Microsoft Forefront TMG – установка и настройка Forefront TMG клиента

Посетителей: 35730 | Просмотров: 51283 (сегодня 4) Шрифт:

Одной из функций Forefront TMG является поддержка нескольких клиентов, которые используются для подключения к Forefront TMG Firewall. Одним из типов клиентов является Microsoft Forefront TMG клиент, также известный под названием Winsock клиент для ОС Windows. Использование TMG клиента предоставляет несколько усовершенствований по сравнению с другими клиентами (Web proxy и Secure NAT). Forefront TMG клиент может быть установлен на несколько клиентских и серверных ОС Windows (что я не рекомендую делать за исключением серверов терминалов (Terminal Servers)), которые защищены с помощью Forefront TMG 2010. Forefront TMG клиент предоставляет уведомления HTTPS проверки (используемой в TMG 2010), автоматическое обнаружение, улучшенную безопасность, поддержку приложений и управление доступом для клиентских компьютеров. Когда клиентский компьютер с работающим на нем клиентом Forefront TMG делает Firewall запрос, этот запрос направляется на Forefront TMG 2010 компьютер для дальнейшей обработки. Никакой специальной инфраструктуры маршрутизации не требуется из-за наличия процесса Winsock. Клиент Forefront TMG прозрачно направляет информацию пользователя с каждым запросом, позволяя вам создавать политику брандмауэра на компьютере Forefront TMG 2010 с правилами, которые используют учетные данные, пересылаемые клиентом, но только по TCP и UDP трафику. Для всех остальных протоколов вы должны использовать Secure NAT клиентское соединение. Для списка причин, по которым стоит использовать TMG клиент, читайте статью Тома Шиндера на www.ISAserver.org:

Помимо стандартных функций предыдущих версий клиентов Firewall, TMG клиент поддерживает:

• уведомления HTTPS осмотра
• поддержку AD Marker

Стандартные функции TMG клиента

• Политика брандмауэра на базе пользователей или групп для Web- и non-Web proxy по TCP и UDP протоколу (только для этих протоколов)
• Поддержка комплексных протоколов без необходимости использования прикладного фильтра TMG
• Упрощенная настройка маршрутизации в больших организациях
• Автоматическое обнаружение (Auto Discovery) информации TMG на базе настроек DNS и DHCP сервера.

Системные требования

TMG клиент имеет некоторые системные требования:

• Windows 7
• Windows Server 2003
• Windows Server 2008
• Windows Vista
• Windows XP

Поддерживаемые версии ISA Server и Forefront TMG

• ISA Server 2004 Standard Edition
• ISA Server 2004 Enterprise Edition
• ISA Server 2006 Standard Edition
• ISA Server 2006 Enterprise Edition
• Forefront TMG MBE (Medium Business Edition)
• Forefront TMG 2010 Standard Edition
• Forefront TMG 2010 Enterprise Edition

Поддержка операционных систем

Клиент /Сервер – совместимость

Настройки TMG клиента на TMG сервере

Есть лишь несколько параметров на сервере Forefront TMG, которые отвечают за настройку поведения Forefront TMG клиента. Прежде всего, можно включить поддержку TMG клиента для дефиниции внутренней сети на сервере TMG, как показано на рисунке ниже.

Рисунок 1: Параметры TMG клиента на TMG

После того, как поддержка TMG клиента включена (это умолчание при обычной установке TMG), можно также автоматизировать конфигурацию веб браузера на клиентских компьютерах. Во время нормальных интервалов обновления TMG клиента или во время запуска служб, браузер получает параметры, настроенные в консоли управления TMG.

В параметрах «Приложения» на TMG клиенте в консоли TMG можно включить или отключить некоторые настройки зависимости приложений.

Рисунок 2: Настройки TMG клиента

AD Marker

Microsoft Forefront TMG предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. В отличие от предыдущих версий Firewall клиентов, Forefront TMG клиент теперь может использовать маркер в Active Directory для поиска соответствующего TMG сервера. TMG клиент использует LDAP для поиска требуемой информации в Active Directory.

Примечание: если TMG клиент не нашел AD маркер, он не перейдет на классическую схему автоматического обнаружения через DHCP и DNS по соображениям безопасности. Это сделано для снижения риска возникновения ситуации, в которой взломщик пытается заставить клиента использовать менее безопасный способ. Если подключение к Active Directory удалось создать, но невозможно найти AD Marker, клиенты TMG переходят к DHCP и DNS.

Инструмент TMGADConfig

Для создания конфигурации маркера AD Marker в Active Directory вы можете загрузить TMG AD Config инструмент из центра загрузки Microsoft Download Center (вам нужно найти AdConfigPack.EXE). После загрузки и установки инструмента на TMG вам нужно выполнить следующую команду в интерпретаторе, чтобы внести ключ маркера AD в раздел реестра:

Tmgadconfig add ‘default ‘type winsock ‘url http://nameoftmgserver.domain.tld:8080/wspad.dat

Можно также удалить AD маркер с помощью инструмента tmgadconfig, если вы решите не использовать поддержку AD Marker.

Установка TMG клиента

Самую последнюю версию TMG клиента можно загрузить с веб-сайта компании Microsoft. В конце статьи я привел ссылки на загрузку.

Начните процесс установки и следуйте указаниям мастера.

Р исунок 3: Установка TMG клиента

Можно указать месторасположение TMG сервера вручную, или автоматически во время процесса установки TMG клиента. После установки можно перенастроить параметры механизма определения в TMG клиенте с помощью инструмента настройки TMG клиента, который расположен в панели задач вашего клиента.

Рисунок 4: Выбор компьютера для установки TMG клиента

Расширенное автоматическое определение

Если вы хотите изменить поведение процесса автоматического определения, в клиенте TMG теперь есть новая опция для настройки метода автоматического определения.

Рисунок 5: Расширенное автоматическое определение

Уведомления HTTPS осмотра

Microsoft Forefront TMG обладает новой функцией осмотра HTTPS трафика для исходящих клиентских соединений. Для информирования пользователей об этом процессе новый TMG клиент может использоваться, чтобы информировать пользователей о том, что исходящие HTTPS подключения подвергаются проверке, если вам это нужно. У администраторов TMG также есть возможность отключения процесса уведомления централизованно с сервера TMG, или вручную на каждом Forefront TMG клиенте. Для дополнительной информации о настройке осмотра исходящего HTTPS трафика читайте следующую статью Тома Шиндера

Рисунок 6: Осмотр защищенных подключений

Если осмотр исходящих HTTPS подключений включен и параметр уведомления пользователей об этом процессе также включен, пользователи, на компьютерах которых установлен Forefront TMG клиент, будут получать сообщение подобное тому, что показано на рисунке ниже.

Рисунок 7: Сообщение об использовании осмотра защищенных подключений

Tmg server windows server 2012 r2

This forum is closed. Thank you for your contributions.

Answered by:

Question

I’ve tried installing Forefront TMG 2010 on a Windows Server 2012 machine but it doesn’t appear to be compatible. I’m not particularly surprised because TMG 2010 was designed for Server 2008 (SP2 or R2).

Is there an equivalent product available which is compatible with Server 2012?

Answers

regards Marc Grote aka Jens Baier — www.it-training-grote.de — www.forefront-tmg.de — www.nt-faq.de

• Marked as answer by Nick Gu — MSFT Moderator Tuesday, August 7, 2012 7:04 AM

All replies

regards Marc Grote aka Jens Baier — www.it-training-grote.de — www.forefront-tmg.de — www.nt-faq.de

• Marked as answer by Nick Gu — MSFT Moderator Tuesday, August 7, 2012 7:04 AM

Thank you for the post.

“Is there an equivalent product available which is compatible with Server 2012?” – Right now, TMG is not compatibility with windows 2012 server.

I see. So the situation is this:

1. Forefront TMG is not supported with Server 2012
2. We have no roadmap and MS has not announced any future product development yet
3. We don’t have any equivalents from MS that are compatible with Server 2012

Does that sound about right?

Yes, so if you want IPv6 support and features in a product that take into account new products released by Microsoft, it’s probably best to look elsewhere.

Is there a reason to run 2010 on Server 2012? That would be a waste of time with the current information.

Views expressed do not represent those of my employer.

Thank you for the update.

“Does that sound about right?” – yes, there is no further roadmap has been announced. However, Microsoft remains committed to security and will continue to support our customers by providing support for TMG with service packs and other updates through the product’s lifecycle.

Thank you for the update.

“Does that sound about right?” – yes, there is no further roadmap has been announced. However, Microsoft remains committed to security and will continue to support our customers by providing support for TMG with service packs and other updates through the product’s lifecycle.

It truly boggles my mind how completely screwed up development is at MSFT. Throwing away a worthwhile product that is used by tens-of-thousands of SMB’s and replacing it with. (wait for it) . NOTHING.

Maybe we can purchase a piece of hardware at the MSFT Store to replace the TMG Product?

Oh. no. wait. That DEFEATS the whole purpose of the Product to begin with. So sorry.

And of course, God forbid that the product would work with WS2012.

Realmente perturba mi mente cómo atornillar completamente el desarrollo está en MSFT. Tirar un producto digno que es utilizado por decenas-de-miles de PYMES y su sustitución por . (Esperar a que) . NADA.

Tal vez podamos comprar una pieza de hardware en la tienda de MSFT para reemplazar el producto TMG?

Oh . no . espere . Que derrota el propósito entero del producto, para empezar. Así que lo siento .

Y, por supuesto, Dios no permita que el producto funcionará con WS2012 .

DataLife Engine — Softnews Media Group

Публикация внутренних ресурсов с помощью Microsoft Forefront TMG 2010

В прошлой публикации Установка и настройка DNS на Windows Server 2012 R2 мы, в качестве примера, установили веб-сайт под управлением CMS DLE.

И как логическое продолжение, давайте рассмотрим безопастную публикацию данного ресурса в интернет сеть .

Для обеспечения безопастной публикации наших сайтов мы используем брандмауэр TMG 2010 установку которого мы рассматривали в статье Установка и настройка Forefront Threat Management Gateway (TMG) 2010

Сегодня мы разберем следующие вопросы:

Рассмотрим вопрос сетевого взаимодействия виртуальных машин.

Создадим проавила публикации веб сервера.

Установка и настройка Forefront Threat Management Gateway (TMG) 2010

Автор: genadie от 6-07-2012, 20:47, посмотрело: 43721

Первым шагом будет загрузка пробной версии программы. В настоящее время TMG вы можете загрузить с официального сайта(http://www.microsoft.com/ru-ru/download/details.aspx?id=14238).

Мы установим версию брандмауэра TMG на виртуальную машину(Устанавливается TMG только на сервер с Windows Server и только на 64-битный…), и эта виртуальная машина будет оснащена двумя сетевыми интерфейсами:
Внешний интерфейс, который подключен мостом к производственной сети, обеспечивающей выход в интернет (тип Сетевой мост), и
Внутренний интерфейс, который обеспечивает подключение только к другим виртуальным машинам (тип Внутренняя сеть).