注意:本文章转载于http://www.magg.com.tw/blog/?p=35

前言

Microsoft Forefront Threat Management Gateway (TMG) 2010 區分為兩個版本: Standard 與 Enterprise 版,Enterprise 版可以建置類似叢集的陣列(array),陣列中的成員使用相同的設定,就像是一部防火牆,因此陣列的機制,使得 TMG 得以提供容錯、高可用性與高延展性;Forefront TMG 提供兩種陣列型態: 獨立陣列(standalone) 與 藉由 Enterprise Management Server (EMS) 管理的陣列,獨立陣列型態是 TMG 新的功能。本文將介紹並比較這兩種型態的陣列,以及討論佈署這兩種陣列的時機,同時還會示範如何以 TMG Enterprise 版管理 TMG Standard 版伺服器。

藉由 Enterprise Management Server 管理的陣列

如果您已經熟悉 Microsoft ISA Server,EMS 的角色就好比 ISA 時的設定存放區伺服器(Configuration Storage Server, CSS),只是多了一些新的功能,TMG 的 EMS 支援任何伺服器先安裝 TMG 軟體後再加入陣列中,當然也可以退出陣列,這樣的彈型,好處是系統管理者可以隨時將 TMG 退出陣列後,加入其他陣列中,而不需要移除軟體重新安裝;TMG EMS 跟 ISA CSS有一個非常不一樣的地方,TMG EMS 必須是獨立伺服器,而 ISA CSS 則可以與 ISA Server 相同伺服器。

將 TMG Enterprise 版加入 EMS 的方式非常簡單,開啟 TMG 管理主控台,點選左方樹狀功能表根節點,然後在右方 Tasks 標籤頁,選擇 Join Array。

探討Forefront TMG Enterprise Array_第1张图片

接下來,Forefront TMG Join Array Wizard 精靈出現。

選擇 Join an array managed by an EMS server 選項。

輸入 EMS 伺服器的完整 FQDN 名稱,如果您登入的帳號擁有系統管理者權限,您可以選擇 Connect using the credentials of the logged on user 選項,否則選擇 Connect using this account: 選項,並輸入具有系統管理者權限的帳號與密碼。

如果加入的陣列已經存在,選擇 Join an existing EMS-managed array (recommended): 選項,並且由下拉選單選擇要加入的陣列,請確定您使用加入陣列的帳號對該陣列,或是該陣列隸屬的 Enterprise 也具有系統管理者權限。

雖然我們建議先在 EMS 建立陣列後直接加入,但為了展示方便,我們在此選擇 Create a new EMS-managed array 直接建立新陣列,如果您的 TMG 已經建立了一些 Access rule,請選取 Use the current configuration at the new EMS-managed array 選項,沒有選取此選項,該 TMG 的規則將直接被新建陣列的預設設定給覆蓋掉。

輸入陣列名稱,說明欄位可以選擇性填寫,並且輸入此陣列的 FQDN 名稱,下拉選單選擇該新建陣列的預設規則。

最後,檢查設定是否正確,點選 Finish 完成精靈。

獨立陣列(Standalone Array)

獨立陣列是 TMG 的新功能,獨立陣列可以讓系統管理者建立一個不需要外部 EMS 的陣列,而由其中一部陣列成員伺服器作為獨立陣列管理伺服器,所有陣列中的其他伺服器設定,都直接由該管理伺服器複製過來。

建立獨立陣列的方式,開啟 TMG 管理主控台,點選左方樹狀功能表根節點,然後在右方 Tasks 標籤頁,選擇 Join Array。

接下來,Forefront TMG Join Array Wizard 精靈出現。

選取 Join a standalone array mamged by a designated array member (array manager)

輸入作為獨立陣列管理伺服器的 IP 或是 FQDN 名稱。

最後,檢查設定是否正確,點選 Finish 完成精靈。

退出陣列

退出陣列的功能是 TMG 2010 所新增,藉由此功能,系統管理者可以隨時改變 TMG 加入的陣列。

就如同加入陣列一樣,退出陣列的做法非常直覺,開啟 TMG 管理主控台,點選左方樹狀功能表根節點,然後在右方 Tasks 標籤頁,選擇 Disjoin Array

接下來,Disjoin Server From Array 精靈出現。

精靈不會有任何選項,直接點選 Finish 按鈕即可。

TMG Standard 版的企業級管理

TMG Enterprise 版有一個比較少人知道的功能,就是可以管理 TMG Standard 版,這樣的機制可以簡化企業內同時擁有 Enterprise 以及 Standard 版的管理,當 TMG Standard 已經提供足夠功能時,就可以降低授權所需的費用,而不必犧牲管理的方便性。

將 TMG Standard 版加入 EMS 的程序,跟 TMG Enterprise 是相同的,唯一不同的是,在此只能選取 Create a new EMS-managed array,而不能加入現存陣列中。

一旦您完成了加入陣列精靈,就可以透過 EMS 來管理此 TMG Standard 伺服器了,唯一的限制就是該陣列只能有一部 TMG Standard 伺服器。

比較獨立陣列與藉由 EMS 管理的陣列

兩種陣列型態的選擇,取決於您的導入需求,如果您有多個地區以及多個網際網路出口,想當然爾 EMS 管理的陣列才能符合集中管理的要求,只要在 Enterprise 階層建立規則,就可以套用到各陣列中。獨立陣列就適用在單一網路的管理,但是又有高可用性的需要。

結論

Microsoft Forefront Threat Management Gateway (TMG) 2010 Enterprise Edition 可以透過建立陣列並加入伺服器的方式,達到高可用性以及容錯的功能,而管理 TMG Standard 版功能,則可以簡化整個 TMG 管理並降低授權費用。