Cuando una organización se plantea una implementación de MS Forefront Threat Management Gateway TMG 2010 en su versión Enterprise una de las necesidades que busca en la redundancia y alta disponibilidad con la implementación de un solución en modo NLB. Esto le proporcionará además una capacidad de escalabilidad significativa. Durante el proceso de instalación entra en escena un nuevo concepto denominado Matriz o Array.
Una Matriz es un conjunto de de se servidores que se administran de forma centralizada a través de una única consola.
MS Forefront Threat Management Gateway TMG 2010 admite dos tipos de matrices: independiente o administrada por EMS (Enterprise Management Server). En ese proceso de instalación, hay que optar por uno u otro, sin tener muy claro a veces el administrador, las diferencias o ventajas que se aportan para cada una de ellas.
Lo primero que hay que tener claro, es que optar por una u otra solución no va a variar en la forma de administrar los servidores MS Forefront TMG 2010. La diferencia radica en el lugar donde se almacenará los valores de la configuración de la matriz y de cada uno de los servidores. Aunque cada servidor mantiene su información, esta reside a efectos de configuración en el repositorio central. Todos los sistemas de la matriz necesitarán sincronizar y recuperar en su caso, para aplicar localmente, aquellos parámetros y configuraciones que hayan variado en la configuración.
Una
Matriz Independiente puede tener hasta 50 servidores como miembro. Uno de ellos será el considerado como administrador de la matriz. Aunque este puede ser modificado a posteriori, originalmente el primer servidor que se implementa es el considerado como administrador de la matriz.
Frente a la matriz independiente, la otra implementación factible la constituye el instalar un
Servidor EMS. Este servicio, que no puede ser instalado en un sistema que vaya a tener MS Forefront TMG 2010 o en un controlador de dominio, permite una mayor carga administrativa en una infraestructura de Firewall. Admite la gestión de hasta 200 matrices, cada una de ellas con 50 servidores. Además este servicio de EMS puede ser replicada para alta disponibilidad en otros servidores, evitando que en caso de caída del servidor EMS toda la infraestructura quede sin ser administrable.
Figura 1: Instalación del rol de EMS
Además de la mayor capacidad de gestión, en determinados entornos de carga de tráfico elevado, se aconseja no utilizar un Array independiente. Esto es debido a la necesidad de consumo de recursos que debe destinar el servidor de administración a las tareas propias del rol. Esto implicará que dicho servidor dentro de un sistema de balanceo de carga, no aportará todas las necesidades que se le podrían exigir al tener que atender a otras tareas.
Por norma general la matrices gestionadas por EMS van a aportar más rendimiento a una infraestructura. Es más, podría pensarse incluso su implementación en aquella organizaciones en las que incluso hayan instalado inicialmente un solo servidor MS Forefront TMG 2010 Enterprise, y el nivel de carga que vaya a tener sea elevado. Por la contra hay que tener en cuenta que para su implementación será necesario de la instalación de una versión de Windows Server 2008 SP2 o R2 adicional a las de los servidores firewall que desean implementarse, adicionalmente al mantenimiento que esto conlleva. Sin embargo con las soluciones de virtualización, y éste podría ser perfectamente un sistema virtual, y
el licenciamiento ofrecido por Microsoft para este tipo de servicios, sería una opción el plantear siempre la instalación de matriz gestionada por EMS.