O TMG como uma VM funciona bem, e existe um vídeo technet que descreve vários cenários usando o TMG, apenas google "Virtualize seus servidores ISA ou Forefront TMG". Como sempre nestas coisas, há boas práticas, boas práticas e estupidez.
A melhor prática, como defendida pelo vid, é ter suas TMGs virtualizadas em hardware que é especificamente usado para tarefas de perímetro. Obviamente, isso não funcionará se você tiver apenas um servidor. No entanto, segmentar sua rede conforme recomendado pelo vid é facilmente realizável em um único cenário de servidor, desde que você tenha pelo menos três conexões de rede física.
-
Um se tornará uma rede virtual / física (ou seja, virtual com acesso externo) conectando o VM TMG à Internet (ou seu roteador de gateway) - isso não deve ser usado para gerenciamento de hardware . Nas configurações do hyper V, eu nomeio essa rede como 'preta' porque é insegura e leva à grande parte externa.
-
Uma será uma rede virtual (ou seja, sem acesso externo) conectando o VM TMG às VMs de destino - novamente, não usada para gerenciamento de hardware. Eu nomeio essa rede como "azul" porque ela é sensacionalmente segura e vincula todas as VMs.
-
Uma é uma rede física (não utilizada de todo pelo Hyper V) usada puramente para o lan de gerenciamento de hardware. Eu nomeio esse 'gerenciamento' e a melhor prática é mantê-lo e o host fora da internet, ou apenas acessar a Internet do host para atualizações.
Logicamente, é assim:
Portanto, quando você atribui interfaces de rede virtual às suas VMs, a VM TMG recebe duas (preto e azul) e todas as outras VMs recebem apenas azul.
É bastante simples, a principal complexidade é o que você encontrará ao tentar entender como o Hyper V permite cooptar conexões de rede como 'comutadores virtuais'. Eu configurei o mesmo acima com uma rede 'preta' e uma rede 'azul' abrangendo um cluster multi-servidor e achei que funciona de forma brilhante. O salto básico da fé é que você tem que confiar que um desagradável na rede negra não pode pular através do host para a rede azul. O Hyper V foi classificado como EAL4 + para segurança de qualquer maneira, por isso é justo dizer que é improvável, a menos que seu host esteja drasticamente comprometido.