locked
TMG 2010 virtualisieren RRS feed

  • Frage

  • Spricht etwas dagegen, ein Forefront TMG 2010 auf einem Host-Server zu virtualisieren, wenn es nur einen Host-Server gibt, auf dem alles (Domain Controller, Exchange, SQL) virtualisiert ist?

    Ich könnte das öffentliche Subnetz über ein VLAN mit einem Netzwerkadapter des Host-Servers verbinden, diesen müsste ich dann doch an das TMG durchreichen können.

    Ist das so OK?


    • Bearbeitet McZalle Freitag, 2. März 2012 10:34
    Freitag, 2. März 2012 10:31

Antworten

  • Hi,

    grundsaetzlich nicht:

    http://support.microsoft.com/kb/982902
    Der TMG in der VM kann logischerweise das Host System nicht schuetzen.
    Losgeloest von TMG solltest Du noch einen physikalischen DC haben, dann wenn das Host System ausfaellt, stehen auch keine AD informationen fuer Anemeldung zur Verfuegung und der Hyper-V in der aktuellen Version wird Probleme haben zu starten und somit auch nicht die VM Systeme starten koennen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Alex Pitulice Sonntag, 11. März 2012 23:04
    • Als Antwort markiert Alex Pitulice Dienstag, 13. März 2012 10:51
    Freitag, 2. März 2012 10:49
  • Um die Frage der Machbarkeit zu beantworten: Ja, geht.

    Und ja, Du kannst am Host eine separate NIC nehmen, keinerlei Protokolle daran binden und die nur der VM zur Verfügung stellen. Ob _ich_ es so machen würde, kann ich so pauschal nicht beurteilen. Ja, bei mir gibt es auch virtuelle TMGs in der Umgebung.

    Marc hat zwei wesentliche Aspekte angesprochen: DC und Scheinsicherheit am Host. Wenn Du Hyper-V vertraust sage ich mal spricht nichts dagegen.

    Viele Grüße
    Dieter


    Dieter Rauscher * MVP Forefront * http://www.msisafaq.de * http://blogs.msmvps.com/rauscher * @Dieter_Rauscher

    • Als Antwort markiert Alex Pitulice Dienstag, 13. März 2012 10:52
    Dienstag, 13. März 2012 01:31

Alle Antworten

  • Hi,

    grundsaetzlich nicht:

    http://support.microsoft.com/kb/982902
    Der TMG in der VM kann logischerweise das Host System nicht schuetzen.
    Losgeloest von TMG solltest Du noch einen physikalischen DC haben, dann wenn das Host System ausfaellt, stehen auch keine AD informationen fuer Anemeldung zur Verfuegung und der Hyper-V in der aktuellen Version wird Probleme haben zu starten und somit auch nicht die VM Systeme starten koennen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Alex Pitulice Sonntag, 11. März 2012 23:04
    • Als Antwort markiert Alex Pitulice Dienstag, 13. März 2012 10:51
    Freitag, 2. März 2012 10:49
  • Hi Marc,

    Danke :)  Ich kann also nicht eine Netzwerkkarte des Host direkt an einen Gast weiterreichen? Weil dann müsste ich doch auch den Host schützen können? Wenn alle eingehenden Verbindungen aus dem Internet direkt an das virtuelle TMG durchgereicht werden ... Oder wo liegt mein Denkfehler?

    Einen kleinen DC für den Notfall wird es auch noch geben, na klar! :)

    Freitag, 2. März 2012 11:33
  • Hi McZalle,

    die Verwaltung der Netzwerkkarte bei einer Virtualisierung erfolgt durch die Virtualisierungssoftware selbst (Stichwort: virtueller Switch etc.), .d.h. dort könnte schon der Angriff erfolgen, also noch vor dem TMG. Das ist doch das Problem oder liege ich da falsch, Marc?

    Viele Grüße, Anastasia

    Freitag, 2. März 2012 11:49
  • Marc ist einer der ganz großen (übrigens auch ein sehr sympathischer) Kollegen und ich traue ihm sehr viel zu. Daher bin ich an dieser Stelle irritiert, denn es gibt ja auch andere Meinungen - es sei denn, ich habe (mal wieder xD ) etwas überhaupt nicht kapiert:

    http://blogs.technet.com/b/isablog/archive/2009/02/27/forefront-tmg-beta-2-virtualization-ready.aspx

    http://technet.microsoft.com/en-us/library/cc891502.aspx

    Freitag, 2. März 2012 12:07
  • Hallo McZalle,

    Haben die Antworten die Situation klargestellt?Wenn ja - bitte markiere die entsprechenden Beiträge "als Antwort".

    Vielen Dank und Grüß,
    Alex


    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Sonntag, 11. März 2012 23:03
  • Um die Frage der Machbarkeit zu beantworten: Ja, geht.

    Und ja, Du kannst am Host eine separate NIC nehmen, keinerlei Protokolle daran binden und die nur der VM zur Verfügung stellen. Ob _ich_ es so machen würde, kann ich so pauschal nicht beurteilen. Ja, bei mir gibt es auch virtuelle TMGs in der Umgebung.

    Marc hat zwei wesentliche Aspekte angesprochen: DC und Scheinsicherheit am Host. Wenn Du Hyper-V vertraust sage ich mal spricht nichts dagegen.

    Viele Grüße
    Dieter


    Dieter Rauscher * MVP Forefront * http://www.msisafaq.de * http://blogs.msmvps.com/rauscher * @Dieter_Rauscher

    • Als Antwort markiert Alex Pitulice Dienstag, 13. März 2012 10:52
    Dienstag, 13. März 2012 01:31