为Forefront TMG配置Active Directory发现

gfdg

Forefront TMG提供了一个在TMG服务器端自动检测客户端的新功能。同先前版本的防火墙客户端不同，TMG客户端可以使用活动目录中的一个标记查找相应的TMG服务器。在活动目录中，TMG客户端使用轻量目录访问协议(LDAP，Lightweight Directory Access Protocol)查找所需的信息。在安装Forefront TMG客户端之后，在"设置"选项卡中，可以查看Forefront TMG的客户端自动检测到Forefront TMG服务器的两种方法："使用Active Directory（推荐）"和"使用其他基于DHCP和DNS的自动检测方法"，如图1-1所示。

图1-1  Forefront TMG客户端自动发现方法

【说明】：在Active Directory的网络中（即工作站加入Active Directory），如果TMG客户端不能查找到活动目录标记，出于安全考虑，也不会通过DHCP和DNS进行自动检测。这样做是为了减少攻击者将系统强行恢复到一个不安全状态的风险。如果建立了活动目录连接而无法查找到活动目录标记，TMG客户端将自动切换到DHCP和DNS。
1 在TMG服务器上配置活动目录标记但是，在默认的情况下，Forefront TMG服务器并不会在Active Directory中自动配置这一功能，需要使用Microsoft提供的一个工具TmgAdConfig.exe进行配置。
本文介绍配置Active Directory标记的方法。要配置活动目录标记，可以从微软下载中心下载TMG活动目录配置工具AdConfigPack.EXE，然后在Forefront TMG 2010服务器计算机上安装该软件。该工具的安装比较简单，如图1-2～图1-5所示。

图1-2  安装工具图1-3 接受许可协议

图1-4  选择安装位置图1-5 安装完成

如果要在 Active Directory 中存储标记密钥，请在命令提示符下键入：
TmgAdConfig.exe add -default -type winsock -url <service-url> [-f]
其中：service-url 项的格式应为 http://<TMG Server Name>:8080/wspad.dat。
在这些命令中可以用到下列参数：
（1）如果要从 Active Directory 删除密钥，请在命令行提示符处键入：

TmgAdConfig.exe del -default -type winsock

（2）如果要配置特定站点的 Active Directory 标记，请使用 site 命令行参数。
TmgAdConfig 工具在 Active Directory 中创建以***册表项：

LDAP://Configuration/Services/Internet Gateway("Container") /Winsock Proxy("ServiceConnectionPoint")

密钥的服务器绑定信息将设置为 <service-url>。该密钥将由 Forefront TMG 客户端检索，并将用于下载 wspad 配置文件。
下面通过具体的实例进行介绍。下载并安装TmgAdConfig后，进入命令提示符，进入程序安装位置（图1-4显示），执行下列命令行进行注册，如图1-6所示。

图1-6 注册TMG2010服务器的url地址、服务端口

2 在工作站上启用Active Directory发现在配置了Active Directory标记之后，在加入到域的工作站上，在安装了Forefront TMG客户端之后，即可以使用"Active Directory"发现TMG 2010服务器，如图1-7所示。

图1-7  自动检测到Forefront TMG服务器

如果不使用活动目录标记支持，也可以使用TMG活动目录配置工具清除该标记，命令格式为：

tmgadconfig  del default type winsock

如图1-8所示。

图1-8  清除标记

此时，你可以在DHCP服务器上，配置名为WPAD的Forefront TMG选项，如图1-9所示。

图1-9 配置WPAD选项