Главная > ForeFront Threat Management Gateway > Развертывание клиента Forefront Threat Management Gateway 2010

Развертывание клиента Forefront Threat Management Gateway 2010


TMG2010

В этом посте я продолжу рассказывать о процессе установки и настройки Microsoft Forefront Threat Management Gateway 2010 и, в частности, сегодня постараюсь описать процесс развертывания клиента Forefront TMG 2010 в защищенной им сети, а также процесс настройки автообнаружения параметров веб-прокси (параметров настройки нашего сервера Forefront TMG) в нашей тестовой сети клиентами.
Перед  тем  как  я  расскажу о том как организовать развертывание  клиента  Forefront TMG 2010 нам необходимо настроить    автоматическое обнаружение параметров нашего веб-прокси во внутренней сети на основе протокола WPAD,  что обеспечит автоматическое получение параметров конфигурации веб-браузерами клиентских компьютеров и настроек клиентами Forefront TMG 2010. В Forefront TMG для осуществления автоматического обнаружения используется сценарий автоматической настройки или WPAD-запись в Active Directory, DNS или DHCP. Forefront TMG 2010 может действовать от имени WPAD-сервера для клиентов веб-прокси.

Для начала включим автоматическое обнаружение на интерфейсе нашей внутренней сети в Forefront TMG 2010. Для этого в консоли управления TMG 2010 заходим в раздел Networking, выбираем внутреннюю сеть (Internal)  и нажимаем Properties. После чего переходим на вкладку Auto Discovery, где мы должны включить автоматическое обнаружение и указать порт для приема запросов на получение файлов настроек браузера от клиентов.  По умолчанию Forefront TMG публикует информацию об автоматическом обнаружении на порте 8080. При использовании записи WPAD в DNS публикация должна осуществляться на порте 80. Записи WPAD в DHCP могут использовать любой порт.  Так как я в дальнейшем объясню процесс создания записи WPAD в DNS и в DHCP, то я буду использовать порт 80.

forefront-tmg-2010-02-26-21-07-25

Ставим галочку напротив “” , нажимаем ОК и применяем выбранные настройки (Apply):

forefront-tmg-2010-02-22-21-52-13

После успешного применения настроек щелкаем ОК :

forefront-tmg-2010-02-22-21-52-28 

На этом настройка автоматического обнаружения со стороны Forefront TMG 2010 окончена.

Далее необходимо обеспечить, чтобы клиентский браузер смог получить url-адрес нашего WPAD-сервера используя запись DHCP-сервера или DNS-сервера. URL-адрес WPAD используется для поиска файла конфигурации, используемого для настройки параметров клиента веб-прокси.

Для того, чтобы клиентский браузер смог найти сервер WPAD используя DHCP мы должны позаботится о создании соответствующей записи на сервере DHCP, а также думаю всем понятно, что в сети должен быть “поднят” сервер DHCP и клиентские машины должны быть клиентами DHCP, т.е. должны получать IP-адреса от  DHCP-сервера. 

Процесс создания записи WPAD на сервере DHCP выглядит следующим образом: открываем консоль DHCP из меню Administrative Tools (Администрирование)

forefront-tmg-2010-02-22-21-52-36 
и выбираем название нашего сервера DHCP в левой части консоли. Раскрываем список протоколов и выбираем IPv4. Щелкаем правой кнопкой мыши и выбираем команду Set Predefined Options (задать предопределенные настройки) :

dc-test-2010-02-22-22-34-51
В диалоговом окне Predefined Options and Values (предопределенные параметры и значения), нажимаем кнопку Add (добавить) и заполняем следующие параметры:

  • Имя (Name) : WPAD
  • Тип данных (Data type) : String
  • Код (Code) : 252
  • Описание (Description): например, wpad forefront 2010

dc-test-2010-02-22-22-37-02

Для   подтверждения  щелкаем  ОК  и  вводим  URL-адрес брандмауэра  в  качестве  значение  нашей  записи  WPAD в поле Value : http://gateway:80/wpad.dat
В строке Value : gateway – это имя нашего сервера Forefront TMG 2010, 80 – номер порта, который мы настраивали для приема запросов на получение файлов настроек браузера от клиентов (см. выше).

dc-test-2010-02-22-22-37-25
Подтверждаем наши настройки, щелкаем ОК.
Далее необходимо включить на сервере DHCP параметр WPAD с кодом 252 для области. Для этого открываем параметры IPv4 в левом окне консоли, находим  Scope Options (параметры области)  и щелкаем на них правой кнопкой мыши.  Выбираем команду Configure Options (настройка параметров). В диалоговом окне Scope Options (параметры области) в списоке Available Options (доступные параметры) необходимо найти и поставьте галочку в поле 252 wpad. Нажмите на кнопку Apply (применить), а затем на кнопку OK. После этого в правой части консоли мы увидим, что параметр WPAD включен :
 dc-test-2010-02-22-22-40-25 

На этом процесс создания записи WPAD на сервере DHCP для автоматического обнаружения завершен.
Клиентский браузер или клиентский брандмауэр также может найти сервер WPAD используя запрос к серверу DNS. Приступим к созданию записи WPAD на сервере DNS:  заходим в консоль управления сервером DNS из меню Administrative Tools (Администрирование)

dc-test-2010-02-22-22-42-31

Перед тем как создавать запись WPAD на сервере DNS необходимо чтобы на сервере DNS была предварительно создана запись узла Host (A) для WPAD-сервера.  Согласно рекомендациям Microsoft, необходимо зарезервировать статическое имя DNS узла для WPAD-сервера, как описано в статье Майкрософт 934864: Настройка служб Microsoft DNS и WINS для резервирования регистрации WPAD. Далее необходимо создать непосредственно запись псевдонима (CNAME) для указания на запись существующего узла – нашего сервера WPAD.

На DNS-сервере в дереве консоли щелкните правой кнопкой на зону прямого просмотра домена и затем щелкните New alias name (cоздать псевдоним) CNAME :

dc-test-2010-02-22-22-43-44 
В диалоговом окне New resource record вводим :

  1. В поле Alias Name (имя псевдонима) введите WPAD

  2. В поле Fully qualified domain name (полное имя конечного узла) введите полное доменное имя WPAD-сервера. Если на компьютере или массиве Forefront TMG уже определена запись узла (запись А), нажмите кнопку Обзор и найдите в пространстве имен DNS имя сервера Forefront TMG.

dc-test-2010-02-22-22-44-16щелкаем ОК для выбора,
dc-test-2010-02-22-22-44-21
И еще раз ОК для создания CNAME записи.:

dc-test-2010-02-22-22-46-07 
Из скриншота видно, что мы успешно создали запись CNAME для обнаружения нашего WPAD-сервера. Исходя из логики все что нужно сделано, но как оказывается, этого недостаточно для успешного обнаружения WPAD-сервера в сети используя DNS.  Роль DNS Server в системе Windows Server 2008 предусматривает глобальный список блокировки запросов, позволяющий уменьшить уязвимость системы, связанную с динамическими обновлениями DNS. Если настройка или удаление WPAD происходит после развертывания роли сервера DNS на сервере Windows Server 2008, необходимо обновить список блокировки на всех DNS-серверах, где находятся области регистрации серверов WPAD, т.е. необходимо удалить WPAD из черного списка DNS. Эта процедура  выполняется в командной строке с использованием известной утилиты командной строки dnscmd :

Для начала просмотрим включена блокировка глобальных запросов  или нет:   для этого откроем командную строку и выполним команду:

dnscmd /info /enableglobalqueryblocklist

dc-test-2010-02-26-21-19-51

Результатом работы этого запроса может быть значение 1, если блокировка глобальных запросов включена и 0 – в противном случае.  Просмотрим черный список :

dnscmd /info /globalqueryblocklist

dc-test-2010-02-26-21-27-18 

Как видно из результата выполнения команды wpad включен в черный список запросов.  Отключим блокировку глобальных запросов выполнив следующую команду: 

dnscmd /config /enableglobalqueryblocklist 0

dc-test-2010-02-26-21-31-36 

Таким образом процесс создания записи WPAD на сервере DNS для автоматического обнаружения завершен. Как вы могли заметить настройка в некотором смысле не всегда тривиальна и необходимо иногда “поизвращаться” для того, чтобы все корректно настроить, :)

Ну а теперь я расскажу о новшестве - Microsoft Forefront TMG 2010 предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. Forefront TMG 2010 клиент посредством протокола LDAP может использовать маркер (AD Marker) в Active Directory для поиска соответствующего TMG сервера в сети. 

Для создании конфигурации  маркера АD Marker в Active Directory используется специальный инструмент TMG AD Config. Этот  инструмент входит в состав Microsoft® Forefront Threat Management Gateway (TMG) Beta 3 Tools & Software Development Kit, а точнее в состав пакета

AdConfigPack.EXE и который можно скачать в центре загрузки Microsoft по этой ссылке.

Скачиваем AdConfigPack.EXE и запускаем его на сервере Forefront TMG 2010:

forefront-tmg-2010-02-22-22-59-48

принимаем условия лицензионного соглашения :

forefront-tmg-2010-02-22-22-59-55 
Пару секунд и все установлено :

forefront-tmg-2010-02-22-23-00-02
После установки запускаем командную строку и переходим в папку с установленным инструментом :

forefront-tmg-2010-02-22-23-05-20
Далее посмотрим синтаксис этой тулы :

forefront-tmg-2010-02-22-23-07-37
Согласно синтаксиса создаем маркер AD Marker в Active Directory следующей командой :

TMGAdConfig.exe add –default –type winsock –url http://gateway.test.loc:80/wspad.dat

где gateway.test.loc – FQDN нашего сервера Forefront TMG 2010, 80 —  номер порта на котором Forefront TMG публикует информацию об автоматическом обнаружении.

forefront-tmg-2010-02-22-23-39-43
AD маркер в Active Directory  можно также удалять используя эту же тулу, если Вы решите не использовать поддержку AD Marker. Вот и все готово. 

После всего рассказанного я могу сказать, что все подготовительные мероприятия проведены и можно рассказать как  автоматически установить клиенты Forefront TMG 2010 на клиентские компьютеры. 

Для централизованного развертывания программного обеспечения клиента Forefront TMG на клиентских компьютерах в сети можно использовать один из трех нижеприведенных методов распространения:

  • Сценарий  входа  —  сценарий  входа  проверяет,  установлено  ли   на  компьютере  программное  обеспечение   клиента  Forefront TMG.  Если  оно  не установлено, сценарий входа устанавливает его из сетевой папки. Вошедший пользователь должен быть членом группы "Администраторы" на компьютере.
  • Групповая политика  —  групповая  политика  используется  для установки программного обеспечения клиента Forefront TMG для каждого пользователя (когда пользователь осуществляет вход) или на каждый компьютер. 
  • Microsoft Systems Center Configuration Manager 2007
В данной статье я расскажу о втором методе распространения клиента Forefront TMG 2010, а именно — распространение с использованием групповой политики. О третьем методе я напишу отдельный пост.

Независимо от метода распространения клиента Forefront нам необходимо положить на сетевой ресурс сам инсталляционный пакет клиента Forefront TMG 2010, который будет устанавливаться на клиентские компьютеры и дать доступ на чтение всем пользователям домена:

1. Создаем общий сетевой ресурс TMG_Client_Setup и копируем сюда с инсталляционного диска сам файл клиента Forefront TMG 2010: MS_FWC.MSI

dc-test-2010-02-23-00-13-52

2.  Устанавливаем права на чтение всем пользователям домена:

dc-test-2010-02-23-00-13-33
dc-test-2010-02-23-00-13-40


3.   Далее на контроллере домена заходим в редактор групповых политик и создаем новый объект групповой политики, например TMG_Client_Deploy,  с привязкой к тому Organization Unit (OU), где находятся пользователи, которым необходимо установить клиент Forefront TMG 2010:

dc-test-2010-02-23-00-11-02

4.

Теперь отредактируем созданный объект  групповой политики TMG_Client_Deploy :

dc-test-2010-02-23-00-11-36

кликаем правой кнопкой мыши и нажимаем Edit :

dc-test-2010-02-23-00-11-52

5.  В левой части консоли раскрываем  User Configuration – Policies – Software Settings – Software installation :

dc-test-2010-02-23-00-12-09

и создаем новый пакет установки :

dc-test-2010-02-23-00-12-30

указываем путь к созданному ранее сетевому ресурсу, на котором лежит файл клиента Forefront TMG 2010:

dc-test-2010-02-23-00-14-44

выбираем тип развертывания :  Assigned – при этом типе развертывания установка клиента Forefront TMG 2010 будет произведена автоматически при входе пользователя в домен

dc-test-2010-02-23-00-14-50

  Далее обязательно ставим “галочку”  напротив Install this application at logon, чтобы процесс установки клиента Forefront TMG был выполнен автоматически при входе клиента в домен:

dc-test-2010-02-23-00-15-08

Для сохранения всех выполненных нами действий нажимаем финишный ОК:

dc-test-2010-02-23-00-15-40

6. Принудительно обновим политику домена:

dc-test-2010-02-23-00-16-04
dc-test-2010-02-23-00-16-07
dc-test-2010-02-23-00-16-16

На этом окончен процесс  создания групповой политики для автоматического распространения клиента Microsoft Forefront TMG 2010 по сети.  Проверим как применяется созданная политика на примере одного пользователя :

Windows 7 x64-2010-02-23-00-17-57

 Windows 7 x64-2010-02-23-00-19-19

Как только пользователь залогинился  клиент Forefront TMG 2010 автоматически установился :
 
Windows 7 x64-2010-02-23-00-19-48

и получил настройки от сервера TMG :

 Windows 7 x64-2010-02-23-00-20-11
и автоматически сконфигурировал веб-браузер:

Windows 7 x64-2010-02-23-00-25-16
В завершении всего выше сказанного хочу подвести итоги : в этом посте я продолжил знакомство с новым продуктом Microsoft для для обеспечения безопасности внутренней сети предприятия, а также обеспечивающего защиту внешнего периметра  корпоративной сети  от внешних угроз. В посте я постарался максимально подробно рассказать о настройке автоматического обнаружения параметров веб-браузеров клиентских компьютеров и настройках клиентов Forefront TMG 2010, описан процесс распространения клиента  Forefront TMG 2010 на компьютеры пользователей с использованием групповых политик. Я надеюсь, что мой пост поможет Вам.

Реклама
  1. 17.06.2014 в 09:58

    Спасибо, за пост! У меня вопрос, подхватить ли браузер настройки wpad без установленного forefront клиента ? Достаточно ли будет если будет настроены dhcp, dns, и автобноружение на самом tmg сервере ?

  2. MrBero
    04.07.2014 в 11:01

    nastoril wpad na DHCP server, u klientov iest internet no u nix vsio eto bez kakinibo agranichenee, toist kak u menia v TMG iest pravila u kago doljen bit prava na multimedia saitov i tak dalee.. poslie etova kak ia nastoril WPAD na DHCL u vsex iest internet bez ogranichenii.. mojna eto kaknibut peredelat chtob vse domain useri vziali internet kak im nastorin v TMG?

  1. No trackbacks yet.

Добавить комментарий

Please log in using one of these methods to post your comment:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: