Cấu hình Forefront TMG làm máy chủ DirectAccess pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (381.25 KB, 11 trang )
Cấu hình Forefront TMG làm máy chủ DirectAccess
C
h
i
a
s
ẻ
Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách
cấu hình Cấu hình Forefront TMG làm máy chủ DirectAccess.
Các bạn lưu ý hướng dẫn này sẽ chỉ giới thiệu các bư
ớc cần thiết
để cấu hình Forefront TMG làm máy chủ DirectAccess Server.
Việc cấu hình máy chủ DirectAccess hoàn toàn nằm bên ngoài
phạm vi của bài viết.
Một vấn đề quan trọng các bạn cần biết đó là Forefront TMG
không chấp nhận lưu lượng IPv6 hay cho phép nó đi thông qua,
vì vậy đầu tiên chúng ta phải thay đổi hành vi này trước khi
Forefront TMG được cài đặt để cho phép lưu lượng sau:
Lưu lượng IPv6 gửi vào đã được xác thực (sử dụng IPSec),
gồm có cả lưu lượng khởi tạo IPSec.
Các kỹ thuật chuyển lưu lượng IPv6 gửi vào và gửi ra
(6to4, Teredo, IP-HTTPS và ISATAP)
IPv6 nguyên bản từ máy Forefront TMG.
Thêm vào đó, Forefront TMG tích hợp với thành phần IPSec
Denial of Service Protection (DoSP) của
Windows DirectAccess
để bảo đảm rằng chỉ có lưu lượng IPSec được phép thông qua.
Chú ý:
Chúng ta cần cài đặt và cấu hình Windows Server 2008 R2
DirectAccess trước khi cài đặt Forefront TMG.
Đầu tiên chúng ta đi cài đặt giao diện quản lý Windows Server
2008 R2 DirectAccess như thể hiện trong hình bên dưới.
Hình 1: Cài đặt tính năng Windows Server 2008 R2
DirectAccess
Sau khi giao diện quản lý đã được cài đặt xong, khởi chạy giao
diện quản lý và cấu hình DirectAccess, sau đó test toàn bộ các
chức năng trước khi cài đặt Forefront TMG.
Hình 2: Giao diện quản lý DirectAccess
Sau khi thẩm định cài đặt và cấu hình DirectAccess thành công,
chúng ta phải thay đổi Registry với một key mới trước khi cài
đặt Forefront TMG. Key này nh
ằm tránh cho Forefront TMG vô
hiệu hóa sự hỗ trợ giao thức IPv6 trong quá trình cài đặt
Forefront TMG.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\
Stingray\Debug\ISACTRL]
"CTRL_SKIP_DISABLE_IPV6_PROTOCOLS"=dword:00
000001
Hình 3: Kịch bản kích hoạt sự hỗ trợ giao thức IPv6 cho
Forefront TMG
Sau khi Registry được thay đổi thành công, cài đặt Forefront
TMG theo cách bạn cài đặt máy chủ Forefront TMG thông
thường. Khi cài đặt Forefront TMG xong, chúng ta phải thay đ
ổi
cấu hình Forefront TMG bằng kịch bản cho phép hỗ trợ IPv6.
Copy đoạn mã dưới đây vào một file Notepad trắng và lưu lại
với đuôi .VBS.
set o = createobject("fpc.root")
setarr = o.Arrays.Item(1)
set policy = arr.ArrayPolicy
set IPV6Settings = policy.IPv6Settings
IPV6Settings.DirectAccessEnabled = vbTrue
arr.save
Hình 4: Lưu kịch bản dưới đuôi .VBS
Lưu kịch bản bằng đuôi .VBS và chạy nó từ dòng lệnh với lệnh
sau:
Cscript DA-Enable.VBS
Do cấu hình Forefront TMG thay đổi nên bạn sẽ phải chờ một
chút cho tới khi cấu hình được đồng bộ. Bạn sẽ thấy trạng thái
cấu hình trong giao diện quản lý của Forefront TMG như thể
hiện trong hình bên dưới.
Hình 5: Đợi cho quá trình đồng bộ hoàn tất
Kịch bản sẽ tạo ra bốn rule chính sách hệ thống mới để
DirectAccess hỗ trợ lưu lượng IPv6.
Hình 6: Một số chính sách hệ thống mới của Forefront TMG
Nút “Act as a Direct Access server”
Forefront TMG Beta và RC có tab IPv6 trong phần IP
preferences trong giao diện quản lý để cấu h
ình Forefront TMG
làm DirectAccess Server (xem thể hiện trong hình dưới).
Hình 7: Nút Act as a Direct Access Server
Tuy nhiên sau khi bản RTM được phát hành, tab IPv6 b
ị gỡ khỏi
giao diện điều khiển Forefront TMG.
Hình 8: Bạn sẽ thấy nút DirectAccess trong Forefront TMG
phiên bản Beta và RC
Ẩn các entry bản ghi IPv6
Forefront TMG có tùy chọn cho phép bạn ẩn lưu lượng IPv6 từ
tab Real-time monitoring. Do Forefront TMG không hỗ trợ
IPv6 nên đây là một tùy chọn dùng để ẩn các entry nhằm quan
sát dễ dàng hơn bên trong bản ghi TMG.
Hình 9: Ẩn các entry bản ghi IPv6
Nếu muốn có thêm nhiều chức năng và sự linh hoạt, bạn có thể
sử dụng Forefront UAG cho kịch bản DirectAccess của mình.
Sử dụng Forefront UAG sẽ có những ưu điểm dưới đây:
Dễ dàng mở rộng (cho phép 8 Forefront UAG Server được
join vào m
ột mảng )
Khả năng có sẵn cao (với Windows Server 2008 R2 NLB)
Truy cập vào các máy chủ cũ trong công ty qua IPv4
Dễ dàng cấu hình, triển khai và quản lý
Forefront UAG cài đặt Forefront TMG trên mỗi nút trong
suốt quá trình cài đặt
Giải pháp truy cập từ xa khác cho các máy không đư
ợc join
vào miền.
