為TMG配置AD發現

■ 河北 李林茹 王春海

Forefront TMG提供了一個在TMG服務器端自動檢測客戶端的新功能。同先前版本的防火墻客戶端不同，TMG客戶端可以使用活動目錄中的一個標記查找相應的TMG服務器。在活動目錄中，TMG客戶端使用輕量目錄訪問協 議（LDAP，Lightweight Directory Access Protocol)查找所需的信息。在安裝Forefront TMG客戶端之后，在“設置”選項卡中，可以查看Forefront TMG的客戶端自動檢測到Forefront TMG服務器的兩種方法：“使用Active Directory（推薦）”和“使用其他基于DHCP和DNS的自動檢測方法”（如圖1）。

說明：在Active Directory的網絡中（即工作站加入Active Directory），如果 TMG 客戶端不能查找到活動目錄標記，出于安全考慮，也不會通過DHCP和DNS進行自動檢測。這樣做是為了減少攻擊者將系統強行恢復到一個不安全狀態的風險。如果建立了活動目錄連接而無法查找到活動目錄標記，TMG客戶端將自動切換到DHCP和DNS。

在TMG服務器上配置活動目錄標記

但是，在默認的情況下，Forefront TMG服務器并不會在Active Directory中自動配置這一功能，需要使用Microsoft提供的一個工具TmgAdConfig.exe進行配置。

本文介紹配置Active Directory標記的方法。

要配置活動目錄標記，可以從微軟下載中心下載TMG活動目錄配置工具AdConfigPack.EXE，然后在Forefront TMG 2010服務器計算機上安裝該軟件。該工具的安裝比較簡單，如圖2所示。

如 果 要 在 Active Directory中存儲標記密鑰，請在命令提示符下鍵入：

TmgAdConfig.exe add -default -type winsock -url [-f]

其中 ：service-url 項的格式應為 http://:8080/wspad.dat。

在這些命令中可以用到下列參數：

1.如 果 要 從 Active Directory刪除密鑰，請在命令行提示符處鍵入：

TmgAdConfig.exe del-default -type winsock

2.如果要配置特定站點的Active Directory標記，請使用-site命令行參數。

TmgAdConfig工 具 在Active Directory中創建以下注冊表項：

LDAP://Configuration/Services/Internet Gateway("Container") /Winsock Proxy("ServiceConnection Point")

密鑰的服務器綁定信息將設置為 。該密鑰將由Forefront TMG客戶端檢索，并將用于下載wspad配置文件。

下面通過具體的實例進行介紹。下載并安裝TmgAdConfig后，進入命令提示符，進入程序安裝位置，執行下列命令行進行注冊，如圖3所示。

在工作站上啟用Active Directory發現

在配置了Active Directory標記之后，在加入到域的工作站上，在安裝了Forefront TMG客戶端之后，即可以使用“Active Directory” 發 現TMG 2010服務器，如圖4所示。

如果不使用活動目錄標記支持，也可以使用TMG活動目錄配置工具清除該標記，命令格式為：

tmgadconfig del -default-type winsock

如圖5所示。

此時，你可以在DHCP服務器上，配置名為WPAD的Forefront TMG選項，如圖6所示。