FTMG2010只有加入到域才能上網(wǎng)

2017-03-27

16286

只有加入到域才能上網(wǎng)2011-04-13 20:17:22標(biāo)簽：域 ISA 身份驗(yàn)證防火墻客戶端 Forefront TMG版權(quán)聲明：原創(chuàng)作品，謝絕轉(zhuǎn)載！否則將追究法律責(zé)任。在以前，我寫過(guò)一篇“別

只有加入到域才能上網(wǎng)

2011-04-13 20:17:22

標(biāo)簽：域 ISA 身份驗(yàn)證防火墻客戶端 Forefront TMG

版權(quán)聲明：原創(chuàng)作品，謝絕轉(zhuǎn)載！否則將追究法律責(zé)任。

在以前，我寫過(guò)一篇“別再隨便上網(wǎng)的文章”，介紹了使用ISA Server 2006、Windows Server 2003的Active Directory，主要內(nèi)容是讓網(wǎng)絡(luò)中的計(jì)算機(jī)加入到域、然后安裝ISA Server防火墻客戶端、使用ISA Server作“代理服務(wù)器”后，才能讓用戶上網(wǎng)的文章。這是在奧運(yùn)期間，給幾個(gè)政府做的網(wǎng)絡(luò)安全中的一部分。這個(gè)方案在很長(zhǎng)的一段時(shí)間應(yīng)用都沒有問題，但隨著用戶水平的提高，有以下問題：

（1）一些用戶發(fā)現(xiàn)，即使不加入到域，而在IE 瀏覽器中指定代理服務(wù)器的地址（ISA Server的地址）與防火墻的端口，也能上網(wǎng)。

（2）在使用代理服務(wù)器后，除了要在IE 中指定代理服務(wù)器的地址、端口外（這個(gè)是由ISA Server 防火墻客戶端自動(dòng)設(shè)置好的），其他的一些軟件，也需要指定代理服務(wù)器與端口，這樣就造成了用戶的負(fù)擔(dān)。雖然可以在ISA Server 中設(shè)置策略（排除對(duì)HTTP 之外協(xié)議的身份認(rèn)證－創(chuàng)建策略，允許“所有用戶”從“內(nèi)部”到“外部”使用除HTTP 協(xié)議之外的所有協(xié)議），但這樣一來(lái)又與我們的初衷不相符合（只有域用戶或只有認(rèn)證用戶才能上網(wǎng)）

1 實(shí)驗(yàn)拓?fù)?/p>

為了解決這兩個(gè)問題，我搭建了圖1的實(shí)驗(yàn)環(huán)境，并實(shí)驗(yàn)成功（由于現(xiàn)在許多單位的網(wǎng)絡(luò)已經(jīng)升級(jí)到Windows Server 2008與Forefront TMG 2010，本實(shí)驗(yàn)用TMG 2010，ISA Server 與此配置相同）?，F(xiàn)簡(jiǎn)單介紹一下。

圖1 實(shí)驗(yàn)拓?fù)?/p>

在圖1中，有兩臺(tái)Windows Server 2008，其中一臺(tái)作Active Directory 服務(wù)器，計(jì)算機(jī)名稱為ad ，域名為msft.com ，IP 地址為192.168.1.2，網(wǎng)關(guān)為192.168.1.1，DNS 為192.168.1.2；另一臺(tái)計(jì)算機(jī)安裝Windows Server 2008 X64（或Windows Server 2008 R2），加入到msft.com 域，其中內(nèi)網(wǎng)IP 地址為192.168.1.1，外網(wǎng)IP 地址為192.168.88.100（用路由器連接到Internet ，這是路由器的“內(nèi)網(wǎng)”地址），DNS 為192.168.1.2。另外，在ad.msft.com 計(jì)算機(jī)中安裝并配置了DHCP 服務(wù)器，為網(wǎng)絡(luò)中的工作站分配IP 地址等參數(shù)。網(wǎng)絡(luò)中有兩臺(tái)工作站，分別安裝Windows XP與Windows 7，這兩臺(tái)計(jì)算機(jī)都加入到域。

2 服務(wù)器配置

實(shí)驗(yàn)的主要步驟如下：

（1）在192.168.1.2的計(jì)算機(jī)中，安裝并配置DHCP 服務(wù)器，設(shè)置作用域的地址范圍為192.168.1.100～192.168.1.120，子網(wǎng)掩碼為255.255.255.0，設(shè)置作用域的網(wǎng)關(guān)地址為192.168.1.1，DNS 為192.168.1.2。同時(shí)添加“選項(xiàng)名”為“WPAD ”、值為“http://tmg2010.msft.com:80/wpad.dat”的選項(xiàng)，如圖2所示。這是為DHCP 的客戶端自動(dòng)指派Forefront TMG防火墻服務(wù)器的配置。

圖2 配置DHCP

（2）在Forefront TMG 2010的管理控制臺(tái)中，在“網(wǎng)絡(luò)連接”中，雙擊右側(cè)的“內(nèi)部”，在“web 代理”選項(xiàng)卡中，取消“為此網(wǎng)絡(luò)啟用web 代理客戶端連接”的選擇，如圖3所示。

圖3 取消Web 代理客戶端連接

【說(shuō)明】禁用Web 代理客戶端后，用戶再手動(dòng)設(shè)置“ISA Server或Forefront TMG做代理”將不起作用，因?yàn)镕orefront TMG代理服務(wù)器沒有啟用。

（3）在“Forefront TMG客戶端”選項(xiàng)卡中，選中“啟用此網(wǎng)絡(luò)的Forefront TMG客戶端支持”，并且指定Forefront TMG的名稱，在本例中為“tmg2010.msft.com ”，然后取消“自動(dòng)檢測(cè)設(shè)置”、“使用自動(dòng)配置腳本”、“使用Web 代理服務(wù)器”的選擇，如圖4所示。

圖4 啟用Forefront TMG客戶端支持

（4）然后返回到“防火墻策略”，創(chuàng)建訪問規(guī)則，允許“msft ”用戶以“所有協(xié)議”從“內(nèi)部”訪問“外部”，如圖5所示。

圖5 創(chuàng)建訪問規(guī)則

其中“msft ”是在Forefront TMG中創(chuàng)建的“用戶集”，代表“msft.com 整個(gè)域”中的“domain users”用戶組（表示域中所有用戶），如圖6所示。

圖6 添加域用戶集

（5）然后應(yīng)用策略即可。

3 工作站驗(yàn)證

接下來(lái)在Windows XP與Windows 7計(jì)算機(jī)上進(jìn)行設(shè)置。主要步驟如下：

（1）在Windows XP 與Windows 7中，分別設(shè)置為“自動(dòng)獲取IP 地址與DNS 地址”，然后加入到域并以域用戶登錄，安裝Forefront TMG的防火墻客戶端，安裝完成之后，進(jìn)入“Forefront TMG客戶端”配置，在“設(shè)置”選項(xiàng)卡中，選中“啟用Forefront TMG客戶端”并選中“自動(dòng)檢測(cè)到的Forefront TMG”，將會(huì)檢測(cè)到Forefront TMG服務(wù)器的地址，在本例中為tmg2010.msft.com ，如圖7所示。

圖7 安裝Forefront TMG客戶端并檢查配置