Microsoft Forefront UAG, в настоящее время доступный в версии RC1, является последователем Microsoft Forefront IAG (Intelligent Application Gateway). С помощью UAG можно расширять функциональность Microsoft Forefront Threat Management Gateway 2010 (TMG). UAG позволяет настраивать SSL VPN, новые функции Direct Access в Windows Server 2008 R2, а также расширяет базовые функции публикации веб-серверов в Microsoft Forefront TMG. С помощью IAG можно создавать свои порталы публикации, которые в терминах UAG называются trunk (ветка). Одной из возможностей публикации в Forefront UAG является публикация таких функций Microsoft Exchange как Outlook Web App, Outlook Anywhere, однако также можно публиковать Microsoft SharePoint Server сервисы в интернете.
Основные функции Forefront UAG
- Удаленный доступ (Remote access)
- Аналитика приложений (Application intelligence)
- Управление безопасностью и доступом (Security and access control)
- Внешняя и внутренняя аутентификация (Frontend and Backend authentication)
Системные требования
Microsoft Forefront UAG имеет следующие системные требования
Таблица 1: Системные требования Forefront UAG
> Компонент | Требование |
Процессор | 2,66 ГГц или мощнее, ЦП Dual Core |
Память | 8 и более ГБ оперативной памяти рекомендуется |
Жесткий диск | 30 ГБ |
Требования к ПО и установке
Серверы
Forefront UAG можно установить на компьютеры под управлением Windows Server 2008 R2 Standard или Windows Server 2008 R2 Enterprise X64-bit.
Массивы
Если вы хотите установить массив нескольких Forefront UAG серверов, каждый сервер, присоединяемый к массиву, должен быть установлен в качестве члена домена перед началом установки Forefront UAG.
Сетевые адаптеры
Forefront UAG должен быть установлен на компьютер с минимум двумя сетевыми картами.
Прочие приложения
Компьютер, на который устанавливается Forefront UAG, должен иметь чистую установку Windows Server 2008, никаких иных приложений на него не должно быть установлено.
Установка по умолчанию
По умолчанию Forefront Threat Management Gateway (TMG) устанавливается во время процесса Forefront UAG Setup.
Разрешения
При установке Forefront UAG у вас должны быть права с разрешениями администратора локального сервера. Вы также должны быть пользователем домена, к которому принадлежит сервер Forefront UAG.
Установка
После загрузки RC версии UAG можно приступать к процессу установки. Для начала просмотрите требования к аппаратному и программному обеспечению, а также сверьтесь со списком установки.
Рисунок 1: Установка UAG
По окончании установки вы можете запустить мастера Getting Started Wizard из консоли управления UAG. Этот мастер позволяет вам выполнить настройку основных сетевых параметров, таких как параметры сетевой карты UAG и топология сервера UAG Server. Forefront UAG можно установить в качестве отдельного сервера или в массиве UAG для обеспечения высокой отказоустойчивости и лучшей производительности.
Рисунок 2: Мастер начала работы
Параметр определения сетевого адаптера указывает UAG, какие сетевые карты подключать к внутренней (доверенной) сети, а какие – к внешней (не доверенной) сети.
Рисунок 3: Определение сетевых карт
После завершения работы мастера Getting Started можно перейти к расширенным параметрам, прежде чем создавать новую ветку (trunk), но сначала давайте рассмотрим сервисы, которые были установлены в процессе установки Forefront UAG.
Рисунок 4: Установленные сервисы UAG и TMG
Монитор активации Forefront UAG Gateway Activation Monitor
Forefront UAG теперь использует монитор активации (Activation Monitor), который показывает действия активации конфигурации. Эта функция полезна для контролирования статуса членов массива UAG, когда в диспетчере массива выполняется активация. Монитор активации доступен из опций Forefront UAG в меню Пуск.
Рисунок 5: Монитор активации UAG
Консоль конфигурации Microsoft Forefront UAG
Консоль конфигурации UAG позволяет настраивать параметры по умолчанию и создавать новые ветки. Доступ в консоли разделен на три узла под названиями:
- HTTP подключение
- HTTPS подключение
- DirectAccess
Узел HTTP и HTTPS подключений используется для создания новых веток (так же известных как правила публикации в TMG) для публикации таких сервисов, как Outlook Web App на Exchange Server 2010 и многих других приложений.
Узел DirectAccess используется для создания Microsoft Windows Server 2008 DirectAccess веток.
Рисунок 6: UAG GUI
Для настройки некоторых стандартных параметров, которые впоследствии могут использоваться для создания новых веток, вы можете воспользоваться параметрами Admin. На данном этапе можно настроить такие вещи, как сервер аутентификации и авторизации (Authentication and Authorization Servers), серверы сетевой политики (Network Policy Servers – NPS), параметры компенсации нагрузки (Load Balancing) и многое другое. Параметры, изменяемые здесь, или объекты, создаваемые в этом интерфейсе, могут использоваться, когда вы создаете новые ветки.
Рисунок 7: Расширенные возможности администрирования UAG
Как видно из следующего рисунка, UAG поддерживает многие службы каталогов, такие как Netscape LDAP Server, Novell Directory сервисы и многие другие каталоги.
Увеличить
Рисунок 8: Параметры аутентификации и авторизации в UAG
Параметры сетевой компенсации нагрузки
UAG обеспечивает собственную конфигурацию Network Load Balancing, которую довольно просто настраивать. Как и в случае с Integrated Network Load Balancing в Microsoft Forefront TMG, компенсация нагрузки UAG NLB располагается поверх NLB функций основной ОС.
Рисунок 9: Сетевая компенсация нагрузки в UAG
Публикация портала
Для примера в этой статье я создал новый портал Exchange Server 2010 Outlook Web App (в предыдущих версиях называвшийся OWA). Мастер выполняет большую часть работы и облегчает создание нового портала, поэтому я покажу вам только результаты работы мастера; давайте рассмотрим параметры портала, созданные мастером. На первой странице у вас есть обзор основных параметров портала, таких как публичное имя хоста, IP адрес и используемый порт HTTPS.
Если вы нажмете Настроить (Configure) в параметрах конфигурации Trunk, вы увидите мощь продукта Microsoft Forefront UAG. Параметры конфигурации ветки позволяют вам настраивать гораздо больше параметров, чем Microsoft Forefront TMG, поэтому у вас есть все опции для выполнения более детальной конфигурации практически всех параметров, касающихся настройки Outlook Web App, используемой в данном случае. Например, можно настраивать максимальное количество параллельных подключений к серверу Outlook Web App Server. Можно настраивать подробный URL осмотр и конфигурацию набора URL адресов. В закладке Настройка приложений (Application Customization) можно настраивать способ работы портала для конечных пользователей.
Рисунок 11: Подробности параметров ветки UAG
Одной из мощнейших функций Forefront UAG, на мой взгляд, являются параметры Endpoint Access, которые позволяют вам выбирать определенные политики из большого списка политик, обеспечивающих вам более многогранный доступ к порталу, а если говорить точнее, к операционным системам или определенным функциям приложений. Можно также создавать собственные политики и выражения в Forefront UAG. UAG сравнивает политики с клиентом, который пытается получить доступ к порталу, и предоставляет ему доступ к порталу на основании этих политик.
Рисунок 12: Расширенные параметры политик
После завершения создания новой ветки портала параметры UAG сохраняются в хранилище конфигурации TMG. Конфигурацию этого хранилища можно посмотреть в мониторе активации UAG. Как видно на следующем рисунке, конфигурация ветки портала в UAG образует некоторые новые правила политики брандмауэра в Microsoft Forefront TMG.
Увеличить
Рисунок 13: Созданные правила брандмауэра в TMG
DirectAccess
В качестве последнего шага нашей статьи с кратким обзором UAG давайте рассмотрим возможности DirectAccess в Forefront UAG. Как некоторые из вас знают, DirectAccess окна настройки в UAG выглядят схоже с консолью управления DirectAccess в Windows Server 2008 R2, поэтому настройка DirectAccess в UAG для администраторов с опытом настройки DirectAccess в Windows Server 2008 R2 будет простой задачей.
Рисунок 14: Диалоговое окно конфигурации UAG Direct Access
Заключение
В этой статье я предоставил вам краткий обзор по установке и настройке нового продукта Microsoft Forefront UAG. В качестве основных примеров я выделил шаги, необходимые для публикации функции Microsoft Exchange Server 2010 Outlook Web App (ранее известной как Outlook Web Access (OWA)). Microsoft Forefront UAG содержит множество новых и усовершенствованных функций и безопасно публикует сервисы и продукты от Microsoft и других производителей. В этой статье был предоставлен лишь краткий обзор мощного продукта UAG. Если вы хотите узнать больше о Forefront UAG, дайте мне знать, я смогу написать еще статьи о UAG в будущем.
Дополнительные ссылки