[ESTUDOS] Instalando o Microsoft Forefront TMG no VirtualBox


OBS:
Este post está sendo escrito para estudos. Não acredito que funcionará em um ambiente real. Necessitaria adaptações, como usar o adaptador de rede em modo bridge (como um computador participante da rede do host, que seria o servidor) no lugar da Rede Interna. Se poder usá-lo em um ambiente de produção, comente nos comentários!

Os dois servidores e os clientes são virtualizados em um host com Windows 7, com nenhuma relação com os computadores virtualizados. Se você usar em um ambiente de produção, virtualizaria o servidor com Forefront no servidor com AD, DNS e DHCP com Hyper-v. Usaria o VirtualBox apenas se o servidor não suporta virtualização.

Mas como você me compra um servidor sem suporte a virtualização? Você merece morrer pela voadeira do gato assassino!

Lembre-se que necessitará de dois servidores. Isso por que, se você possui o AD instalado, não poderá instalar no mesmo computador o Forefront TMG. O computador com Forefront TMG precisa ser Windows Server 2008 (ou superior) 64-bits. Em 86-bits é possível instalar apenas o Console de gerenciamento, para que possamos administrar um servidor com Forefront remotamente.

Abaixo, a Estrutura da rede:

Está é a mais comum, onde todos os computadores estão “protegidos” pelo Forefront do acesso externo. Com isso, podemos adicionar filtros de URL para bloquear acesso a determinados websites, por exemplo, por que todos os computadores precisam passar pelo Forefront para acessar a internet.

No servidor que será instalado o Forefront, você precisará possuir 2 placas de rede: Uma para Rede interna (192.168.0.254) e outra para a Internet (NAT) (200.254.253.xxx). Você pode adicionar mais adaptadores acessando o menu Rede nas configurações da VM:

Os computadores (e o Servidor com AD, DHCP e DNS) possuirão apenas uma placa de rede, usada para a Rede interna. Para acessar a internet, se comunicarão com nosso servidor Forefront.

Após isso, precisamos definir os Endereços IP usados na placa de rede interna e externa.

Abra as propriedades da placa de rede > TCP/IPv4 e adicione os dados de acordo com a rede interna (192.168.0.254). Em Servidores DNS, aponte para o Servidor DNS instalado na rede (192.168.0.1):

OBS: Não use IP distribuído pelo DHCP da rede interna, mesmo com reserva. Ele puxa, mas após a instalação do Forefront ele o mudará para fixo, ou seja, parará de puxá-lo do DHCP e mostrará a reserva como inativa no DHCP, mesmo que o IP esteja sendo usado – simplesmente por que ele não o puxa mais do DHCP. Se o Endereço IP que você usar na placa de rede INTERNA do Forefront está na faixa de distribuição de IPs do DHCP, adicione o IP usado na lista de exclusão para não distribui-lo na rede e use-o no servidor com Forefront, ok?

Entre em “Avançado“. Na aba DNS, em Sufixo DNS para esta conexão digite o nome da zona direta (Nome -> IP) usado no DNS (documentos.com.br) e marque a caixa “Usar o sufixo DNS desta conexão no registro DNS“.

Para a placa da rede EXTERNA, use endereço IP dinâmico (recebido via NAT no VirtualBox), mas em Servidores DNS, use o endereço IP do servidor DNS da rede e outro para resolução de nomes na internet, como o OpenDNS (208.67.220.220).

Após isso, adicione o servidor ao domínio (Menu iniciar > Botão direito em “Computador” > Propriedades > Configurações avançadas do sistema > Nome do computador > Mudar…). Se puder, renomeie o nome do servidor para um nome mais amigável, como servidor2 ou servidor_TMG.

O nome do domínio usado no post é documentos. Lembre-se de adicionar o sufixo DNS clicando em Mais… na tela de adicionarmos o servidor ao domínio e, em Sufixo primário para esta conexão, digite o nome da zona direta (Nome -> IP) usada no DNS.

Após reiniciar o servidor que será instalado o Forefront, volte ao servidor com DNS instalado e, no prompt de comando, use:

nslookup servidor2.documentos.com.br

Onde servidor2 é o nome do computador que será instalado o Forefront e documentos.com.br é o nome da zona direta do DNS.

É importante retornar o resultado como na tela abaixo, onde cita o endereço IP da rede interna e externa:

Com isso, nosso servidor com Forefront (servidor2) pode ser encontrado na rede. Você pode usar como logon no servidor2 o nome do domínio e a conta Administrador, como “DOCUMENTOSAdministrador”.

Se não retornou, use “Permitir atualizações seguras e não-seguras” nas zonas (botão direito na zona > Propriedades). Nós não podemos citar os apontadores manualmente por que a cada 24 horas o IP externo muda e nosso servidor DNS precisa mudá-lo sempre.

Se continuar encontrando erro, verifique se digitou o nome correto do computador e da zona direta (documentos.com.br). Você pode conferir o nome do computador e zona no DNS, expandindo o escopo da zona direta.

Agora, podemos começar a instalação do Forefront TMG no nosso servidor. No instalador, clique em Executar a ferramenta de preparaçãoe selecione “Serviços e Gerenciamento do Forefront TMG”. Após instalar os recursos necessários, clique em “Executar o assistente de instalação”.

Em “Definir rede interna“, não podemos selecionar o adaptador da rede interna para ele adicionar o intervalo automaticamente para a gente. Por algum motivo (provavelmente por usarmos IP dinâmico na placa de rede externa), ele mostra todos os endereços IPs possíveis e não somente a faixa de IP’s da rede interna, como mostrado na imagem abaixo em Route information:

Precisamos informar manualmente a faixa de endereços IP da nossa rede interna. A rede usada no desenho é 192.168.0.x, logo, ela pode se estender de 192.168.0.0 a 192.168.0.255. Você pode informar manualmente selecionando “Adicionar intervalo” (Add range) no lugar de “Adicionar adaptador” (Add adapter).

Após a instalação do Forefront TMG, abra o Microsoft Forefront TMG Management no Menu iniciar > Todos os programas.

Como é a primeira vez que usamos o Forefront TMG, abrirá o assistente de configuração. Abra a primeira opção (Definir configurações de rede).

(Reprodução / http://blog.douglasfilipe.com.br/2010/05/02/instalando-e-configurando-o-forefront-tmg-2010/)

Em Seleção do modelo de rede, selecione Firewall de borda. Com esta topologia todos os computadores da rede interna precisarão passar pelo Forefront para poder acessar a internet.

(Reprodução / http://blog.douglasfilipe.com.br/2010/05/02/instalando-e-configurando-o-forefront-tmg-2010/)

Em Configurações de LAN (Rede local), selecione o adaptador usado para a rede interna (192.168.0.254) e deixe Default gateway em branco para ele usar o IP do próprio servidor. (192.168.0.254) O Gateway é o computador da rede que possui acesso direto a internet (o servidor com Forefront é o único computador da rede que possui acesso direto a internet).

Em Configurações de internet, selecione o adaptador de rede usado para Internet e selecione a caixa “Obter um endereço IP automaticamente“.

Agora, você pode criar uma regra de Acesso a internet para sua rede. Para isso, abra Firewall Policy. Em Toolbox, clique em Create Access Rule.

Nome: Acesso a internet

Protocolos: HTTP, HTTPS (Em “Web“)

From: Internal

To: External

Use “Todos os usuários“.

Abra as configurações do adaptador de rede que possui o servidor AD instalado > TCP/IPv4 > Propriedades. Em Gateway, use o IP do servidor com Forefront instalado (192.168.0.254).

Após isso, você precisará tornar seu proxy transparente usando o WPAD. http://postsporummundomelhor.wordpress.com/2012/07/28/usando-o-wpad-com-o-microsoft-forefront-tmg-2010/

Você pode distribuir o Gateway na rede usando o DHCP (usamos fixo no servidor com AD pelo fato dele possuir endereço IP fixo). Nas opções do escopo, use 003 Router e digite o IP do servidor que possui o Forefront instalado (192.168.0.254)

Anúncios

2 comentários sobre “[ESTUDOS] Instalando o Microsoft Forefront TMG no VirtualBox

  1. Olá EDUARDO, ou alguma boa alma que entenda de Forefront TMG… estou tentando instalar em um servidor com Win Server 2008 R2, com AD, DNS, File Server, DHCP e com duas placas de rede. O Win é original e está todo atualizado, mas toda vez que tento instalar o TMG apenas a opcao de Gerenciamento me aparece habilatada, ficando a opcao de Servicos e gerenciamento desabilitada para instalacao. O que estou fazendo de errado??? Por favor, me ajudem a solucionar este problema. Obrigado.

    Curtir

    1. Não é possível instalar o Forefront TMG em um servidor com AD instalado. (https://documentosdoadm.wordpress.com/2012/07/25/sobre-problemas-de-instalacao-do-microsoft-forefront-tmg-2010/) Veja a figura no POST e veja como pode ser sua estrutura de rede (é a mais comum em pequenas empresas). É preciso um computador apenas para o Forefront TMG, onde pode ter outros serviços instalados de forma a não sobrecarregar o servidor principal. Faça um novo servidor por Hyper-V ou use VirtualBox.
      Agora, se você não pode ter mais este custo, use o Hyper-V ou VirtualBox para virtualizar um servidor Linux e use IPTABLES no lugar. Se não conhece Linux, estude, por que vale muito a pena!
      Um abraço!

      Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s