Несколько месяцев назад компания Microsoft выпустила версию Beta 2 Microsoft Forefront TMG (Threat Management Gateway), обладающую множеством новых захватывающих возможностей.
Перед началом объединения Microsoft Forefront TMG в массив я хотел бы объяснить новую терминологию, используемую в Forefront TMG. Теперь часто используются два понятия:
- EMS (Enterprise Management Server - Сервер управления предприятием)
- CSS (Configuration Storage Server - Сервер хранения конфигурации)
EMS
Enterprise Management Server представляет собой сервер, используемый для управления массивом TMG, предприятием TMG или даже отдельным сервером.
CSS
Configuration Storage Server используется для всех локальных установок TMG и отвечает за хранение конфигурации сервера TMG. К сведению, каждый TMG имеет локальный CSS. Когда администратор TMG объединяет сервер с массивом TMG, локальный сервер TMG использует CSS предприятия (EMS). Когда начинает работать CSS предприятия, локальный CSS отключается.
Для начала нужно создать предприятие Microsoft Forefront Threat Management Gateway. Для этого запустите установочный файл TMG и выберите нужную опцию.
Рисунок 1: Создание предприятия Microsoft Forefront Threat Management Gateway
Также можно создать реплику из конфигурации предприятия. При этом будет создан сервер EMS, работающий рука об руку с другим сервером EMS. Получаемое предприятие TMG всегда должно иметь два или более серверов EMS.
Вам нужно указать аккаунт, который будет использоваться для службы EMS. В своей тестовой среде я воспользовался аккаунтом администратора домена. В производственной среде такого делать не стоит, чтобы не подвергаться слишком большому риску.
Рисунок 2: Аккаунт службы Enterprise Management Server
На следующем рисунке вам предлагается обзор консоли Microsoft Forefront Threat Management Console, установленной сервером EMS. Ее настройка аналогична настройке консоли ISA Server 2006 Management Console, что и показано на следующем скриншоте.
Увеличить
Рисунок 3: Новое предприятие Microsoft Forefront Threat Management Gateway Enterprise и консоль
Затем нужно создать новый массив TMG. После этого вы получите возможность включать отдельные серверы TMG в новый массив TMG. Начните с создания массива TMG, запустив соответствующий мастер.
Рисунок 4: Мастер создания нового массива TMG
Существует возможность объединить множество массивов TMG в предприятие TMG (при этом в каждом массиве TMG должен быть минимум один сервер). Новому массиву нужно дать имя.
Рисунок 5: Укажите DNS-имя для массива
Следующая задача - разрешение DNS-имени. Его нужно указать для каждого массива. DNS-имя используется клиентом TMG Server Firewall и клиентом Webproxy. Создайте соответствующую DNS-запись на вашем внутреннем DNS-сервере для серверов массива TMG.
У каждого массива должна быть политика предприятия. Выберите политику по умолчанию или, даже лучше, новую политику предприятия, которую будет использовать массив.
Рисунок 6: Укажите политику предприятия
Теперь пора выбрать тип правил политики брандмауэра массива, которые можно создавать для массива.
Рисунок 7: Укажите типы правил политики массива
Создание нового массива TMG занимает некоторое время в зависимости от производительности вашей системы.
Рисунок 8: Создание нового процесса массива
Через какое-то время будет успешно создан массив TMG (это показано на следующем рисунке). Теперь можно объединять отдельные серверы TMG в предприятие TMG.
Установка Microsoft Forefront TMG расписана в других статьях на http://www.isaserver.org/, поэтому я ограничусь одним скриншотом, чтобы показать вам, какие опции нужно выбирать в мастере установки TMG.
Рисунок 10: Установка TMG
После успешного завершения процесса установки запустите консоль Microsoft Forefront Threat Management и щелкните на опцию Join Array в панели задач, как показано на следующем рисунке.
Увеличить
Рисунок 11: Запустите мастер Join Array Wizard
Запускается мастер Join Array Wizard
Рисунок 12: Мастер Join Array Wizard
Выберите тип участия в массиве. Поскольку мы уже создали Enterprise Management Server и массив TMG, мы подключим отдельный сервер TMG к серверу EMS.
Рисунок 13: Включение в массив, управляемый сервером EMS
Укажите FQDN для сервера EMS. Можно также изменить аккаунт, имеющий право подключаться к серверу EMS.
Рисунок 14: Укажите FQDN сервера EMS
Так как мы уже создали массив TMG в EMS, выберем созданный ранее массив TMG. Можно также создать новый массив, но это займет немного больше времени, чем создание массива на сервере EMS, из-за ограниченной скорости передачи данных по сети.
Рисунок 15: Подключение к существующему серверу EMS массива
И вот отдельный сервер TMG включается в массив TMG.
Рисунок 16: Включение в массив
Через некоторое время отдельный сервер TMG станет частью сервера EMS массива.
Рисунок 17: Массив успешно объединен
Запустите консоль TMG Management console и перейдите к свойствам последнего подключенного к массиву сервера TMG, и вы увидите, что сервер TMG теперь управляется сервером EMS массива.
Рисунок 18: Информация о сервере EMS массива
Чтобы увидеть, какой сервер CSS используется сервером TMG, перейдите к свойствам массива TMG, щелкните на вкладку Configuration Storage. Если у вас есть второй сервер CSS (что желательно), добавьте сервер CSS в качестве альтернативного сервера.
Рисунок 19: Свойства сервера TMG
После включения сервера в массив TMG вы можете настраивать его для своих нужд.
Заключение
В этой статье я предложил вашему вниманию обзор способа интегрирования Microsoft Forefront Threat Management Gateway в массив TMG с целью централизовать управления серверами TMG в рамках предприятия или массива TMG. По сравнению с концепциями ISA Server 2006 Enterprise CSS произошло не много изменений, поэтому вам вряд ли потребуется много времени на освоение консоли EMS в Microsoft Forefront TMG.
Ссылки по теме