none
Разделение TMG 2010 и Exchange EDGE 2010+FEP есть смысл? RRS feed

  • Вопрос

  • Собственно, навеяно этим: не запускаются автоматически службы TMG

    Собственно хост: 2х Xeon E5506 на Intel S5520SC, 76Gb RAM, 5х1TB RAID 10 onboard, 4 NIC (2xIntel 82575EA Gigabit Network Connection, 2xIntel PRO/1000 PT Dual Port Server Adapter) - Hyper-V Server 2008 R2.

    Есть TMG 2010, Exchange Edge 2010, FPE на ВМ (4CPU, 12Gb RAM, 250HDD fixed, 4 exterlan lan) Windows Server 2008 R2 Standart. Эта машина была конвертирована из физической.

    В целом устал от косяков в TMG что на физической машине, что теперь на виртуальной.

    Планирую полную переустановку, отсюда вопрос: есть смысл разделить TMG и EDGE+FPE по разным ВМ?

    P.S. TMG очень долго применял настройки - до 15 минут, от этого тоже хотелось бы избавиться.

    1 марта 2012 г. 10:36

Ответы

Все ответы

  • Еще вопросик: хотелось бы организовать DMZ (частная сеть на хостовой машине) для TMG и EDGE. TMG не сойдет с ума от 5 сетевых адаптеров?

    И как лучше построить EDGE 2 адаптера: DMZ и LAN?

    1 марта 2012 г. 12:11
  • День добрый.

    Петр, прежде всего надо понять почему у вас так медленно работает TMG.

    1. Утилита для планирования.

    Forefront Threat Management Gateway 2010 Capacity Planning Tool 

    2. Возможно вам стоит разнести сервисы по типу доступа.

    Например доступ пользователей во вне это один сервис.

    Публикация Exchange и OWA, это другой ресус.

    3. Зачем 5 сетевйх адаптеров. Достаточно двух. Возможно вам стоит продумать сетевую инфраструктуру Vlan и Router/ASA.


    MCITP. Знание - не уменьшает нашей глупости.

    1 марта 2012 г. 13:08
  • К сожалению TMG работает хорошо (то, что я писал в не запускаются автоматически службы TMG про загрузку ЦП 100% - это разовый случай), он долго и частично вручную запускается.

    По п.1: даже сейчас выделено аппаратных ресурсов с большим запасом.

    По п.2: сейчас TMG (помимо EDGE+FPE) держит 2 PPTP Site-2-Site, прокси и нат доступ пользователей в интернет, опубликованы: Exchange owa, activesync, anywhere; SharePoint; TSG + RemoteApp; и проброс RDP. Отсюда и родилась идея снять с TMG нагрузку фильтрации почты (полтора миллиона коннектов за 2-3 месяца отсечено FPE) , пробросив 25 порт на другой сервак.

    По п.3: 2 интерфейса - провайдеры, объединенные в ISP Load Balance; 1 интерфейс - сервисная подсеть, нам не доступная (требование заказчика); 1 интерфейс - LAN; (итого 4 сейчас) и 5й интерфейс для DMZ, если EDGE выделять или EDGE поставить внутри LAN, тогда 5й не нужен...


    1 марта 2012 г. 13:49
  • Узким местом в данной конфигурации это ISP Load Balance. На мой взгляд отказоустойчивость это не повышает, а создает дополнительные проблемы.

    Например, вместо ISP Load Balance реализовал схему с двумя TMG в массиве на двух физических(виртуальных серверах на разных хостах). Это снизило нагрузку и дало достаточную отказоустойчивость. Для провайдера ввел достаточно высокий SLA.

    Например ISP Load Balance  не базансирует SMTP трафик, а только исходящий HTTP и расмаривал вопрос с разделением сервисов, чтобы снизить риски.

    Разделять TMG - Edge - FPE смысла нет.

    Это только мой взгляд.


    MCITP. Знание - не уменьшает нашей глупости.

    1 марта 2012 г. 14:10
  • К сожалению, сейчас нет возможности развернуть второй TMG на другом хосте.
    2 марта 2012 г. 4:12
  • При планировании архитектуры надо операться на Unsupported configurations

    MCITP. Знание - не уменьшает нашей глупости.

    2 марта 2012 г. 6:17
  • К сожалению с планированием всё очень плохо: сейчас такой переходный период, что не понятно что будет покупаться и будет ли вообще; вот и приходится отталкиваться от того, что есть и импровизировать...

    Очень хотелось бы построить кластер, массив из TMG, DAG на Echange и т.д. но увы...

    По факту TMG себя не очень хорошо чувствует, по этому и возник вопрос.

    2 марта 2012 г. 11:04
  • В общем, переустановил, но долго и с ошибками типа "зависла при запуске" теперь Managed Control.

    И еще возникла проблема с подпиской Exchange: на EDGE в очереди висит 451 4.4.0 dns query failed.SMTPSEND.DNS.NonExistentDomain для HUBa

    Возможно проблема в том, что EDGE - Exchnage SP2, а HUB - Exchange SP1 + rollups?

    Может всё-таки TMG и EDGE разделить?

    7 марта 2012 г. 6:35
  • У вас все упираеться в планирование сети и разнесение сервисов. Увеличение производительноси серверов возможно до определенного ресурса, дальше надо планировать разнесение ролей и доступа.

    По разности версий. Надо чтобы в организации Exchange все сервера были отдной версии.


    MCITP. Знание - не уменьшает нашей глупости.

    7 марта 2012 г. 7:59
  • Пётр Корешков, вопрос решен?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    13 марта 2012 г. 9:45
  • Вопрос к сожалению еще актуален... жду возможности обновить Exchange до SP2

    13 марта 2012 г. 11:30
  • Разнесите TMG и Edge+FEP на разные виртуалки,посадите Edge+FEP в DMZ и будет вам счастье:)

    • Помечено в качестве ответа Yuriy Lenchenkov 27 марта 2012 г. 11:05
    21 марта 2012 г. 4:46
  • Разнесите TMG и Edge+FEP на разные виртуалки,посадите Edge+FEP в DMZ и будет вам счастье:)

    Об это м речь. Но, TMG не сойдет с ума от 5 сетевых адаптеров? И как лучше построить EDGE: 2 адаптера DMZ и LAN? И как правильно создать правило публикации для EDGE сервера?
    22 марта 2012 г. 11:17
  • FPE+Edge ставте в локальной сети, а публикуйте через Визард публикации почтового сервера.


    MCITP. Знание - не уменьшает нашей глупости.

    • Изменено Oleg.Kovalenko 22 марта 2012 г. 12:03
    • Помечено в качестве ответа Yuriy Lenchenkov 27 марта 2012 г. 11:05
    22 марта 2012 г. 12:03