============================================================================
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (1 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (2 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (3 de 3)
============================================================================

La creación de la red se realiza desde las tareas de gestión de redes en la consola de MS Forefront Threat Management Gateway TMG 2010.


Figura 6: Creación de una nueva red para la comunicación intramatricial

Esta nueva red que será de tipo interna, deberá contener al menos las direcciones IP que tendrán los adaptadores dedicados para dicha comunicación entre los diferentes servidores de la matriz. Esta nueva red no deberá tener asignadas reglas de red, porque lo que se desea específicamente un aislamiento.


Figura 7: Nueva red para la comunicación intraarray

La asignación del direccionamiento IP para dicha comunicación, se establece a través de las propiedades de cada uno de los servidores miembros de la matriz. En la imagen siguiente se muestra las propiedades de asignación de comunicación para uno de los servidores miembros de la matriz.


Figura 8: Asignación de la dirección IP para la comunicación dentro de la matriz

Dicho proceso deberá ser llevado a cabo para cada uno de los servidores miembros de la matriz. En caso de que dicha conexión no estuviera disponible la ruta alternativa sería el uso de la comunicación a través de la red interna. De esta forma quedaría definido el segundo servidor en la matriz. Post posteriores definirán que mecanismo hay que seguir para implementar la configuración tipo NLB para designar la alta disponibilidad activa a la infraestructura de la matriz.

============================================================================
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (1 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (2 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (3 de 3)
============================================================================

============================================================================
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (1 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (2 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (3 de 3)
============================================================================

El último paso de la parte anterior de este artículo da inicio al proceso de unir el servidor al array, iniciando los procesos de modificación a nivel de reglas necesarias para que se pueda establecer eficazmente la comunicación con el servidor EMS.

Para comprobar que la configuración ha sido correcta a nivel de servicios, debería comprobarse que se encuentran todos operativos para cada uno de los servidores miembros de la matriz.


Figura 4: Estado de los servicios miembros de la matriz

De cara a completar correctamente los procesos de comunicación dentro de la matriz a través de los diferentes miembros de la misma, se aconseja utilizar una red y adaptadores específicos para la comunicación entre los diferentes miembros de la matriz. Este hecho liberará tanto los adaptadores internos y externos de tráfico interno, que de una u otra forma, además de necesitar una respuesta muy rápida, puede suponer un problema en la merma de rendimiento para dichas redes.

Puesto que la comunicación intramatricial se va a establecer por una red diferente a las definidas de forma predeterminada durante el proceso de instalación, habrá que generar este nuevo objeto de red en los servidores Forefront TMG 2010. En caso de no realizarse cuando se intente aplicar el cambio de designación de la dirección IP de comunicación, devolverá un error tal y como se muestra en la siguiente imagen.


Figura 5: Error de red intramatricial no definida

============================================================================
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (1 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (2 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (3 de 3)
============================================================================

============================================================================
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (1 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (2 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (3 de 3)
============================================================================

Agregar un segundo servidor MS Forefront Threat Management Gateway TMG 2010 a una matriz existente gestionada por un servidor EMS, sigue un procedimiento similar al post definido en este mismo blog como MS Forefront TMG 2010: Integración dentro de un EMS. Este segundo servidor, proporcionará la redundancia requerida en una organización, a la vez que proporcionará los mecanismos para implementar un sistema de balanceo de carga.

El proceso comienza uniendo el servidor independiente a una matriz existente.


Figura 1: Unir un servidor MS Forefront TMG 2010 independiente a una matriz

Esta acción inicializará un asistente que guiará en todo el proceso de unir el servidor a una matriz. El primero de los pasos consiste en asignar el servidor a una matriz gestionada por un servidor EMS.


Figura 2: Unir el servidor a una matriz gestionada por un servidor EMS

Una vez definido en el siguiente paso el servidor EMS y las credenciales necesarias para conectar con el mismo, podrá seleccionarse las operaciones de unión a la matriz. Para ello el asistente mostrará las diferentes matrices existentes y gestionadas por el servidor EMS, debiendo elegirse aquella donde se quiere unir el nuevo servidor. Para que la operación sea satisfactoria el usuario que realiza la operación tiene que tener privilegios de Administrador de la matriz Forefront TMG 2010 correspondiente.


Figura 3: Uniendo el servidor a una matriz existente

============================================================================
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (1 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (2 de 3)
- Microsoft Forefront TMG 2010: Agregar un segundo servidor a una matriz EMS (3 de 3)
============================================================================

En el caso de que una instalación del Service pack 1 para MS Forefront Threat Management Gateway 2010, haya tenido lugar y el servidor no opere correctamente, Microsoft ha definido un procedimiento para su desinstalación. Este se produce en varios pasos en los que habrá que ejecutar una serie de scripts. Dichos script pueden ser descargados desde la página web de Technet en Microsoft. Los script con los que debe contar para una desinstalación correcta son:

- Uninstall-TMG-SP1.cms: Éste deberá ejecutarse en los servidores EMS, en el administrador de la matriz, en cada miembro del array y en los servidores independientes.

- Waitforreload.vbs: Éste deberá ejecutarse en cada uno de los miembros de la matriz y en los servidores independientes.

- Fixsqlserverlogin.vbs: Éste deberá ejecutarse en cada miembro del array y en los servidores independientes.

Pasos para el proceso de desinstalación

Una vez que se han creado los diferentes Script, deberán realizarse los siguientes pasos:

- PASO 1: Validarse en la máquina con credenciales de administrador.

- PASO 2: Ejecutar el script uninstall-TMG-SP1.cmd.

- PASO 2: Comprobar a través del panel de control que el Service Pack 1 ya no se encuentra disponible.

- PASO 3: Verificar en cada miembro de la matriz que el servicio de firewall se está ejecutando correctamente mediante la sintaxis sc query fwsrv.

- PASO 4: En el caso de que el estado sea de no ejecución, deberá ejecutarse la siguiente sentencia: cscript.exe waitforreload.vbs

     o Cuando el mensaje Done reloading array aparezca, deberá iniciarse el servicio mediante la siguiente orden:
          net start fwsrv

     o Si el servicio del firewall falla al iniciarse y la consola de administración muestra la alerta Service Initialization Failure deberá ejecutarse a través del intéprete de comandos la siguiente sintaxis:

          reg add HKLM\SOFTWARE\Microsoft\Fpc\Storage\Cache /v InvocationID
           /t REG_BINARY /f /d 000000000000000000000000000000000000000000000000

     o Tras esto deberá reiniciarse el servidor.

- PASO 5: Para restaurar la funcionalidad de reporting, en cada uno de los miembros del array deberá ejecutarse el script fixsqlserverlogin.vbs. Durante la ejecución de este script, se solicitará una nueva contraseña. Todos los miembros del array deberán contar con la misma contraseña.

- PASO 6: Cuando se ejecute el script compruebe que este no genera errores. La comprobación de que la operación se ha realizado satisfactoriamente, es que los informes se generan correctamente.

Orden de desinstalación en un entorno EMS

El orden de desinstalación recomendado para una infraestructura tipo Enterprise es el inverso al procedimiento de instalación:

- Primero en los miembros del array. En el caso de un array independiente, el último en desinstalarse sería el servidor principal.
- En una infraestructura gestionada por EMS, los siguientes servidores serían las réplica de EMS.
- Por último se realizaría la desinstalación en el maestro EMS.
 

El proceso de instalación del Service Pack 1 de MS Forefront Threat Management Gateway 2010, requiere un orden de implementación, cuando se vaya a realizar sobre una infraestructura de empresa, bien sea de un array gestionado por miembros de la matriz o por EMS. En ambas circunstancias hay que identificar correctamente los roles existentes para realizar la implementación adecuadamente. No obstante también se han detectado algunos problemas ya documentado que a través de este post se darán respuesta.

Instalación de Forefront TMG 2010 SP 1 en un entorno con Enterprise Management Server (EMS)

Para el proceso de instalación, el primero de los elementos a actualizar será el servidor EMS master de la infraestructura o bien del array manager en caso de una matriz independiente. La instalación en el servidor EMS debe realizarse con la cuenta con la se realizó la instalación inicial de MS Forefront Threat Management Gateway 2010. En el caso de que se utilice una cuenta de administrador diferente esta podría fallar recibiendo el siguiente mensaje de error: “Setup cannot initialize Forefront TMG settings”.

Una vez que la instalación del Service Pack 1 haya concluido satisfactoriamente, deberá iniciarse la instalación en los servidores réplicas de EMS. La misma condición de cuenta deberá ser tenida en cuenta para la instalación correcta. Una vez que estas hayan finalizado deberán instalarse el Service Pack en los siguientes miembros del array. Para ello se tiene que tener en cuenta los siguientes aspectos:

- Instalar primero en los servidores que cuenten con la función de Reporting Point.
- Posteriormente en el resto de miembros del array.

Instalación de Forefront TMG 2010 SP1 en un entorno con NLB

En el caso de la existencia de un sistema de balanceo de carga entre los servidores miembros del array el mecanismo de instalación del Service Pack para cada miembro será el siguiente:

- Retirar el servidor escogido de la configuración de balanceo.v - Eliminar cualquier conexión existente que estuviera siendo servida por el servidor.
- Establecer el NLB a un estado de suspendido para evitar que se una automáticamente en el inicio.
- Instalar el Service Pack 1 de Forefront TMG 2010.
- Reiniciar el servidor si es necesario.
- Iniciar el servicio de NLB en el servidor una vez actualizado.

Algunos problemas conocidos

Tras la instalación pueden darse algunos problemas de funcionalidad del servicio e MS Forefront Threat Mangagement Gateway TMG 2010:

- El servicio de MS Forefront TMG 200 puede no iniciar después de instalar o eliminar el Service Pack 1, en un array gestionado por EMS: Este problema puede ocurrir en un sistema que todavía no ha sincronizado con el servidor EMS.

- Si se estará registrando la información en un servidor remoto de SQL, se requiere migrar el registro de la base de datos al nuevo esquema. Dicha información se encuentra disponible a través de la TechNet Wiki.

- En el caso de que el servidor MS Forefront TMG 2010, en donde se ha instalado el Service Pack 1, se encuentre en un grupo de trabajo, se requieren pasos adicionales para habilitar la funcionalidad de actividad de usuarios a través de los informes. Dicha información se encuentra disponible a través de las notas de revisión del producto.

- Los informes que se generan pueden estar vacios tras la instalación del Service Pack 1. En este caso se alertará mediante el código de error 0x80040e4d. Este hecho es debido a fallo en la validación en la base de datos y puede comprobarse también si falla la conexión a los siguientes vínculos: http://localhost:8080/ReportServer_ISARS o http://127.0.0.1:8080/Reports_ISARS. Para solucionar el error deberá ejecutarse el script fixsqlserverlogi.vbs que se referencia en un artículo de technet.

Fallo del proceso de instalación de Froefront TMG 2010 Service Pack 1

En caso de que falle el proceso de instalación del Service Pack 1 hay que tener en cuenta que de forma predeterminada no se crea ningún log con el proceso que haya tenido lugar. Para que la ejecución de nuevo del Service Pack se realice con log incluido deberá ejecutar la siguiente sintaxis:

Msiexec /p Service_pac.msp REINSTALL=ALL REINSTALLMODE=omus /l*vx! Logfile_name.log

Si no se especifica una ruta completa, el fichero de log será creado en la misma carpeta donde se está ejecutando el comando msiexec.