Usando UAG e TMG na mesma rede, é possivel?

Todas as Respostas

• 

  

  0

  Entrar para Votar

  Olá Claudio,

  sim, é possível.

  Basicamente o TMG firewall é um UTM que serve para filtrar pacotes de entrada e saída da sua rede. O UAG é utilizado para filtrar os pacotes de entrada em sua rede. Apesar do TMG também fazer essa filtragem de entrada, ele não possui filtros tão especializados e um controle de granularidade tão grande como o UAG.

   

  Atenciosamente,

  Paulo Oliveira.

  ---

  Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

  Blog: http://poliveirasilva.wordpress.com

  TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

   

  quarta-feira, 14 de dezembro de 2011 12:34

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Paulo, 

   

  Obrigado pela resposta, então para exemplificar um cenário ficaria assim:

   

  UAG > TMG > Rede interna

   

  Onde o UAG recebe o link de internet e o TMG fica somente como proxy?

   

  Poderia me ajudar com essa estrutura básica, pois ainda estou tentando entender, pois pelo que li do UAG ele tem que ser um member domain.

   

  abçs 

  quarta-feira, 14 de dezembro de 2011 13:23

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Claudio,

  na realidade, o cenário poderia ser da seguinte forma, TMG como firewall e o UAG na DMZ ou rede interna. Ou ainda mais simples você pode deixar tanto o UAG como o TMG como dispositivos de borda (de cara para internet).

  O UAG é instalado em cima do TMG, nesse caso o TMG serve como firewall de host para a máquina do UAG, por isso não tem problema de deixá-lo na borda da rede.

  Seguem abaixo alguns artigos interessantes sobre diferenças entre os dois produtos:

  http://tmgblog.richardhicks.com/2010/10/10/what-are-the-differences-between-tmg-and-uag/

  http://blogs.technet.com/b/tomshinder/archive/2011/04/19/choosing-between-forefront-tmg-or-forefront-uag-for-publishing-scenarios.aspx

  Recomendo também dar uma olhada nestes 3 blogs, pois tem muito assunto sobre UAG:

  http://blogs.technet.com/b/tomshinder/

  http://blog.msedge.org.uk

  http://tmgblog.richardhicks.com/

   

  Atenciosamente,

  Paulo Oliveira.

  ---

  Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

  Blog: http://poliveirasilva.wordpress.com

  TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

   

  quarta-feira, 14 de dezembro de 2011 14:03

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Paulo, 

  Antes de continuar quero agradecer pois ja está esclarecendo várias duvidas minhas, uso o ISA desde a versão 2000, passando pelo 2004, 2006 e agora o TMG, mas nunca tinha usado o IAG que agora e o UAG por isso esse monte de duvida... mas obrigado mesmo. só para constar estou baixando a versão do UAG para instalar em um ambiente teste para enteder melhor o funcionamento e ai poder aplicar melhor essas dicas e ensinamentos que está me passando.

  Li os posts e me ajudaram a definir mais ou menos a forma de implantar o UAG, porém falando ainda no exemplo que você me posicionou, fiquei com duvida em 03 pontos?

  1- se eu instalar o UAG na DMZ ou na rede interna, vou ter que liberar / publicar todos os serviços que o UAG realizará no TMG também, tal como VPN, OWA, RDP´s e etc? Ou só vou publicar o UAG e ele irá fazer o resto?

  2- Considerando que tenho somente um link de internet(01 ip só), e se colocar o UAG como borda e o TMG também, a instalação seria na mesma máquina? (devo ter entendido errado mesmo rsrsrs) . Se não for como ficaria a estrutura, pois o UAG também utilizará duas placas de rede certo?

   

  quarta-feira, 14 de dezembro de 2011 14:46

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Claudio,

  1- Isso, caso o UAG fique em uma DMZ, você terá que liberar algumas portas no seu firewall. Veja o documento: http://technet.microsoft.com/en-us/library/dd857262.aspx

  2- Ao instalar o UAG, o TMG também é instalado. Sei que é meio complicado, mas não é suportado fazer muitas alteração no TMG da máquina em que está instalado o UAG (ele é um firewall de host para esta máquina). Neste caso, você precisa de uma máquina para utilizar o TMG e todas as suas funcionalidades e uma máquina para o UAG para ficar suportado pela Microsoft.

  O UAG precisa de dois IPv4 públicos (reais) e consecutivos para implantação do DA (Direct Access) em sua rede, como você só tem um, não será possível.

  Esse artigo vai te ajudar a desenhar a solução: http://technet.microsoft.com/en-us/library/ee844246.aspx

  Este outro mostra os pré-requisitos do UAG: http://technet.microsoft.com/en-us/library/dd857262.aspx

  Este vídeo é bem informativo: http://technet.microsoft.com/en-us/edge/Video/ff711048

  Atenciosamente,

  Paulo Oliveira.

  ---

  Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

  Blog: http://poliveirasilva.wordpress.com

  TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

   

  quarta-feira, 14 de dezembro de 2011 15:50

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Paulo,

  Agora sim rsrsrs consegui ter a noção que queria... obrigado pela paciência.

  Mas só pra ficar didático para todos que consultarem aqui, pelo que li só preciso do segundo Link (ip) se for fazer load balance, igual o TMG.

  No meu caso vou usar a primeira opção que instalar ele na rede interna, pelo que li achei mais simples para começar a utlilizar ele, além de se enquadrar melhor no meu ambiente tanto teste quanto produção.

  Eu só não entendi a questão do DA, afinal pra que serve ele??? tem referencias que falam que não preciso usar, tem outras que dizem que tenho que usar, vc pode me esclarecer para finalizar o caso!! 

  A instalação do DA e feita junto com o UAG ou preciso aprofundar, mexendo no meu AD e DC?

   

  abçs

  • Marcado como Resposta Claudio Placa sexta-feira, 16 de dezembro de 2011 12:15

  quarta-feira, 14 de dezembro de 2011 16:29

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Claudio,

  na minha opinião usar o UAG e não usar DA (DirectAccess) não é uma opção :P.

  O propósito do DA é provê uma solução para os usuários sem importar se eles estão trabalhando remotamente ou dentro da rede corporativa. Essa experiência se diz respeito a acesso aos recursos internos de sua rede (servidores de arquivos, servidores de intranet, etc), sem precisar estar conectado em uma VPN, de uma maneira segura e transparente.

  Mais informações sobre DA: http://technet.microsoft.com/en-us/library/ee809094.aspx

  O segundo IP não é só para deployments em Load Balance, mas para single server deployments também.

  O cenário de implantação mais simples é este:

  "

  Network topology requirements

  You can determine where Forefront UAG servers or Forefront UAG DirectAccess servers will be located within your organization, by considering the following:

  1. Do you want to place Forefront UAG servers behind a frontend firewall?─In this configuration, the Forefront UAG server is placed in the internal network, behind a frontend firewall at the corporate edge. The Forefront UAG server has one network adapter that routes to the frontend firewall, and the other is in the internal network. The advantages and disadvantages are as follows:
     
     
     1. It is the simplest solution, requiring the least amount of hardware and configuration.
        
        
     2. It provides a single point of data, as the Forefront UAG server, published servers, and infrastructure servers, are all located within the internal network.
        
        
     3. It provides a simple configuration for external users who connect via Forefront UAG, and internal users in the internal network can all view the same content.
        
        
     4. The main disadvantage of this design is that the corporate internal network is separated from the Internet by a single firewall. Note that the Forefront UAG server itself is protected by Forefront TMG running as a firewall on the Forefront UAG server. Forefront TMG is installed by default during Forefront UAG setup.
        "

  Single server infrastructure design: http://technet.microsoft.com/en-us/library/ee428847.aspx

  Single Forefront UAG DirectAccess server infrastructure design: http://technet.microsoft.com/en-us/library/ee428823.aspx

  Recomendo também ler este documento para as configurações suportadas pela Microsoft: http://technet.microsoft.com/en-us/library/ee522953.aspx

   

  Atenciosamente,

  Paulo Oliveira.

  ---

  Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

  Blog: http://poliveirasilva.wordpress.com

  TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

   

  quinta-feira, 15 de dezembro de 2011 11:30

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Obrigado Paulo pela ajuda....

   

  abçs

  ---

  Claudio Placa Consultor Microsoft Windows Server, ISA/TMG, ITIL v3.

  sexta-feira, 16 de dezembro de 2011 12:15

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Disponha, precisando é só postar!

   

  Atenciosamente,

  Paulo Oliveira.

  ---

  Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

  Blog: http://poliveirasilva.wordpress.com

  TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

   

  sexta-feira, 16 de dezembro de 2011 13:33

  Responder

  |

  Citação