Forefront TMG 2010: backup e disaster recovery
In questo post descriverò la metodologia che seguo per il backup e la gestione del disaster recovery di Forefront TMG 2010, essendo un’ approccio personale ovviamente non è detto che sia la soluzione migliore o che sia applicabile a tutti gli scenari. In ogni caso può tornare utile a chi si appresta a gestire la problematica se non come soluzione da applicare almeno come spunto per costruire una propria strategia.
Innanzitutto va detto che io dopo avere installato Forefront TMG configuro la cache Web su di un secondo volume (che nell’esempio identificherò con la lettera E:) come consigliato nel seguente Planning to cache Web content, inoltre sempre nel secondo volume imposto la memorizzazione dei logs del Firewall e Web Proxy (a riguardo si vedano Configuring the log location e Configuring the log queue) e lo storage della Malware Inspection (Configuring the malware inspection storage location).
Ovviamente se possibile, è preferibile che il secondo volume sia su dischi fisicamente separati da quello di sistema soprattutto se il server TMG deve gestire un numero considerevole di utenti.
Oltre allo spazio per la cache Web, i logs del Firewall e Web Proxy e lo storage della Malware Inspection il secondo volume deve avere lo spazio sufficiente per contenere una copia dei backup (nel nostro esempio il backup sarà contenuto nella directory E:\BackupData).
In installazioni per situazioni di carico evento sarà consigliabile avere invece più volumi su dischi fisici diversi:
- Volume di sistema
- Volume/i dedicati alla cache Web
- Volume dedicato ai logs e allo storage della Malware Inspection
- Volume dedicato al Backup
Io di solito articolo il backup in quattro fasi:
- Backup Bare Metal su una directory (nell’esempio E:\BackupData\BareMetal), avere due volumi separati consente di non includere nel backup Bare Metal i file di logs e la cache Web.
- Esportazione della configurazione di Forefront TMG in una directory (nell’esempio E:\BackupData\Export), per sicurezza si mantengono un certo numero di esportazioni, per i dettagli sull’esecuzione dell’esportazione della configurazione si veda TMG 2010 Esportazione della configurazione tramite script.
- Copia del Backup Bare Metal, delle esportazioni della configurazione su NAS (o altra posizione).
- Export su file dei logs del Firewall e Web Proxy in file di testo mediante MSDEToText su NAS (o altra posizione).
Di seguito riporto un esempio degli script che utilizzo, gli scripts utilizzati per il backups risiederanno in E:\BackupScripts e creeranno il logs di esecuzione in E:\BackupLogs.
Backup Bare Metal:
BackupBareMetal.cmd |
SET LogFile=E:\BackupLogs\BackupBareMetal.log wbadmin start backup -backupTarget:\\localhost\e$\BackupData\BareMetal -allCritical -quiet > %LogFile% |
Export della configurazione:
Export.cmd Per l’esportazione della configurazione, vengono mantenuti i file di esportazione degli ultimi 60 giorni, per dettagli relativi allo script DeleteOlderFiles.vbs si veda Script per l’eliminazione dei file obsoleti. |
SETLOCAL SET MONTH=%DATE:~3,2% SET EXPORTPATH=E:\BackupData\Export ECHO Export TMG Configuration > %LOGFILEPATH% ECHO Delete older Export TMG Configuration files >> %LOGFILEPATH% |
Export.vbs |
Option Explicit ‘no optional data will be exported If WScript.Arguments.Count <> 1 Then Dim fileName Dim root Set root = CreateObject(“FPC.Root”) WScript.Echo “Exporting the configuration of the ” & _ isaArray.ExportToFile fileName,noOptionalData Set isaArray = Nothing |
Copia del Backup Bare Metal, delle esportazioni della configurazione su NAS:
BackupOnNAS.cmd Il path UNC del NAS viene passato come parametro [%1], vengono anche copiati gli scripts di backup. |
REM Impostazione directory di backup ECHO Creazione directory backup > %LogFile% REM ——————————————————————— ECHO Creazione directory backup BareMetal > %LogFile% REM Copia su NAS REM In casa di esito positivo si elimina la .Old del backup BareMetal REM ——————————————————————— REM Copia su NAS REM In casa di esito positivo si elimina la .Old dell’Export REM ——————————————————————— |
Export su file dei logs del Firewall e Web Proxy
BackupLogsOnNAS.cmd Il path UNC del NAS viene passato come parametro [%1], vengono mantenuti i file di logs degli ultimi 180 giorni (circa 6 mesi). Per dettagli relativi allo script DeleteOlderFiles.vbs si veda Script per l’eliminazione dei file obsoleti. |
SETLOCAL REM Impostazione directory di backup ECHO Backup dei Firewall Logs > %LogFile% ECHO Delete older Firewall Logs >> %LogFile% ECHO Backup dei Web Proxy Logs >> %LogFile% ECHO Delete older Web Proxy Logs >> %LogFile% |
BackupLogFile.cmd Lo script si occupa di esportare il file di log specificato col parametro [%1] nella directory di destinazione specificata col parametro [%2] del tipo specificato col parametro [%3] usando lo script MSDEToText. |
@ECHO OFF SET FileName=%1 SET MONTH=%DATE:~3,2% REM Esclusione file attuale REM Esclusione file esistente REM Export su file di testo del log :END |