来自于TmgMbe版本的帮助文件
 
      部署 Microsoft Forefront Threat Management Gateway 的管理员所面临的最常见问题之一就是如何配置 Forefront TMG 以解析域名系统 (DNS) 请求。 如果 DNS 配置不正确,Forefront TMG 计算机将无法解析内部名称或外部名称。 名称解析问题实际上可能是间断出现且难于跟踪,并且涉及的范围从无法传输电子邮件到用户无法通过 Web 代理访问 Internet。
注意:
本文档中提到的 DNS 设置位于 Forefront TMG 计算机上每个网络适配器的 TCP/IP 高级属性下。
本文档将介绍各种 Forefront TMG 方案,详细介绍如何为每个方案的 DNS 设置 Forefront TMG,并解释需要每个配置的原因。 本文包含最简单的配置,即工作组方案中的单宿主 Forefront TMG 计算机,还介绍了一个复杂的方案,即作为域成员的多宿主 Forefront TMG 计算机。
在 Forefront TMG 上设置 DNS 时,要记住两个规则。 这两个规则适用于基于 Windows 的任何 DNS 配置:
  • 无论计算机上有多少网络适配器,都只将 DNS 服务器分配给一个网络适配器(不管是哪个网络适配器)。 不需要在所有网络适配器上设置 DNS。

  • 始终将 DNS 指向内部服务器或外部服务器,不要同时指向两者。

多宿主计算机

多宿主 Forefront TMG 计算机具有外部和内部网络适配器的 DNS 设置。 根据情况,如果配置不正确,Forefront TMG 将失败。
有几种正确配置 DNS 的方法,具体取决于内部网络的要求。

工作组计算机

设置非域成员的 Forefront TMG 计算机应该与设置具有一个网络适配器的 Forefront TMG 计算机一样。 如果您拥有需要解析的内部 DNS 区域,则应该将 DNS 指向内部网络中的 DNS 服务器。 然后,内部 DNS 服务器将名称解析请求转发给外部网络中 ISP 的 DNS 服务器,或者使用根提示将其转发给根 DNS 服务器进行名称解析。

具有完整内部解析的域成员计算机

这是最常用的设置。 作为域成员的多宿主 Forefront TMG 计算机必须将网络适配器仅指向内部 DNS 服务器,因为该网络适配器必须加入域中。 内部 DNS 服务器需要将名称解析请求转发给外部网络中 ISP 的 DNS 服务器或转发给根 DNS 服务器。 这样便使内部客户端可以同时解析内部主机名和 Internet 上的主机名。

隔离内部 DNS 服务器

另一种常见方案是内部 DNS 服务器根本不将 DNS 查询转发给 Internet。 这样便会阻止内部 DNS 服务器和使用这些服务器的客户端解析 Internet 上的名称。
Forefront TMG 计算机不应该指向内部 DNS 服务器进行名称解析,但仍然必须解析内部和外部 DNS 名称。 请在 Forefront TMG 计算机本身上设置另一个 DNS 服务器,或者内部指定一个专门用来解析内部和外部 DNS 名称的 DNS 服务器。
在此新 DNS 服务器上,为内部 DNS 命名空间设置一个辅助命名空间,然后配置该 DNS 服务器将请求转发给根 DNS 服务器或 ISP 的 DNS 服务器进行名称解析。
此解决方案有效地隔离了 Intranet 命名空间并且解决了内部 DNS 服务器上的缓存污染和中毒问题。

单一网络适配器方案

在此部分中,Forefront TMG 设置为具有一个网络适配器,并且只能作为 Web 代理和缓存服务器。

没有内部 DNS 服务器的工作组计算机

Forefront TMG 计算机不是域成员,并且没有内部 DNS 服务器。 将 DNS 查询指向外部网络中 ISP 的 DNS 服务器。

具有内部 DNS 服务器的工作组计算机

独立的 Forefront TMG 计算机(不是内部 DNS 服务器所在域的成员)应该使用内部 DNS 服务器解析内部名称,并且不应该使用外部网络中 ISP 的 DNS 服务器作为辅助服务器。 内部 DNS 服务器应该使用转发器指向外部网络中 ISP 的 DNS 服务器,或者应该将请求转发给根 DNS 服务器(使用根提示),以便 Forefront TMG 计算机可以解析外部名称。 如果 Forefront TMG 计算机根本不需要解析内部 DNS 名称,则它可以安全地指向 ISP 的 DNS 服务器。

常见问题

问题:为什么我不能首先指向 Windows DNS,然后再指向 ISP 的 DNS 服务器?
答案:一个常见的误解是通过首先指向 Windows 域,然后再指向 ISP 的 DNS 服务器来实现容错。 问题是如果第一个 DNS 服务器出现故障,Forefront TMG 将使用第二个 DNS 服务器,除非第二个 DNS 服务器出现故障,否则将再也不会返回原始 DNS 服务器。 在拆下内部 DNS 服务器进行维护之前,DNS 将会一直运行,由于无法再次针对该域验证用户,因此几小时后将没有人可以访问 Internet。 重新启动 Forefront TMG 计算机可以解决此问题。
问题:为什么不将外部 Forefront TMG 网络适配器指向 ISP 的 DNS?
答案:这里的问题是,尝试解析名称时 Forefront TMG 不知道哪个属于内部哪个属于外部。 这意味着 Forefront TMG 可以结束将内部名称解析为外部 ISP 的尝试。 一旦收到"找不到名称",Forefront TMG 计算机将不再查找内部名称,并且将无法加入域中。