TMG(Threat Management Gateway)是俗称微软的软件防火墙,相信大家都不陌生,估计好些公司还在使用中。目前我所在的公司也一直在使用,虽然网络出口处有着很NB的Juniper防火墙,但仍然将TMG架在了公司内部网络和外部网络之间,组成DMZ网络,并通过TMG向Internet发布一些企业应用系统。长期以来一直单台服务器提供应用,难免有时出现宕机。随着公司的发展,单台TMG严重影响系统可用率的提升,因此考虑增加一台TMG,实现冗余高可用。
既然是在原有条件下新加一台TMG,所以新增加的TMG服务器的配置可以通过将原有TMG服务器的配置导出然后导入到新服务器中,这里就不在详细说明了。
可以参考:《备份和还原 Forefront TMG 配置》
http://technet.microsoft.com/zh-cn/library/bb794815.aspx
在TMG中,有两种不同类型的阵列:独立阵列(TMG新增的功能)和企业管理服务器管理(Enterprise Management Server-managed,EMS-managed)阵列。EMS阵列一般应用在大型网络的多台TMG服务器环境。对于我们这种单一的网络环境,独立服务器阵列是一个不错选择。下面我们来看看如何配置独立服务器阵列?
虽然独立服务器看起来比较简单,但实际操作起来还是有很多需要配置的,开始时还走了一些弯路。。。最后还咨询了下微软工程师,O(∩_∩)O哈哈哈~
企业中的TMG一般分为两种,一种是加入域的域模式,一种是工作组模式的。我们目前的是工作组模式,为了让TMG之间能够正确解析,因此需要为TMG添加dns后缀。
1、为 TMG 服务器创建 FQDN
右键点击“计算机”—选择“属性”—单击“计算机名”选项卡—单击“更改”按钮—然后在“计算机名称/域更改”对话框中,单击“更多”按钮。在“DNS 后缀和 NetBIOS 计算机名”对话框的“此计算机的主 DNS 后缀”中,指定要附加到计算机名称的 DNS 后缀。然后单击“确定”。
应用更改后,请重新启动计算机,以便使用其新的 FQDN 名称初始化该计算机。
同样方式配置TMG02服务器
最后在DNS中为TMG01和TMG02添加两条A记录
2、配置TMG通讯证书
由于TMG是工作组环境,当组成阵列时两台TMG服务器之间只能通过证书进行通讯。因此首先需要为TMG申请证书。
1)首先登录到企业CA证书服务器,创建一个TMG证书模板
打开“证书颁发机构”—展开证书颁发机构,右键点击“证书模板”,选择“管理”,打开“证书模板控制台”
TMG使用的WEB服务器证书,因此需要创建一个Web服务器模板,在证书模板控制台中,右键点击“web服务器”,选择“复制模板”
选择“Windows Server 2003 Enterprise(3)”,点击“确定”
将复制的模板重命名为“Web服务器TMG阵列”,并双击打开该模板属性对话框
在“常规”选项卡指定证书的有效期
在“请求处理”选项卡中,勾选“允许导出私钥”
在“安全”选项卡添加“Domain Computer”和“Domain Controller”用户组具有读取和写入的权限,最后点击“确定”
切换到“证书颁发机构”管理控制台中,再次右键点击“证书模板”,选择“新建”—“要颁发的证书模板”
选择“web服务器TMG阵列”,点击“确定”,来添加证书申请模板
完成后强制刷新组策略,让设置立即生效
2)申请证书,可以在加入域的任意一台计算机上或者CA服务器上操作
在开始运行中输入“mmc”,并添加“证书”管理单元
选择“计算机账户”,点击“下一步”,打开证书控制台
一次展开证书列,在“个人”—“证书”中,右键选择“所有任务”—“申请新证书”
点击“下一步”
勾选“web服务器TMG阵列”,然后点击×××叹号处,配置证书信息
在“使用者”选项卡中,使用者名称类型中选择“公用名”并输入“TMG01.contoso.com”值,点击“添加”,并“确定”
注:公用名称取决于作为TMG阵列管理服务器的FQDN,这里表示我们将TMG01作为管理服务器。
完成后点击“注册”,成功后点击“完成”
接下来导出新申请的TMG证书,右键点击该证书,选择“导出”
选择“是,导出私钥”
点击“完成”
完成后,将导出的TMG01.autonavi.com证书复制到TMG服务器TMG01上。暂时不需要导入,以后需要时再导入。
3)、导入CA根证书
打开TMG01的证书管理控制台,在“受信任的根证书颁发机构”—“证书”中选择导入
将企业的CA根证书导入到“受信任的根证书颁发机构”
同样操作将CA根证书导入到TMG02这台服务器上。