locked
Cenário novo com TMG 2010 RRS feed

 > 

  • Pergunta

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Olá pessoal

    Tenho uma duvida com relação a um novo cenario que preciso implementar e gostaria

    da opinião de vocês.

    Atualmente trabalhamos com 2 servidores Windows Server 2008 que são respectivamente controlador de dominio principal e secundario, sendo que ambos possuem as funções de DNS, e dhcp.

    Em ambos os servidores DNS, apontam para o ISP na guia encaminhadores (forwarders), e consequentemente no servidor TMG existe uma regra para o protocolo DNS, ou seja a origem sao os servidores DNS interno, para os servidores ISP, com protocolo dns (53).

    DC1 - 192.168.0.1
    DC2-  192.168.0.2
    TMG - 192.168.0.4 - Na placa de rede interna aponta para os DC1 e DC2

    Neste cenario a muitas requisições de resolução de nomes para internet nos servidores DNS internos, que sao nossos controladores de dominio, pois temos atualmente 700 funcionarios.

    A solução encontrada seria criar um servidor DNS adicional, com apenas essa função instalada, para aliviar o trafego de resolução de nomes em cima dos DCS, porem ficamos nas duvidas abaixo:

    1- Na guia encaminhadores dos DC1 e DC2 eu iria apontar para um servidor DNS interno, e nao mais para os servidores ISP.. correto?

    2 - Nesse novo Servidor DNS ( que teria apenas a função DNS instalada), eu iria na placa de rede apontar para o DC1 e DC2 , e na guia encaminhadores iria apontar para os servidores ISP?

    3 - No TMG a unica configuração que mudaria seria na regra ou seja em vez de ter a regra com meus controladores de dominio liberando o trafego com protocolo DNS, eu iria colocar esse novo servidor DNS? ou seja origem Servidor dns NOVO , com destino os servidores ISP, com protocolo DNS (53).

    4 - Com todas essas mudanças, o processamento iria melhorar em cima dos DCs, pois eles nao resolveriam mais os nomes, apenas apontariam para um outro servidor DNS interno, que faria o trabalho, mas com isso o caminho ate a resolução de nomes nao geraria lentidao, partindo do principio que um cliente iria contatar os DCs, os DCS iriam contatar um outro servidor DNS interno, esse servidor DNS interno, iria contatar o TMG, e por fim fazer o caminho inverso, ate responder ao cliente?

    5 - Sera que realmente iria melhorar o processamento dos DCS, pois eles continuariam tendo que apontar para um novo servidor DNS ?

    Obrigado, aguardo a opiniao de voces pessoal.

    Abraços



    segunda-feira, 1 de abril de 2013 13:04

Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Patricia.

    Me responde uma coisa... esses teus servidores dns não hospedam nenhum tipo de registro MX ou www, apenas interno?

    No teu cenário eu faria o seguinte.

    Criaria um cluster entre os DC's e o DNS.
    PQ?

    Vc pode balancear o trafego entre eles sem problemas algum.

    Da maneira que pretende fazer o trafego dns ira ficar muito lento.
    Deixa eu te explicar.

    O usuario X vai perguntar quem é o www.google.com.br  -> a pergunta vai para os DC's -> DC não tem a resposta -> foi encaminhado a pergunta para o outro servidor dns que tem a resposta para resolver.

    Dessa maneira vc cascateia sua rede, e não é uma boa pratica.

    Se tiver alguma duvida entre em contato comigo, por msn ou fone.

    abs

    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    • Sugerido como Resposta Uilson Souza segunda-feira, 8 de abril de 2013 14:04
    • Marcado como Resposta fernando silva 1 quarta-feira, 10 de abril de 2013 21:29
    segunda-feira, 1 de abril de 2013 16:40

Todas as Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Patricia.

    Me responde uma coisa... esses teus servidores dns não hospedam nenhum tipo de registro MX ou www, apenas interno?

    No teu cenário eu faria o seguinte.

    Criaria um cluster entre os DC's e o DNS.
    PQ?

    Vc pode balancear o trafego entre eles sem problemas algum.

    Da maneira que pretende fazer o trafego dns ira ficar muito lento.
    Deixa eu te explicar.

    O usuario X vai perguntar quem é o www.google.com.br  -> a pergunta vai para os DC's -> DC não tem a resposta -> foi encaminhado a pergunta para o outro servidor dns que tem a resposta para resolver.

    Dessa maneira vc cascateia sua rede, e não é uma boa pratica.

    Se tiver alguma duvida entre em contato comigo, por msn ou fone.

    abs

    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    • Sugerido como Resposta Uilson Souza segunda-feira, 8 de abril de 2013 14:04
    • Marcado como Resposta fernando silva 1 quarta-feira, 10 de abril de 2013 21:29
    segunda-feira, 1 de abril de 2013 16:40
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    A solução em cluster é apreciada, porem não cabe em nosso cenario.

    Segundo estamos tentando seguir um artigo que cabe em nosso problema, porem nao temos a vivencia do que diz esse artigo na pratica:

    Caso o Servidor DNS adicional crie realmente um cache, pode ser que seja resolvido, porem é complicado simular esse cenario, por isso postei para que se alguem tivesse esse problema pudesse me dizer.

    http://www.isaserver.org/tutorials/TMG-Firewall-Name-Resolution-Part1.html

    " Resolução de nomes de internet terá de ser realizado configurando o firewall TMG para usar um ou mais servidores DNS que podem resolver nomes de hosts da Internet. Desde que muitas organizações não permitem que os sistemas de seus clientes para resolver nomes de hosts da Internet, os servidores DNS internos são, provavelmente, não vai ser configurado para resolver nomes de hosts da Internet. Isso significa que você pode precisar levantar-se alguns servidores de DNS em sua rede que pode resolver nomes de hosts da Internet, a fim de apoiar o firewall TMG."

    terça-feira, 2 de abril de 2013 13:04
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Qual seria o motivo que não caberia em seu cenário a solução de cluster?

    Alem de voce ter replicas entre seus dc's vc ira balancear o trafego, deixando tambem em cache as resoluções de nomes caso algum deles venham apresentar algum problema.

    De mais detalhes do teu projeto que vamos conversando.

    abs

    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    quarta-feira, 3 de abril de 2013 19:25
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Quando se tem um controlador de dominio primario e um secundario, ja existe a replicação de informações.

    Não é o caso ter um cluster ainda, porque o hardware dos DCs sao excelentes, temos Vlans tambem na empresa, que distribui o trafego.

    Mas enfim voce tem alguma experiencia no artigo que passei?

    quinta-feira, 4 de abril de 2013 11:47
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    correto ja tem a replicação de informações quando se tem dc's primario e secundario.

    A intenção que te propus foi balancear o trafego de dns, para nao te causar lentidão nem cascateamento.

    quanto ao artigo que me passou tenho experiencia sim, ali esta descrito as boas praticas do produto quando relacionado a dns.

    Muitos administradores não seguem essa pratica e ao final do projeto se depara com lentidão na rede e problemas ao resolver nomes.

    O artigo apenas foca sobre as necessidades atuais e as politicas que devemos seguir para ter um bom desempenho em uma rede baseada com o TMG.

    Um erro grave que ja tive por experiencia própria é deixar habilitado nas interfaces a resolução de Netbios sobre TCP/IP

    Enfim existem diversas configurações a a serem levantadas e ajustadas antes da instalação e configuração do TMG. 

    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    segunda-feira, 8 de abril de 2013 16:24
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Quanto ao Netbios, depende, tem aplicações como Symantec BackupExec, que usam o netbios, nesse caso seria um erro grave desabilitar, dentre outras.

    As pessoas apenas leem que se nao tiverem, Windows XP no ambiente podem desabilitar o Netbios, o que não é verdade.

    Mas, agradeço pelo seu tempo em responder, porem, ainda nao sei se, devo ou nao colocar um Servidor DNS a mais no ambiente, porem acredito que talvez ninguem tenha um ambiente com essas caracteristicas.

    Porem posso ter alguma linha de base, fazendo testes em maquinas virtuais.

    terça-feira, 9 de abril de 2013 12:41
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Na realidade Patricia seu ambiente é igual de todos, quando a muitas requisições então criamos cluster para balancear o trafego.

    Apenas é criado servidores dns na rede quando o mesmo mantem zonas externas como WWW, MX, Txt etc..

    No caso esse servidor fica em uma zona DMZ, separada da sua rede local.


    Descordo quanto ao uso do Netbios.
    Antigamente na era Windows Server 2000 era muito utilizado, de lá pra ka nao vejo necessidade de utilizar sabendo que dentro da sua rede terá um servidor dns para que resolva os nomes de host's da sua rede interna.

    Quanto a aplicativos que usam tbem desconheço, o symantec backup tenho na rede e não tenho habilitado o netbios, e o funcionamento dele é perfeito.

    Júnior Ramos | MCITP | MCSA | MCTS | MCC | MCP Consultor em Tecnologia da Informação. Consultoriaemredes@live.com (47) 8417 -3475

    terça-feira, 9 de abril de 2013 15:55