Forefront TMG提供了一个在TMG服务器端自动检测客户端的新功能。同先前版本的防火墙客户端不同,TMG客户端可以使用活动目录中的一个标记查找相应的TMG服务器。在活动目录中,TMG客户端使用轻量目录访问协议(LDAP,Lightweight Directory Access Protocol)查找所需的信息。在安装Forefront TMG客户端之后,在"设置"选项卡中,可以查看Forefront TMG的客户端自动检测到Forefront TMG服务器的两种方法:"使用Active Directory(推荐)"和"使用其他基于DHCP和DNS的自动检测方法",如图1-1所示。
图1-1 Forefront TMG客户端自动发现方法
【说明】:在Active Directory的网络中(即工作站加入Active Directory),如果TMG客户端不能查找到活动目录标记,出于安全考虑,也不会通过DHCP和DNS进行自动检测。这样做是为了减少攻击者将系统强行恢复到一个不安全状态的风险。如果建立了活动目录连接而无法查找到活动目录标记,TMG客户端将自动切换到DHCP和DNS。
但是,在默认的情况下,Forefront TMG服务器并不会在Active Directory中自动配置这一功能,需要使用Microsoft提供的一个工具TmgAdConfig.exe进行配置。
本文介绍配置Active Directory标记的方法。要配置活动目录标记,可以从微软下载中心下载TMG活动目录配置工具AdConfigPack.EXE,然后在Forefront TMG 2010服务器计算机上安装该软件。该工具的安装比较简单,如图1-2~图1-5所示。
图1-2 安装工具图1-3 接受许可协议
图1-4 选择安装位置图1-5 安装完成
如果要在 Active Directory 中存储标记密钥,请在命令提示符下键入:
TmgAdConfig.exe add -default -type winsock -url <service-url> [-f]
其中:service-url 项的格式应为 http://<TMG Server Name>:8080/wspad.dat。
在这些命令中可以用到下列参数:
(1)如果要从 Active Directory 删除密钥,请在命令行提示符处键入:
TmgAdConfig.exe del -default -type winsock
(2)如果要配置特定站点的 Active Directory 标记,请使用 site 命令行参数。
TmgAdConfig 工具在 Active Directory 中创建以***册表项:
LDAP://Configuration/Services/Internet Gateway("Container") /Winsock Proxy("ServiceConnectionPoint")
密钥的服务器绑定信息将设置为 <service-url>。该密钥将由 Forefront TMG 客户端检索,并将用于下载 wspad 配置文件。
下面通过具体的实例进行介绍。下载并安装TmgAdConfig后,进入命令提示符,进入程序安装位置(图1-4显示),执行下列命令行进行注册,如图1-6所示。
图1-6 注册TMG2010服务器的url地址、服务端口
在配置了Active Directory标记之后,在加入到域的工作站上,在安装了Forefront TMG客户端之后,即可以使用"Active Directory"发现TMG 2010服务器,如图1-7所示。
图1-7 自动检测到Forefront TMG服务器
如果不使用活动目录标记支持,也可以使用TMG活动目录配置工具清除该标记,命令格式为:
tmgadconfig del default type winsock
如图1-8所示。
图1-8 清除标记
此时,你可以在DHCP服务器上,配置名为WPAD的Forefront TMG选项,如图1-9所示。
图1-9 配置WPAD选项
本文出自 “王春海的博客” 博客,谢绝转载!
为Forefront TMG配置Active Directory发现
原文地址:http://wangchunhai.blog.51cto.com/225186/1693939
