ForeFront TMG 企业版安装指南



Forefront TMG 企业版和标准版相比，主要增加了以下功能：

• 支持超过4个CPU；

• 支持企业级和阵列管理；

• 支持网络负载均衡；

• 支持缓存阵列路由协议（CARP）；

• 支持与Stirling的支持，实现自动化的安全联动响应处理；

另外，TMG 标准版可以通过企业版的序列号升级为企业版，但是不能将 TMG 企业版逆向降级为 TMG 标准版。

Forefront TMG 企业版在组件方面进行了修改。目前企业版的组件分为完全独立的企业管理服务器和防火墙服务两部分，但是安装防火墙服务时，会伴随安装一个配置存储服务。企业管理服务器不能和防火墙服务安装在一台服务器上，而随防火墙服务安装的配置存储服务本身可以作为单阵列的配置存储服务器使用。因此如果你需要同时管理多个阵列，则需要单独部署一台服务器作为企业管理服务器来作为集中管理的服务器；如果只是管理单个阵列，则无需额外部署企业管理服务器，而是把其中的一台 TMG 服务器的防火墙服务作为阵列管理服务器，然后把其他的服务器均加入到这台阵列管理服务器的配置存储服务即可。

TMG 企业版的配置存储仍然采用 ADAM 数据库，因此安装部署方式和ISA Server 2004/2006企业版完全一致。当阵列中包括多台 Forefront TMG 服务器时，服务器之间的访问就会涉及到身份验证的问题。如果在服务器之间具有信任关系（例如均加入到相同的活动目录域），则可以通过活动目录实现计算机身份验证，部署起来非常容易；但是如果服务器之间不具有信任关系（例如位于工作组环境），那么就必须通过证书来实现相互之间的身份验证，并且配置阵列管理通讯时使用的镜像账户。关于更详细的信息，可以参考ISA Server 2004企业版Beta安装指南一文。
　

　

系统及网络需求

安装 Forefront 企业版的系统硬件需要和标准版一致，您需要满足以下要求：

• CPU：必须是 x64（AMD 64） 架构的 CPU；

• 内存：至少1 GB；

• 硬盘空间：2.5 GB，不含 Web 缓存及临时文件所使用的磁盘空间； 缓存需要存放在NTFS分区上；

• 操作系统：ForeFront TMG 只支持在 Windows Server 2008 或者 Windows Server 2008 R2 的x64 版本上进行安装；TMG 不支持任何32位操作系统，以及非 Windows Server 2008/2008 R2 x64 版本的其他64位操作系统；

• 网络适配器： 至少需要一个网络适配器，并且必须为连接到 TMG 服务器的每个网络单独准备一个网络适配器。具体可以参考理解ISA Server 2004中的网络一文；

• DNS服务器：TMG 不具备转发DNS请求的功能，必须使用额外的DNS服务器，或安装DNS服务器角色。如果企业内部网络中具有域控制器，应配置使用域控制器作为 TMG 的DNS服务器；如果没有内部的DNS服务器，应配置使用ISP（Internet）的DNS服务器。

• 网络连接：在安装TMG服务器以前，应保证 TMG 服务器与任何一个连接到的网络均通讯正常，这样便于故障排错；

• 域成员关系： TMG 服务器可以位于工作组环境或者域环境。无论是在安装 TMG 之前或者之后，你均可以将 TMG 服务器加入域或者退出域。但是建议在安装 TMG 之前进行域成员关系操作。

在安装 TMG 之前，你需要在服务器上安装以下 Windows 系统组件和应用：

• Network Policy Server

• Routing and Remote Access Services

• Active Directory Lightweight Directory Services Tools

• Network Load Balancing Tools

• Windows PowerShell

• Microsoft .NET Framework 3.5 SP1

• Windows Web Services API

• Windows Update

• Microsoft Windows Installer 4.5

因此，为了便于安装，TMG 自带了一个系统准备工具，可以帮你检查安装 TMG 所需要的组件是否符合，如果不符合则会自动安装所需组件。

安装 TMG 服务器

在此我将演示如何安装一个由两台服务器组成的单 Forefront TMG 阵列。该阵列并未部署企业管理服务器，而是使用其中一台服务器（TMGEE1）作为阵列管理服务器实现集中管理。

本实验环境下的网络拓扑架构如下图所示：

 

　

两台 Forefront TMG 服务器的TCP/IP设置如下：

TMGEE1

External Interface：

• IP：61.139.2.21/24

• DG：61.139.2.1

• DNS:None

Internal Interface：

• IP：10.1.1.21/24

• DG：None

• DNS:10.1.1.8

TMGEE2

External Interface：

• IP：61.139.2.22/24

• DG：61.139.2.1

• DNS:None

Internal Interface：

• IP：10.1.1.22/24

• DG：None

• DNS:10.1.1.8

　

接下来我们开始安装 TMG。

在光盘的自动运行界面（或直接运行autorun.exe）上，首先点击 Run Preparation tool来运行系统准备工具，从而检查安装TMG所需要的系统组件是否已经全部安装完成，如果没有安装则会自动进行安装，如下图所示：

然后在欢迎页点击下一步；

在许可协议页，选择接受协议许可，点击下一步；

在安装类型页，选择你将运行的安装类型，在此选择Forefront TMG Services和管理工具，然后点击下一步；

此时系统准备工具将根据你的选择检查所需系统组件是否安装，并自动安装缺失的系统组件，系统准备完成后，选择运行Forefront TMG 安装向导，然后点击完成；

　

此时即运行 TMG 企业版安装向导。在欢迎向导页，点击下一步；

首先在协议许可页选择接受许可协议，然后点击下一步；

在用户信息页面上点击下一步；

在安装路径页，接受默认的安装路径，然后点击下一步；

在内部网络定义页， 点击添加按钮来添加默认的内部网络地址范围。在 TMG 中，默认的内部网络定义为 TMG 必须进行通讯的可信任网络，TMG 的系统策略会自动允许 TMG 和默认内部网络之间的部分通讯。

　

在弹出的地址对话框中，你可以通过网络适配器自动添加地址范围、手动添加地址范围或者添加私有IP地址范围。在此建议你通过网络适配器添加，原因请参考理解ISA Server 2004中的网络一文。点击添加适配器；然后在弹出的选择网络适配器对话框，选择对应的内部网络接口，然后点击确定；

然后在地址对话框上点击确定；

然后在内部网络页点击下一步；

在服务警告页，提醒你有部分服务将会在TMG安装过程中重启或禁用，点击下一步；

在准备安装程序页，点击安装；

TMG 会依次安装核心组件与其他服务。等待片刻后，TMG 完成安装，选择向导关闭时运行 Forefront TMG 管理控制台，点击完成按钮。

 

完成 TMG 的初始配置

　

这和标准版一致，当你第一次运行 TMG 企业版的管理控制台时，TMG 会调用初始配置向导帮助你进行 TMG 的配置，如下图所示。

初始配置向导把 TMG 安装后需要做的初始操作集成在一起，从而便于你进行 TMG 的配置。首先点击配置网络设置链接；

在欢迎使用网络设置向导页，点击下一步；

在网络模板选择页，根据你的企业环境选择对应的网络架构模板，具体可以参考使用ISA Server 2004 网络模板来自动建立访问策略：边缘防火墙模板一文；在此我选择和实验网络环境对应的边缘防火墙模板，点击下一步；

在本地局域网络设置页，选择连接到内部网络的网络适配器。如果你的企业内部网络中具有多个子网、VLAN或路由关系，则可以在下面指定额外路由中添加到对应子网的路由。这是一个非常人性化的改进，从而避免在复杂网络下的配置问题。具体可以参考How to：在存在多条路由的内部网络中配置ISA Server 2004一文。配置完成后点击下一步；
　

在Internet设置页，选择连接到Internet的对应网络适配器，点击下一步；

在完成网络设置向导页，点击完成；此时 TMG 的网络设置就完成了。

　

接下来，我们进行 TMG 服务器的系统设置。在初始配置向导页，点击配置系统设置链接；

在欢迎使用系统设置向导页，点击下一步；

在主机标识页，根据你的网络环境来决定 TMG 主机是否需要加入到域。在此为了演示需要，这两台TMG服务器均为加入到活动目录。如果需要可以在本页面进行修改，但是你对计算机名称、域成员关系的修改将导致服务器立即重启，完成配置后点击下一步；

在完成系统设置向导页，点击完成；此时 TMG 的系统设置就完成了。

接下来，我们进行 TMG 服务器的策略设置。在初始配置向导页，点击定义部署选项链接；

在欢迎使用部署向导页，点击下一步；

在 Microsoft Update 设置页，配置是否通过 Microsoft Update 来更新非法软件定义。选择使用 Microsoft Update 服务来检查更新，点击下一步；

在 Forefront TMG 保护特性设置页，在NIS框中配置是否启用NIS网络识别系统（NIS是一款功能非常强大的网络入侵检测系统，因此强烈建议启用，不过是需要购买额外的License的），选择激活补充许可并启用NIS；然后在Web保护框，配置是否启用Web访问保护（和NIS一样，也是需要额外购买License的），选择激活评估授权并启用Web保护，然后选择 Web 保护功能中的启用非法软件识别与启用URL过滤（关于这两项功能的具体设置以后再专文进行说明），再点击下一步；

在NIS 特征码更新设置页，配置如何进行特征码的定义更新，在自动定义更新操作栏，选择检查并安装更新，然后在自动更新检测频率栏，选择对应的设置后点击下一步；

在用户反馈页，根据你的需求（是否提交用户反馈给微软），选择对应选项后点击下一步；

在微软遥测服务页，根据你的需求（是否参加微软的安全遥测报告服务），选择对应选项后点击下一步；

最后在正在完成配置向导页，点击完成；

在初始配置向导对话框上点击关闭，默认情况下会运行 Web 访问向导。

在欢迎使用 Web 访问策略向导页，点击下一步；

在 Web 访问策略规则页，选择是否创建一条默认Web访问规则来禁止针对特定非法URL类别地址的访问，如果选择YES，则会自动创建一条拒绝访问非法URL地址类别的访问规则。如果你不熟悉URL类别这项新功能，建议选择No，然后点击下一步；

在受限制的Web目的地页，如果你需要限制到某些 Web 目的地的访问，则可以点击添加按钮来添加，在此我直接点击下一步；

在非法软件识别设置页，选择是，检查来自Internet的Web内容请求，从而为创建的 Web 访问规则启用非法软件扫描，如果选择阻止加密压缩文件，则将会禁止访问加密压缩文件，因为TMG不能对加密压缩文件进行解压扫描，然后点击下一步；

在 HTTPS 识别设置页，为了避免潜在的用户访问错误问题，建议在此选择允许用户建立到Web站点的HTTPS连接，然后选择不识别HTTPS流量并且不验证HTTPS站点证书。允许所有HTTPS通讯，这样可以不对HTTPS通讯进行任何限制。关于 HTTPS 识别功能，请参考Forefront TMG 新特性之 HTTPS 扫描一文。

　

在 Web 缓存配置页，默认情况下，启用Web缓存选项是勾选的，但是我们需要定义缓存驱动器，否则缓存将不会启用。点击缓存驱动器按钮，然后在弹出的定义缓存驱动器对话框，选择对应的驱动器，然后在最大缓存大小（MB）栏，输入对应的缓存空间大小，然后点击设置按钮，完成后点击确定（缓存大小的设置基本上取决于该物理磁盘的读写性能，如果磁盘读写性能高，则你可以设置较大的磁盘缓存（>30GB））；然后在缓存驱动器页，点击确定；再在 Web 缓存配置页，点击下一步；

最后在正在完成 Web 访问策略向导页，点击完成；

　

此时，我们的初始配置基本就完成了。然后你需要在 TMG 控制台中点击应用按钮，你所做的配置才会应用到 TMG 服务器 ，点击TMG管理控制台中的应用按钮，在弹出的警告提示框中，选择保存修改并重启服务，再点击确定。

部署企业版阵列

上述 TMG 企业版服务器（TMGEE1）安装过程和标准版完全一致。然后，我们需要使用相同的方式在另外一台服务器（TMGEE2）上安装 TMG 企业版服务器。当两台 TMG 企业版服务器均安装完毕后，我们将把 TMGEE1 作为阵列管理服务器，然后把 TMGEE2 加入到 TMGEE1 的配置存储服务进行管理。

如前文所述，如果在所有的服务器之间具有信任关系（例如均加入到相同的活动目录域），则可以通过活动目录实现计算机身份验证，部署起来非常容易；但是如果所有服务器之间不具有信任关系（例如位于工作组环境），那么就必须通过证书来实现相互之间的身份验证，并且配置阵列管理通讯时使用的镜像账户。

导入服务器证书及创建镜像账户（如果服务器之间具有信任关系，可以跳过此节）

在我的实验环境中，TMG 服务器均位于工作组环境，因此我首先需要在 TMGEE1 上导入服务器证书，然后配置 TMGEE2 信任该服务器证书。

首先，我需要从证书服务器上为 TMGEE1 颁发一个服务器身份验证证书（使用默认的 Web服务器证书模板即可），如下图所示，证书的公用名需要与服务器名称一致，

然后将该证书文件导出为私钥文件，关于证书导入导出的相关操作，请参考导入和导出证书一文。

在 TMGEE1 上打开 TMG 管理控制台，然后在左边的节点中选择系统，在右边的任务面板中选择安装服务器证书，

在弹出的安装服务器证书对话框上，点击浏览选择导出的证书私钥文件，输入对应的私钥密码，如果导出的私钥文件中包括CA根证书，则可以选择底部的自动在该阵列管理服务器上创建CA根证书，然后点击确定；

然后在另外一台服务器 TMGEE2 上，将颁发该服务器证书的CA根证书导入到计算机的本地受信任的根证书机构存储中，如下图所示，此时，证书导入的相关工作已经完成。

另外，为了实现阵列服务器之间的连接和管理，你需要在两台服务器上创建相同名称、相同密码的本地镜像账户，而且该镜像账户最好加入到本地管理员组。

加入 TMG 阵列

接下来，我们需要把 TMGEE2 加入到 TMGEE1 的阵列中。由于是工作组环境，为了确保两台服务器之间的计算机名称解析正常，我将对方的计算机名称和IP地址分别添加到这两台服务器的HOSTS文件中，如下图所示：

　

然后，将 TMGEE2 的IP 地址添加到 TMGEE1 的阵列服务器计算机集中，这样 TMGEE2 才能访问 TMGEE1 的配置存储服务，如下图所示，修改之后，记得应用配置并等待同步完成！

　

然后，在 TMGEE2 上打开 TMG 管理控制台，在左边的节点上选择服务器名称，然后在右边的任务面板中点击加入阵列；

在弹出的欢迎使用 Forefront TMG 阵列加入向导页，点击下一步；

在阵列成员关系类型页，选择加入阵列管理服务器所管理的独立阵列，点击下一步；

在阵列管理服务器细节页，输入阵列管理服务器 TMGEE1 的名称，如果当前登录的用户是镜像账户，则可以使用当前登录用户，否则输入镜像账户的用户名和密码，然后点击下一步；

在根CA证书页，由于我们在前面已经导入了根CA证书，因此，选择已经安装企业根CA证书，然后点击下一步；

在正在完成阵列加入向导页，点击完成，

等待片刻后，阵列加入操作成功完成，如下图所示，点击确定。

　

配置镜像账户（如果服务器之间具有信任关系，可以跳过此节）

最后，为了实现阵列间的监控，我们需要手动配置镜像账户。在 TMGEE1 上的 TMG 管理控制台上右击服务器名称，选择属性；然后在弹出的属性对话框中，点击阵列内部凭据标签，选择使用下列账户，然后点击设置账户按钮，

然后在弹出的设置账户对话框上，输入对应的用户名并确认密码，点击确定；

最后点击确定，然后点击应用按钮保存设置并同步配置；

　

　

监控

当 TMG 阵列部署完成后，你可以在系统节点中查看当前 TMG 阵列的工作状态，如下图所示：

作者：风间子