TMG tech blog Sergey Fomin
Nem is olyan régen kiderült, hogy nagyon hasznos segédprogram Forefront TMG Best Practice Analyzer (TMGBPA). Segítségével úgy lehet felfedezni a Forefront TMG szerver sebezhető, teljesítmény problémák, és a szerver beállításait. A segédprogram ellenőrzi a Forefront TMG szerver konfigurációs és létrehoz egy jelentést, amely leírja a megfigyelések a potenciális problémákat.
Megjegyzem, hogy TMGBPA két közművek:
TMG adatok csomagoló - lehetővé teszi, hogy a diagnosztikai információkat csomagot Forefront TMG egy .cab fájlt, hogy küldje el a Microsoft terméktámogatási
BPA2Visio - MS Visio létrehoz egy Topológia nézet setichki Forefront TMG szerver. Azonban, mivel az eszköz csak egy telepített Visio, célszerű ezt a segédprogramot használni egy másik számítógépen a hálózaton, hanem telepítése Visio a Forefront TMG szerver.
Ha azt akarjuk, hogy minden egyes alkalommal TMGBPA indul ellenőrzi a frissítéseket, hogy az Igen kiválasztásához.
Daleemy választhatunk, hogy részt vesz a Felhasználói élmény fokozása program polzovatskoy, vagy nem ...
Várja, hogy a frissítéseket
Adjunk egy fülbemászó nevet az új scan, írja be a tartományvezérlő nevét, és válassza a Feladatok «állapotfelmérés» (állapotának ellenőrzése „egészség” a szerver)
Várj szkennelés bezárása
Vizsgálatok ütemezhető
Jelenleg az összes - az ülés előtt.
Erre a célra (és nem csak erre) van Forefront TMG Client telepítve kliens számítógépek.
Mint látható, a kliens lehet állítani, hogy hogyan próbálja felfedezni a Forefront TMG kiszolgáló:
Ahhoz, hogy hozzon létre egy AD rekordot használják TmgAdConfig segédprogram
Ahhoz, hogy távolítsa el a használt dizájn, mint ez
Ugyanakkor az elején a Forefront TMG konfigurálni kell egy WPAD (Web Proxy Auto-Discovery Protocol) szerver. Ehhez nyissa meg a Forefront TMG konzol, válassza ki a lap «Hálózat», majd válassza ki a hálózatot, amelyen az ügyfelek meg kell hallgatni WPAD- kérések (ez a mi belső hálózat), és adja meg a port, hogy a szerver a kéréseket az ügyfelek.
Megjegyzendő, hogy ha szeretnénk használni a DNS-kiszolgáló Forefront TMG szerver felfedezés, szükség van arra, hogy csak 80-as port, mert ellentétben az észlelési DHCP szerveren keresztül nem lehet megadni a portot.
Tehát, nyissa meg a DNS beépülő modult, és a nevét a kifejezett engedélye terület a domain egy alias a Forefront TMG szerver.
De rugalmasabb és gyorsabb észlelését Forefront TMG szerveren keresztül DHCP szerver.
Ennek eredményeként a fenti intézkedéseket egy új opció megjelenik az általános DHCP-beállítások
Ezzel és be kell állítania a megfelelő DHCP szerver területen.
Beállítani a kliens küld egy üzenetet DHCPINFORM, amire válaszul a DHCP szerver küld a tartalmát a WPAD opciót.
Ha nincs ügyfél a DNS választ.
Jelenleg ennyi.
Természetesen azt szeretnénk, hogy hozzon létre egy szabályt, hogy lesz felelős blokkolja a nem biztonságos tartalom!
Mi lehet bővíteni a listát a források, amelyek a blokkolni kívánt hozzáféréssel.
Rendezzük a hozzáférést egy bizonyos csoportja internetezők. Hívjuk ezt beállítani AllowAccess felhasználók.
Hozzáférés engedélyezése a Hitelesített felhasználók csoport tagjainak.
Rámutat továbbá, hogy szükség van, hogy ellenőrizze a kapott adatokat az internetről. Ebben az esetben tudjuk meg, hogy blokkolják a betöltését titkosított archívumok.
Tudod ellenőrizni a biztonságos HTTPS kapcsolatot ha szükséges. Megvan a következő lehetőségek közül:
- Ellenőrizzük HTTPS forgalom és érvényesíti az SSL-tanúsítvány egy web-site
- Ne vizsgálja HTTPS forgalmat, hanem érvényesítse az SSL tanúsítvány-web-oldalon. Blokkolja a hozzáférést az oldalon keresztül HTTPS, ha a tanúsítvány érvénytelen.
- Ne vizsgálja HTTPS forgalmat, és nem ellenőrzik az SSL-tanúsítvány honlapon. Hozzáférés engedélyezése ezen az oldalon keresztül HTTPS.
Nos, akkor nem teszi a felhasználók számára, hogy hozzon létre egy HTTPS kapcsolat egyáltalán ...
Ha telepítve a felhasználó Forefront TMG Client képes értesíteni polzovatley hogy átvizsgálja a HTTPS kapcsolatot.
Elvégzésére ellenőrzése HTTPS kapcsolatot lehet használni, mint egy automatikusan generált tanúsítványt Forefront TMG és egy alternatív, rendszergazda által beállított.
Lehetőség van választani, hogyan kell telepíteni a tanúsítványt a kliens számítógépekre - automatikusan vagy manuálisan.
Nos, az utolsó ábrán látható, hogyan lehet beállítani a lemezterületet oszt ki a cache-web-oldalakat.
Mielőtt a telepítést, a segédprogram futtatásához beépítés előállítás (előkészítő eszköz)
A munkája során lesznek telepítve a kiszolgálói szerepkörök szükségesek a normális működését a Forefront TMG:
- Network Access and Policy Services
- Routing and Remote Access Services
- Active Directory Lightweight Directory-szolgáltatások
- A hálózati terheléselosztás
Szintén szükséges a .NET 3.5 Framework SP1, Microsoft Windows Installer 4.5
Határozza meg, mely a hálózati adapter csatlakoztatva van a helyi hálózathoz
Meghatározza, hogy a konfigurációs művelet várhatóan Forefront TMG
Az ábrán a leggyakoribb konfiguráció egyetlen tűzfal, amely védi a vállalati hálózatokban.
Opció 3-Leg kerülete inaktív, mert ez a szerver csak két hálózati adapterrel. Vissza tűzfalat kell választani, ha a szerepe front-end tűzfal végez egyéb biztonsági eszköz (például a Cisco, a Checkpoint ...) nincs értelme, hogy egyetlen forrás eszköz szervezni, és back-end és front-end tűzfal esetében kompromisszum egy eszköz támadó nem lesz nehéz feltörni, és a második ... Nos, az utolsó változat konfiguráció malofunktsionalen igencsak megkérdőjelezhető a biztonság szempontjából.
Meghatározza a hálózati adapter konfigurációs, csatlakozik a helyi hálózathoz. Ezután megadhat további utak más alhálózatok.
Ezután - beállítás a külső hálózati adapter
Ebben a konfigurációban a hálózati beállítások befejezése - folytassa a System Settings.
Most adja meg a paramétereket a Forefront TMG telepítését.
Magukban foglalják a Windows Update szolgáltatás
Kapcsolja szolgáltatás check hálózati kapcsolatok (NIS), web-forgalom ellenőrzési és URL szűrés
Határozza meg, hogy gyakran a frissítés lesz a NIS aláírások
Legközelebb nézd meg, hogyan vállalati felhasználók számára lehetővé teszi az internet-hozzáférést, állítsa URL szűrés, forgalom szkennelés malware, konfigurálása web-cache és így tovább.
Szóval, azt írta, hogy az ISA Server a múlt - ő váltotta Forefront Treat Management Gateway (TMG) - integrált átjáró a külvilág felé, amelynek célja, hogy megvédje a vállalati hálózat külső fenyegetésekkel szemben.
Nézzük meg, mi hozta az új TMG:
De a leginkább fogalmi novovedeny hívnám megjelenése előfizetési szolgáltatások antivírus mintafrissítések moduljainak HTTP-forgalom szkennelés, URL-szűrés, e-mail üzeneteket, anti-spam modul és a támadás aláírásokat NIS. Ezek fizetett szolgáltatások, de anélkül, hogy az antivírus, anti-spam frissítések haszontalan, és most a Microsoft kínálja a használatát már 5 antivírus egyszerre! Ugyanez igaz az MRS - ott is használják több szolgáltató.
Összefoglalva azt mondhatjuk, hogy a forradalom nem történt meg -, de ha szükség volt? A termék egyre stabilabb, termelékeny, talált egy új régóta várt és kívánt funkciót, és van, hogy azt csak!