■ 河北 李林茹 王春海

Forefront TMG提供了一個(gè)在TMG服務(wù)器端自動(dòng)檢測(cè)客戶端的新功能。同先前版本的防火墻客戶端不同，TMG客戶端可以使用活動(dòng)目錄中的一個(gè)標(biāo)記查找相應(yīng)的TMG服務(wù)器。在活動(dòng)目錄中，TMG客戶端使用輕量目錄訪問協(xié) 議（LDAP，Lightweight Directory Access Protocol)查找所需的信息。在安裝Forefront TMG客戶端之后，在“設(shè)置”選項(xiàng)卡中，可以查看Forefront TMG的客戶端自動(dòng)檢測(cè)到Forefront TMG服務(wù)器的兩種方法：“使用Active Directory（推薦）”和“使用其他基于DHCP和DNS的自動(dòng)檢測(cè)方法”（如圖1）。

說明：在Active Directory的網(wǎng)絡(luò)中（即工作站加入Active Directory），如果 TMG 客戶端不能查找到活動(dòng)目錄標(biāo)記，出于安全考慮，也不會(huì)通過DHCP和DNS進(jìn)行自動(dòng)檢測(cè)。這樣做是為了減少攻擊者將系統(tǒng)強(qiáng)行恢復(fù)到一個(gè)不安全狀態(tài)的風(fēng)險(xiǎn)。如果建立了活動(dòng)目錄連接而無法查找到活動(dòng)目錄標(biāo)記，TMG客戶端將自動(dòng)切換到DHCP和DNS。

在TMG服務(wù)器上配置活動(dòng)目錄標(biāo)記

但是，在默認(rèn)的情況下，F(xiàn)orefront TMG服務(wù)器并不會(huì)在Active Directory中自動(dòng)配置這一功能，需要使用Microsoft提供的一個(gè)工具TmgAdConfig.exe進(jìn)行配置。

本文介紹配置Active Directory標(biāo)記的方法。

要配置活動(dòng)目錄標(biāo)記，可以從微軟下載中心下載TMG活動(dòng)目錄配置工具AdConfigPack.EXE，然后在Forefront TMG 2010服務(wù)器計(jì)算機(jī)上安裝該軟件。該工具的安裝比較簡(jiǎn)單，如圖2所示。

如 果 要 在 Active Directory中存儲(chǔ)標(biāo)記密鑰，請(qǐng)?jiān)诿钐崾痉骆I入：

TmgAdConfig.exe add -default -type winsock -url [-f]

其中 ：service-url 項(xiàng)的格式應(yīng)為 http://:8080/wspad.dat。

在這些命令中可以用到下列參數(shù)：

1.如 果 要 從 Active Directory刪除密鑰，請(qǐng)?jiān)诿钚刑崾痉庢I入：

TmgAdConfig.exe del-default -type winsock

2.如果要配置特定站點(diǎn)的Active Directory標(biāo)記，請(qǐng)使用-site命令行參數(shù)。

TmgAdConfig工 具 在Active Directory中創(chuàng)建以下注冊(cè)表項(xiàng)：

LDAP://Configuration/Services/Internet Gateway("Container") /Winsock Proxy("ServiceConnection Point")

密鑰的服務(wù)器綁定信息將設(shè)置為 。該密鑰將由Forefront TMG客戶端檢索，并將用于下載wspad配置文件。

下面通過具體的實(shí)例進(jìn)行介紹。下載并安裝TmgAdConfig后，進(jìn)入命令提示符，進(jìn)入程序安裝位置，執(zhí)行下列命令行進(jìn)行注冊(cè)，如圖3所示。

在工作站上啟用Active Directory發(fā)現(xiàn)

在配置了Active Directory標(biāo)記之后，在加入到域的工作站上，在安裝了Forefront TMG客戶端之后，即可以使用“Active Directory” 發(fā) 現(xiàn)TMG 2010服務(wù)器，如圖4所示。

如果不使用活動(dòng)目錄標(biāo)記支持，也可以使用TMG活動(dòng)目錄配置工具清除該標(biāo)記，命令格式為：

tmgadconfig del -default-type winsock

如圖5所示。

此時(shí)，你可以在DHCP服務(wù)器上，配置名為WPAD的Forefront TMG選項(xiàng)，如圖6所示。