《本文转译自 Forefront TMG (ISA Server) 博客文章“Using Windows Server Update Service for the TMG Update Center”》
引言
不久之前,微软发布了 TMG,它需要通过 Microsoft Updates 来更新 Network Inspection System (NIS) 和 Enhanced Malware Protection (EMP)。我们愿意借这个机会来帮助您创建策略,保证 TMG 从 Windows Server Update Services (WSUS) 成功获取更新。这篇 TMG 博文很好地描述了 NIS 配置方面的细节。对于通过 WSUS 来获取 NIS 和EMP 更新的过程,您需要理解如下两个问题:
1. 依据您如何安装 WSUS,WSUS 网站可能被配置为在8530端口监听客户端连接。也就是说当 WSUS 客户端从 WSUS 服务器检查并下载更新时,将使用 HTTP 连接到8530端口。
2. TMG 中没有定义 WSUS 协议。这也就意味着 TMG 可能无法通过这个端口连接到 WSUS 服务器。
总的来说,您有两种方法来解决这个问题;创建 WSUS 通信策略 (traffic policy),或者更改默认的 WinHTTP 代理设置。
请注意:您无需同时使用这两种方法。如果您选择了更改 WinHTTP 代理配置,自定义的通信策略就不会使用。
1. WinHTTP 代理设置上,您需要为 WinHTTP 客户端进行代理的配置,允许 WinHTTP 灵活决定使用哪个代理。WinHTTP 在对代理支持的能力上略低于 Internet Explorer;具体而言,您不能指定 WinHTTP 使用某个特定的代理脚本 (proxy script)。默认情况下,WinHTTP 使用 WinHTTP 网络代理自动发现服务 (Web Proxy Auto-Discovery Service) 实现代理的自动发现,或者使用静态的代理服务器并指定一些 bypass 的表项。这种方式的优点在于无需创建自定义的流量策略。缺点在于将对其它的 WinHTTP 用户产生不利影响,并且当您需要重建服务器时,WinHTTP 代理设置不能与 TMG 策略一同导出。
2. 创建自定义的 WSUS 流量策略。这种方式需要您为 WSUS 自定义协议,进而在访问规则 (access rule) 中使用该协议。优点就是您无需更改 WinHTTP 的代理设置,也就不会影响到 Windows Update 之外的机制。利用基于 HTTP 的证书撤销请求也需要 WinHTTP。首要的缺点就是自定义策略的方法没有利用到网络代理或者相关的 Filters (NIS, EMP, URL Filtering)。
更新中心 (Update Center) 配置
为使 TMG 从 WSUS 服务器上接收到 NIS 或 EMP 更新,您必须选择支持这个过程的配置。因此,第一步就是要保证 TMG 的配置正确。如果您运行 Getting Started Wizard (启动向导),使用下面的步骤即可十分简单地验证配置是否正确。
1. 在 TMG Management console (管理控制台) 左侧面板选择Update Center (更新中心)
2. 在 TMG 管理控制台右侧面板
a. 选择Tasks (任务) 标签
b. 点击 Configure Settings (配置设置)
3. 在 Update Center Properties (更新中心属性) 页面
a. 选择 Microsoft Update (微软更新) 标签
b. 确保 “Use the Microsoft Updates service…(使用微软更新服务…)” 选中,如下图所示
图1 Microsoft Update 标签
c. 选择 Update Service (更新服务) 标签
d. 选择 “Use the computer default service only…(仅使用计算机默认服务…)”,如下图所示
图2 Update Service 标签
请注意:
1. 若您选择 “Use Microsoft Updates service, directly (直接使用微软更新服务)”,即使您为 NIUS 和 SMP 更新配置使用 WSUS,TMG 也将忽视该配置。
2. 在这里选择第一个选项保证了 TMG 仅使用 WSUS 服务检查并获取 NIS 和EMP 更新。如果遇到您的 WSUS 服务不可用的情况,您可以选择 “Use the computer service, but fall back to Microsoft Updates (使用计算机服务,不可用时退回至微软更新)” ,令 TMG 使用 Microsoft Updates。
e. 点击 OK 关闭 Update Center Properties (更新中心属性) 页面。
4. TMG 管理控制台中部面板出现提示后,点击 Apply (应用)来保存更改
5. 在 Configuration Change Description (配置更改描述)页面
a. 输入您对本次更改的描述
b. 再次点击 Apply (应用)
6. 在 Saving Configuration Changes (保存配置更改) 页面,点击 OK
定义 WinHTTP 代理配置
WinHTTP 代理的配置是影响 TMG 与 Microsoft Updates 或者您的 WSUS 服务器通信的因素之一。多数情况下,您无需进行任何改动。但在某些部署环境中,您可能需要对 WinHTTP 代理设置进行更改。如果您设置了从 Microsoft Updates 直接下载 NIS 和 EMP 更新,但并不凑效,那么您就需要对 WinHTTP 代理进行配置。好消息是在 Windows 2008中完成配置较 Windows 2003更为清晰、简洁。
以管理员身份运行命令行窗口
1. 点击 Start (开始),选择 All Programs (所有程序) -> Accessories (附件)
2. 右击 Command Prompt (命令提示符)并且选择 Run as administrator (以管理员身份运行)
测试 WinHTTP 代理设置
1. 在上述命令行窗口中,输入如下命令并按回车键
netsh winhttp sho proxy
默认设置如下:
2. 更改 WinHTTP 设置,将内部域名(本例中为 contoso.com)加入 bypass 的列表中,您需要输入如下命令并按回车键
netsh winhttp set proxy localhost:8080 “<local>;*.contoso.com”
这条命令运行的结果如下:
请注意:bypass 列表的输入方式必须使用双引号标注,域名之间以分号分隔
验证 TMG Local Host (本地主机) 代理设置
1. 在 TMG 管理控制台左侧面板,选择 Networking (网络)
2. 在 TMG 管理控制台中部面板
a. 选择 Networks (网络)标签
b. 双击 Local Host (本地主机)网络
3. 在 Local Host Properties (本地主机属性)页面
a. 选择 Web Proxy (Web 代理)标签
b. 验证设置是否如下图所示
图3 Local Host 代理设置
如果您的设置与上图不同,请您做相应的更改并保存。
创建 WSUS 流量策略
创建一个允许 TMG 从 WSUS 检查并下载更新的规则非常简单。您只需要执行如下步骤。
创建 access rule (访问规则)
1. 在 TMG 管理控制台左侧面板
a. 右击 Firewall Policy (防火墙策略)
b. 选择 New (新建) -> Access Rule (访问规则)
2. 在 Welcome to the New Access Rule Wizard (欢迎使用新建访问规则向导)页面
a. 输入 WSUS from TMG
b. 点击 Next (下一步)
3. 在 Rule Action (规则行为)页面
a. 选择 Allow (允许)
b. 点击 Next (下一步)
4. 在 Protocols (协议)页面,点击 Add (添加)
5. 在 Add Protocols (添加协议)页面,点击 New (新建)-> Protocol (协议)
6. 在 Welcome to the New Protocol Definition Wizard (欢迎使用新建协议定义向导),输入 WSUS Client 并点击 Next (下一步)
7. 在 Primary Connections Information (首要连接信息)页面,点击 New (新建)
8. 在 New/Edit Protocol Connection (新建/编辑协议连接)页面
a. 在 Protocol type (协议类型)下拉列表中选择 TCP
b. 在 Direction (方向)下拉列表中选择 Outbound (出站)
c. 在 Port Range From (端口从)和 To (到)文本框中输入 8530
图4 自定义协议细节
d. 点击 OK 关闭 New/Edit Protocol Connection (新建/编辑协议连接)页面
9. 在 Primary Connections Information (首要连接信息)页面,验证信息与 8.a 到 8.c 中的数据一致并点击 Next (下一步)
10. 在 Secondary Connections Information (次要连接信息)页面,使用默认设置并点击 Next (下一步)
11. 在 Completing the New Protocol Definition Wizard (完成新建协议定义向导)页面,验证信息与下图一致并点击 Finish (完成)
图5 Protocol summary
12. 在 Add Protocols (添加协议)页面
a. 展开 User-Defined (用户定义)
b. 选择 WSUS Client
c. 点击 OK 后 Close (关闭)
13. 在 Protocols (协议)页面,点击 Next (下一步)
14. 在 Access Rule Source (访问规则源端)页面,点击 Add (添加)
15. 在 Add Network Entities (添加网络实体)页面
a. 展开 Networks (网络)
b. 选择 Local Host (本地主机)
c. 点击 Add (添加)后 Close (关闭)
16. 在 Access Rule Sources (访问规则源端)页面,点击 Next (下一步)
17. 在 Access Rule Destinations (访问规则目的端)页面,点击 Add (添加)
18. 在 Add Network Entities (添加网络实体)页面,点击 New (新建)-> Computer (计算机)
19. 在 New Computer Rule Element (添加计算机规则元素)页面
a. 在 Name (名称)区域输入 WSUS Server
b. 在 Computer IP address (计算机 IP 地址) 区域,输入 WSUS 服务器的 IP 地址
图6 WSUS 服务器 IP 地址
c. 点击 OK
20. 在 Add Network Entities (添加网络实体)页面
a. 展开 Computers (计算机)
b. 选择 WSUS Server
c. 点击 Add (添加)后 Close (关闭)
21. 在 Access Rule Destinations (访问规则目的端)页面,点击 Next (下一步)
22. 在 User Sets (用户集)页面,点击 Next (下一步)
23. 在 Completing the New Access Rule Wizard (完成新建访问规则向导)页面,点击 Finish (完成)
24. 中部面板出现提示后,点击 Apply (应用)来保存更改
25. 在 Configuration Change Description (配置更改描述)页面
a. 输入您对本次更改的描述
b. 再次点击 Apply (应用)
26. 在 Saving Configuration Changes (保存配置更改)页面,点击 OK
您添加的新规则将会出现,如下图所示:
图7 自定义 WSUS 策略
测试新配置
设置好所选的配置方式后,需要验证它能正常工作。因为您配置的目的是实现 TMG 的更新,因此最佳测试方法是使用 TMG 更新中心。测试步骤如下:
1. 在 TMG 管理控制台左侧面板,选择 Update Center (更新中心)
2. 在右侧面板
a. 选择 Tasks (任务)标签
b. 点击 Install New Definitions (安装新定义)
界面上将会显示 TMG 正在检查更新,如下图所示:
图8 检查更新
若更新被成功验证和安装,界面将会变为下图所示:
图9 处于最新状态
完成
本文的步骤提供了两种支持的方法,都能够保证 TMG Update Center 快速可靠地检测、获取并安装 NIS 和 EMP 更新。为了保证您的 TMG 具有最新的流量保护更新,对这种机制进行合理的配置和监控至关重要。
作者
Jim Harrison, Program Manager, Forefront Edge CS
技术校对
Bala Natarajan, Senior Support Engineer, FF Edge Beta