为Forefront TMG配置Active Directory发现


Forefront TMG提供了一个在TMG服务器端自动检测客户端的新功能。同先前版本的防火墙客户端不同,TMG客户端可以使用活动目录中的一个标记查找相应的TMG服务器。在活动目录中,TMG客户端使用轻量目录访问协议(LDAP,Lightweight Directory Access Protocol)查找所需的信息。在安装Forefront TMG客户端之后,在"设置"选项卡中,可以查看Forefront TMG的客户端自动检测到Forefront TMG服务器的两种方法:"使用Active Directory(推荐)"和"使用其他基于DHCP和DNS的自动检测方法",如图1-1所示。

1-1  Forefront TMG客户端自动发现方法

【说明】:在Active Directory的网络中(即工作站加入Active Directory),如果TMG客户端不能查找到活动目录标记,出于安全考虑,也不会通过DHCP和DNS进行自动检测。这样做是为了减少攻击者将系统强行恢复到一个不安全状态的风险。如果建立了活动目录连接而无法查找到活动目录标记,TMG客户端将自动切换到DHCP和DNS。

1 在TMG服务器上配置活动目录标记

但是,在默认的情况下,Forefront TMG服务器并不会在Active Directory中自动配置这一功能,需要使用Microsoft提供的一个工具TmgAdConfig.exe进行配置。

本文介绍配置Active Directory标记的方法。要配置活动目录标记,可以从微软下载中心下载TMG活动目录配置工具AdConfigPack.EXE,然后在Forefront TMG 2010服务器计算机上安装该软件。该工具的安装比较简单,如图1-2~图1-5所示。

1-2  安装工具1-3 接受许可协议

1-4  选择安装位置1-5 安装完成

如果要在 Active Directory 中存储标记密钥,请在命令提示符下键入:

TmgAdConfig.exe add -default -type winsock -url <service-url> [-f]

其中:service-url 项的格式应为 http://<TMG Server Name>:8080/wspad.dat。

在这些命令中可以用到下列参数:

(1)如果要从 Active Directory 删除密钥,请在命令行提示符处键入:

TmgAdConfig.exe del -default -type winsock

(2)如果要配置特定站点的 Active Directory 标记,请使用 site 命令行参数。

TmgAdConfig 工具在 Active Directory 中创建以***册表项:

LDAP://Configuration/Services/Internet Gateway("Container") /Winsock Proxy("ServiceConnectionPoint")

密钥的服务器绑定信息将设置为 <service-url>。该密钥将由 Forefront TMG 客户端检索,并将用于下载 wspad 配置文件。

下面通过具体的实例进行介绍。下载并安装TmgAdConfig后,进入命令提示符,进入程序安装位置(图1-4显示),执行下列命令行进行注册,如图1-6所示。

1-6 注册TMG2010服务器的url地址、服务端口

2 在工作站上启用Active Directory发现

在配置了Active Directory标记之后,在加入到域的工作站上,在安装了Forefront TMG客户端之后,即可以使用"Active Directory"发现TMG 2010服务器,如图1-7所示。

1-7  自动检测到Forefront TMG服务器

如果不使用活动目录标记支持,也可以使用TMG活动目录配置工具清除该标记,命令格式为:

tmgadconfig  del default type winsock

如图1-8所示。

1-8  清除标记

此时,你可以在DHCP服务器上,配置名为WPAD的Forefront TMG选项,如图1-9所示。

1-9 配置WPAD选项

本文出自 “王春海的博客” 博客,谢绝转载!

你可能感兴趣的:(Directory,Active,发现,TMG)