio Open Source
Controlador de Domínio Open SourceControlador de Domínio Open Source
Controlador de Domínio Open Source
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)
 
Artigo: Aplicando recomendações de segurança na instalação do Zabbix
Artigo: Aplicando recomendações de segurança na instalação do ZabbixArtigo: Aplicando recomendações de segurança na instalação do Zabbix
Artigo: Aplicando recomendações de segurança na instalação do Zabbix
 
Windows 2003 guia_completo
Windows 2003 guia_completoWindows 2003 guia_completo
Windows 2003 guia_completo
 
Instalação e configuração do windows server 2003
Instalação e configuração do windows server 2003Instalação e configuração do windows server 2003
Instalação e configuração do windows server 2003
 
Windows Server 2003
Windows Server 2003Windows Server 2003
Windows Server 2003
 

Ähnlich wie Planejando TMG

[24HOP] SQL Server em maquinas virtuais do Windows Azure
[24HOP] SQL Server em maquinas virtuais do Windows Azure[24HOP] SQL Server em maquinas virtuais do Windows Azure
[24HOP] SQL Server em maquinas virtuais do Windows AzureVitor Tomaz
 
Como criar infraestrutura de sites para receber milhões de usuários?
Como criar infraestrutura de sites para receber milhões de usuários?Como criar infraestrutura de sites para receber milhões de usuários?
Como criar infraestrutura de sites para receber milhões de usuários?Marcelo Dieder
 
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5Symantec Brasil
 
Otimizacao de websites em PHP
Otimizacao de websites em PHPOtimizacao de websites em PHP
Otimizacao de websites em PHPFelipe Ribeiro
 
Joomla Day Brasil 2010: Customizações para grandes portais
Joomla Day Brasil 2010: Customizações para grandes portaisJoomla Day Brasil 2010: Customizações para grandes portais
Joomla Day Brasil 2010: Customizações para grandes portaisrafaelberlanda
 
10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleAS10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleASacsvianabr
 
PostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoPostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoelliando dias
 
Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7Claudio Miranda
 
Performance tunning de servidores ColdFusion MX
Performance tunning de servidores ColdFusion MXPerformance tunning de servidores ColdFusion MX
Performance tunning de servidores ColdFusion MXAlex Hübner
 
Melhores práticas de deployment do IBM Connections
Melhores práticas de deployment do IBM ConnectionsMelhores práticas de deployment do IBM Connections
Melhores práticas de deployment do IBM Connectionsrodrigoareis
 
Arquiteturas de referência MySQL
Arquiteturas de referência MySQLArquiteturas de referência MySQL
Arquiteturas de referência MySQLMySQL Brasil
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroAndré Luís Cardoso
 
PostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoPostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoFabio Telles Rodriguez
 
2019 - Natura MeetUp - Journey to Cloud and Relational Databases
2019 - Natura MeetUp - Journey to Cloud and Relational Databases2019 - Natura MeetUp - Journey to Cloud and Relational Databases
2019 - Natura MeetUp - Journey to Cloud and Relational DatabasesMarcus Vinicius Miguel Pedro
 
2019 - GUOB MeetUp - Journey to Cloud and DBA Career
2019 - GUOB MeetUp - Journey to Cloud and DBA Career2019 - GUOB MeetUp - Journey to Cloud and DBA Career
2019 - GUOB MeetUp - Journey to Cloud and DBA CareerMarcus Vinicius Miguel Pedro
 
Petic Emgetis Final
Petic Emgetis FinalPetic Emgetis Final
Petic Emgetis Finalnetimba
 
Técnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escalaTécnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escalaAlexandre Tarifa
 

Ähnlich wie Planejando TMG (20)

[24HOP] SQL Server em maquinas virtuais do Windows Azure
[24HOP] SQL Server em maquinas virtuais do Windows Azure[24HOP] SQL Server em maquinas virtuais do Windows Azure
[24HOP] SQL Server em maquinas virtuais do Windows Azure
 
Como criar infraestrutura de sites para receber milhões de usuários?
Como criar infraestrutura de sites para receber milhões de usuários?Como criar infraestrutura de sites para receber milhões de usuários?
Como criar infraestrutura de sites para receber milhões de usuários?
 
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
Be Aware Webinar Symantec - O que há de novo? Data Loss Prevention 14.5
 
Otimizacao de websites em PHP
Otimizacao de websites em PHPOtimizacao de websites em PHP
Otimizacao de websites em PHP
 
Joomla Day Brasil 2010: Customizações para grandes portais
Joomla Day Brasil 2010: Customizações para grandes portaisJoomla Day Brasil 2010: Customizações para grandes portais
Joomla Day Brasil 2010: Customizações para grandes portais
 
10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleAS10 Dicas para Implementacao do OracleAS
10 Dicas para Implementacao do OracleAS
 
PostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoPostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardo
 
Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7
 
Redes e Servidores
Redes e ServidoresRedes e Servidores
Redes e Servidores
 
Performance tunning de servidores ColdFusion MX
Performance tunning de servidores ColdFusion MXPerformance tunning de servidores ColdFusion MX
Performance tunning de servidores ColdFusion MX
 
Melhores práticas de deployment do IBM Connections
Melhores práticas de deployment do IBM ConnectionsMelhores práticas de deployment do IBM Connections
Melhores práticas de deployment do IBM Connections
 
Arquiteturas de referência MySQL
Arquiteturas de referência MySQLArquiteturas de referência MySQL
Arquiteturas de referência MySQL
 
IBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to heroIBM Domino 9 cluster - zero to hero
IBM Domino 9 cluster - zero to hero
 
PostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardoPostgreSQL Tuning: O elefante mais rápido que um leopardo
PostgreSQL Tuning: O elefante mais rápido que um leopardo
 
2019 - Natura MeetUp - Journey to Cloud and Relational Databases
2019 - Natura MeetUp - Journey to Cloud and Relational Databases2019 - Natura MeetUp - Journey to Cloud and Relational Databases
2019 - Natura MeetUp - Journey to Cloud and Relational Databases
 
Windows Vista , Seven , Server 2008 r2
Windows Vista , Seven , Server 2008 r2Windows Vista , Seven , Server 2008 r2
Windows Vista , Seven , Server 2008 r2
 
2019 - GUOB MeetUp - Journey to Cloud and DBA Career
2019 - GUOB MeetUp - Journey to Cloud and DBA Career2019 - GUOB MeetUp - Journey to Cloud and DBA Career
2019 - GUOB MeetUp - Journey to Cloud and DBA Career
 
Petic Emgetis Final
Petic Emgetis FinalPetic Emgetis Final
Petic Emgetis Final
 
Apostila oracle
Apostila oracleApostila oracle
Apostila oracle
 
Técnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escalaTécnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escala
 

Planejando TMG

  • 1. Planejando corretamente Uilson Souza Sr. IT Projects Analyst MCTS ISA Server 2006 MTAC – Microsoft Technical Audience Contributor http://uilson76.wordpress.com souzajr.nc@uol.com.br ou usouzajr@gmail.com
  • 2. Agenda •Entendendo o ambiente •Como seu ambiente irá funcionar •Arquitetura de rede e features do produto •Hardware – disco/processamento/memória •Sistema Operacional, DNS e Active Directory •Placas de Rede, Log e cache •Enterprise Management Server e Backup •Network Load Balance •Proxy transparente •Atualizações no produto •Para quem ainda usa ISA Server •Referências para estudo
  • 3. Entendendo seu ambiente Topologia do ambiente Fluxo de acesso internet Tipo de usuário no ambiente – High, medium, low? Redes, VLAN s, Firewalls, etc Tamanho e quantidade de links da corporação Objetivos do acesso internet
  • 4. Como seu ambiente irá funcionar O que você precisa? Como você precisa? Qual a funcionalidade do Forefront TMG para a corporação? Que tipo de equipamento você irá usar? Appliance, VM, Servidor físico? O Forefront TMG ficará na rede interna? Será backfirewall ou ficará na borda?
  • 5. Arquiteturas de rede e features do produto Qual arquitetura usar? Edge, 3-Leg Perimeter, Back Firewall, Single Network Adapter
  • 6. Arquiteturas de rede e features do produto Existem diversas implementações de TMG usando Single Network Adapter com regras configuradas de forma errada, causando problemas de performance e tornando o ambiente “não suportado” http://technet.microsoft.com/en-us/library/cc995236.aspx
  • 7. Hardware Disco/Processamento/Memória Um dos grandes erros na montagem do servidor ocorre na arquitetura dos discos. Fundamental que haja separação do disco de SO/TMG, Cache o Log O resultado desta má configuração são problemas de gargalo de disco causando lentidão para quem acessa o servidor e também para o usuário final.
  • 8. Hardware Disco/Processamento/Memória A arquitetura de discos sempre deverá seguir o modelo ao lado. Arrays separados montados em RAID1 (que é mais performático), ou RAID10, dependendo da quantidade de discos OBS: Os tamanhos descritos na imagem ao lado são apenas exemplos
  • 9. Hardware Disco/Processamento/Memória Para memória – nada inferior a 4 ou 8 GB de RAM Processamento – mínimo de 2 processadores para máquinas virtuais ou 1 quadcore para servidores físicos Lembrando que a licença do Forefront TMG é vendida por processador e este planejamento também influi em custos Publicação Web também é um fator que deve ser analisado, pois, vai consumir processamento
  • 10. Hardware Disco/Processamento/Memória O dimensionamento de memória e processamento também é influenciado pelo número de usuários, tipo de acesso a internet, etc. Features como SSL Inspection, Network Inspection, URL Filtering, etc, devem obrigatoriamente ser consideradas no que tange a processamento e memória. Atenção também para método de gravação de log s, possíveis commits de LLQ s, etc.
  • 11. Hardware Disco/Processamento/Memória Mesmo após um bom dimensionamento, alguns problemas podem surgir em ambientes onde o acesso internet não é controlado, ou ambientes que recebam muitos acessos. Nesses casos, existem métodos de configuração que evitam Lock Down mode e também Syn Flood: http://uilson76.wordpress.com/2011/03/29/o-fim-de-uma-novela-envolvendo-uma-infra-tmg
  • 12. Sistema Operacional, DNS e Active Directory A versão correta do Windows Server 2008 deverá escolhida de acordo com o tamanho da sua infra. ser O Windows Server 2008 R2 Std até pode ser usado, porém, em ambientes pequenos em que a função do TMG se resuma a proxy e cache. Caso haja necessidade de VPN, a versão standard do Windows suporta até 250 conexões.
  • 13. Sistema Operacional, DNS e Active Directory Não instalar o produto sem antes se certificar que o Windows está totalmente configurado e os patches instalados. A falta de patches pode causar problemas no comportamento não só do TMG, mas, também do próprio sistema operacional, além de deixar o equipamento sujeito a brechas de segurança. Não funciona no Windows Server 2012
  • 14. Sistema Operacional, DNS e Active Directory Verificar a saúde do seu servidor DNS e configurações antes de implementar sua infra estrutura do Forefront TMG Qualquer problema no DNS afeta a performance e a resolução de nomes no servidor do Forefront TMG De preferência criar seu DNS Zone na sua infra de servidores AD, fazendo Forwarding para o DNS que faz as resoluções externas
  • 15. Sistema Operacional, DNS e Active Directory A mesma recomendação se faz necessária para seu Domain Controller. É através dele que o Forefront TMG analisa as permissões por usuário nas regras e é nele que o produto busca as informações de usuário. Em infras com vários sites, verifique sempre se o seu servidor Forefront TMG buscando autenticação no AD da própria localidade.
  • 16. Sistema Operacional, DNS e Active Directory Abaixo um link para um post onde o MVP Alberto Oliveira narra um caso onde a configuração equivocada do AD pode causar problemas na infra de proxy: http://oliveiraalberto.wordpress.com/2010/11/25/my-worst-isa-server-case
  • 17. Placas de Rede, Log e cache Em infras com arquitetura edge ou outra diferente de Single Network Adapter, prestar atenção no Bind Order. Placa Interna sempre com prioridade! Sempre sincronize a velocidade da sua placa com a do seu roteador. Evite o “Auto Negotiation” Toda rede criada no Forefront TMG deverá estar atrelada a uma placa. http://blogs.technet.com/b/yuridiogenes/archive/2011/08/16/side-effect-of-wrong-network configuration-on-forefront-tmg.aspx
  • 18. Placas de Rede, Log e cache Ambientes com duas placas de rede: •Gateway sempre na rede externa •Roteamento para rede interna via rotas estáticas •DNS – preferencialmente usar resolução interna e externa a partir da placa da rede interna
  • 19. Placas de Rede, Log e cache Log s sempre sendo gravados em um disco próprio em array ou LUN separada do SO e Cache. Ambientes com mais de 10.000 usuários – recomendável não usar o SQL Express e direcionar a criação de log s para um servidor SQL através de uma rede separada. Cuidado ao direcionar log s para um servidor SQL! Alguns comandos devem ser aplicados previamente: http://technet.microsoft.com/pt-br/library/dd441079.aspx
  • 20. Placas de Rede, Log e cache Atenção para o tempo de retenção dos log s. Influencia no espaço em disco e nas informações que você poderá precisar em um eventual relatório. Log s em TXT são mais performáticos, porém, não é possível acessar registros passados.
  • 21. Placas de Rede, Log e cache Da mesma forma que o Log, o serviço de cache deverá ter seu próprio disco ou LUN para evitar problemas de gargalo. Não crie arquivos de log muito grandes. Isso só causa problemas. Siga o padrão definido pela Microsoft: 100 MB + 0.5 MB * número de usuários: http://msdn.microsoft.com/en-us/library/cc750618.aspx
  • 22. Enterprise Management Server e Backup O EMS gerencia arrays com vários servidores TMG
  • 24. Enterprise Management Server e Backup O backup de uma infra Forefront TMG deve se basear no servidor do EMS ou no Array Manager Manter sempre backup do array e/ou regras criadas no Forefront TMG. Pode ser feito via scrip ou manual. Cuidado na implementação das Redes de Backup http://uilson76.wordpress.com/2012/04/06/consideraes-para-rede-de-backupno-forefront-tmg/
  • 25. Network Load Balance Analisar bem o tráfego de sua rede Para ambientes TMG em VM´s verificar recomendações do fornecedor do Host Físico as NLB Microsoft suporta até 500 mbps de tráfego. Além disso é recomendado o uso de um Balanceador Externo
  • 26. Network Load Balance Em ambientes grandes utilizar sempre Multicast Detalhe Importante: A Microsoft não suporta cenários em que a estrutura possua balanceadores externos com estações usando o Forefront TMG Firewall Client: http://technet.microsoft.com/en-us/library/ee796231.aspx
  • 27. Proxy Transparente Forma de se configurar o proxy transparente no TMG: •Duas placas de rede no padrão Edge •IP da interface Interna como default gateway da rede •Servidor deverá ser capaz de rotear para toda rede •Criar regra habilitando HTTP e HTTPS da interna para externa com acesso para All Users •Os acessos ocorrerão por SecureNat
  • 28. Proxy Transparente Pontos de atenção: •SecureNAT não faz autenticação •Não é possível restringir acessos nas regras por usuário •Qualquer outro tipo de acesso diferente de All Users requer configuração de proxy explícito
  • 29. Atualizações no produto É importante saber qual versão do produto se está lidando quando se faz um assessment ou um primeiro contato: http://social.technet.microsoft.com/wiki/contents/articles/10618.como-determinar-aversao-do-forefront-tmg-pt-br.aspx Produto atualmente na versão SP2 Rollup 2
  • 30. Para quem ainda usa o ISA Server Não adianta usar mais que 4 GB de RAM – 32 Bits Nunca use /3GB no Boot.ini – O engine FWENG roda em Kernel Demais recomendações iguais ao Forefront TMG
  • 31. Para quem ainda usa o ISA Server Migrar urgente para o Forefront TMG!
  • 32. Referências para Estudo Forefront TMG Hardware Recommendations http://technet.microsoft.com/en-us/library/ff382651.aspx Forefront Deployment Resources http://www.microsoft.com/forefront/en/us/deployment.aspx Microsoft Forefront TMG Case Studies http://www.microsoft.com/forefront/threat-management-gateway/en/us/casestudies.aspx
  • 33. Referências para Estudo Guia de sobrevivência Forefront TMG no Technet Wiki: http://social.technet.microsoft.com/wiki/contents/articles/4061.aspx Forum Technet – Forefront TMG: http://social.technet.microsoft.com/Forums/pt-br/forefronttmgpt/threads Microsoft Space: http://uilson76.wordpress.com Treinamento Online Forefront TMG: http://uilson76.wordpress.com/2011/10/29/treinamento-online-gratuto-de-forefronttmg/
  • 34. A Microsoft ajuda vc a planejar! Forefront TMG Capacity Planning Tool http://www.microsoft.com/en-us/download/details.aspx?id=15196
  • 35. Planejando corretamente Obrigado pelo tempo dispensado! Uilson Souza Sr. IT Projects Analyst MCTS ISA Server 2006 MTAC – Microsoft Technical Audience Contributor http://uilson76.wordpress.com souzajr.nc@uol.com.br ou usouzajr@gmail.com