Архив

Archive for the ‘ForeFront Threat Management Gateway’ Category

Вышел накопительный пакет обновлений 1 для Microsoft Forefront Threat Management Gateway 2010 SP2 – Rollup 1 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2


TMG2010

Выпущен первый накопительный  пакет обновлений (Rollup 1) для Microsoft Forefront Threat Management Gateway 2010 SP2 – межсетевого экрана с интегрированными сервисами, который позволяет защитить IТ-среду от угроз, поступающих через интернет, одновременно обеспечивая пользователям быстрый и безопасный удаленный доступ к приложениям и данным.

Rollup 1 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2 скачиваем  по этой ссылке с официального сайта Microsoft. Для получения пакета исправлений необходимо отправить запрос.  Данное накопительное обновление  исправляет следующие ошибки:

     KB number

Описание

2654016

FIX: A client may be unsuccessful in accessing a Java SSO application published to the web in a Threat Management Gateway 2010 environment

2653703

FIX: You receive an «Error: Subreport could not be shown» error message in the User Activity or Site Activity report in a Forefront Threat Management Gateway 2010 environment

2654585

FIX: UDP packets may become backlogged when you increase the «Maximum concurrent UDP sessions per IP address» setting in a Forefront Threat Management Gateway 2010 environment

2624178

FIX: Threat Management Gateway 2010 administrators may be unable to generate reports

2636183

FIX: Both sides of a TCP connection are closed when the client or remote application half-closes the TCP connection in a Forefront Threat Management Gateway 2010 environment

2653669

FIX: Summary information for the Top Overridden URLs table and for the Top Rule Override Users table display incorrect information in a Forefront Threat Management Gateway 2010 environment

2617060

Forefront TMG 2010 enables L2TP site-to-site connections in RRAS

2655951

FIX: Japanese characters in the subject line of an Alert email message are not readable in the Japanese version of Forefront Threat Management Gateway 2010

2654068

FIX: «The Web Listener is not configured to use SSL» warning message may occur when you configure a Web Listener to use a valid SSL certificate in a Forefront Threat Management Gateway 2010 environment

2654193

FIX: You receive a «Bad Request» error message when you try to access Outlook Web App in a Forefront Threat Management Gateway 2010 environment

2654074

FIX: String comparison may become case-sensitive when you publish a website by using Forefront Threat Management Gateway 2010

2658903

FIX: The Forefront Threat Management Gateway Firewall service (Wspsrv.exe) may crash frequently for a published website secured by SSL after you install Service Pack 2

После установки накопительного пакета обновления необходимо перезагрузить компьютер.

Проблемы, которые решает установка SP2 для Microsoft Forefront Threat Management Gateway 2010


TMG2010

Как я уже отметил в моем предыдущем посте установка второго пакета обновления для Microsoft Forefront Threat Management Gateway 2010 не только вносит новшества, но исправляет ряд ошибок, которые создают проблемы в работе этого продукта. В этом посте я привожу без перевода полный перечень ошибок, которые исправляет установка SP2 для Microsoft Forefront Threat Management Gateway 2010:

Номер статьи (KB Number)

Пояснение

2529292

FIX: The default local IP address is used to access an FTP site when you use Forefront Threat Management Gateway 2010 as a proxy server

2557116

FIX: «Check for relevant alerts» message for servers that are listed in the «Servers with incomplete report data» field of the «User activities» report, and no alerts are found in Forefront Threat Management Gateway 2010

2558387

FIX: Firewall service crashes after you configure a web access rule to use a custom schedule on a server that is running Forefront Threat Management Gateway 2010

2562550

FIX: The TMGEMS role is not detected when you run the Security Configuration Wizard on a server that is running Forefront Threat Management Gateway 2010

2578466

FIX: Threat Management Gateway 2010 may crash with Stop error «DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)»

2579940

FIX: «You could not be logged on to Forefront TMG» error message when you try to log on to a published website after a domain name is not provided in the authentication settings for LDAP servers in the New Web Publishing Rule Wizard

2589739

FIX: Report logs and historical logs are not correctly created on non-English Threat Management Gateway 2010 installations after you install Threat Management Gateway 2010 Service Pack 1 Update 1

2591269

FIX: Network Load Balancing hook rules are not created correctly when the name on the To tab of the Web Publishing rule does not resolve to a published web server in Forefront Threat Management Gateway 2010

2591272

FIX: «0x80040e4d» error when Forefront TMG 2010 is configured to generate the daily summary data overnight on a computer that has SP1 preinstalled

2591274

FIX: The connection owner for a VPN site-to-site connection is lost when you join an EMS by using an imported configuration in Forefront Threat Management Gateway 2010 Service Pack 1

2591275

FIX: «Access to the file is blocked» error message when the ScanStorage folder on a Forefront Threat Management Gateway 2010 client exceeds the maximum storage limit

2591278

FIX: The SIP filter in Forefront Threat Management Gateway 2010 may prevent an internal client from hanging up a call

2591279

FIX: You may be redirected to the password change page when your password has not expired or is not near expiration when you use Forms Based Authentication in Forefront Threat Management Gateway 2010

2591719

FIX: «0x80070057 (The parameter is incorrect)» error message is logged, and the Forefront TMG Managed Control service cannot start, when you enable and configure the «Email Policy» feature for Forefront Threat Management Gateway 2010

2591729

FIX: The Exchange Edge default Receive connector is disabled unexpectedly when the «Email policy integration» feature is not configured in Forefront Threat Management Gateway 2010

2591744

FIX: The Email Policy Integration feature that redirects spam email messages to a quarantine mailbox address does not work when Forefront Protection for Exchange 2010 is installed on Forefront Threat Management Gateway 2010

2591803

FIX: Forefront Threat Management Gateway 2010 prematurely closes the connection to the web server when a web proxy client uploads data by using an SSL tunnel

2591837

FIX: Stop error on a server that is running Forefront Threat Management Gateway 2010: «IRQL_NOT_LESS_OR_EQUAL (a)»

2592447

FIX: Threat Management Gateway 2010 Enterprise edition may be displayed as the Standard edition

2592454 FIX: «HRESULT=80040E57 DB_E_DATAOVERFLOW» error message when you try to run a report after you install hotfix 980311 on a server that is running Forefront Threat Management Gateway 2010
2592455

FIX: Client computers cannot access an L2TP server or an IPSec endpoint through a Threat Management Gateway 2010 server array that uses network load balancing

2592456

FIX: The Google Chrome web browser times out when it tries to use an SSL connection to access a published web server in a TMG 2010 environment

2592929

FIX: You cannot track the source of failed logon attempts that are made through Threat Management Gateway 2010

2592933

FIX: Support for Threat Management Gateway 2010 Forms-based authentication cookie sharing across array members

2592957

FIX: Client traffic is blocked as «spoofed» for an IP address where the end octet is .255 in a Forefront Threat Management Gateway 2010 environment

2593376

FIX: A VPN client cannot perform name resolution queries immediately after the client connects to a server that is running Forefront Threat Management Gateway 2010

2595975

FIX: A Threat Management Gateway 2010 Forms-based authentication password change may fail because of multiple favicon.ico requests from the client browser

2595999

FIX: «0x80070002» error in Forefront Threat Management Gateway 2010 when an array join operation fails because the Built-in\Administrators group is removed from TMG Enterprise Administrators role

2596034

FIX: A SIP client cannot register with an external SIP server when you access the server through Forefront Threat Management Gateway 2010

2596065

FIX: Outgoing connections from SecureNAT clients may intermittently fail because of how Forefront Threat Management Gateway 2010 manages NAT source port pools

2596388

FIX: SecureNAT clients receive a «404 Page Cannot Be Found» error page when the clients try to access the Internet through a Threat Management Gateway 2010 server

2596444

FIX: POST requests to a web server that is running Forefront Threat Management Gateway 2010 may fail

2599064

FIX: Threat Management Gateway 2010: A Windows Server 2008 R2-based computer stops responding at startup, or no Automatic services start after the computer restarts

2599065

FIX: You cannot discard the changes after you provide the product key and then click OK when you upgrade to Enterprise edition of Forefront Threat Management Gateway 2010

2599066

FIX: Stop error on a server that is running Forefront Threat Management Gateway 2010: «DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)»

2599067

FIX: The Forefront Threat Management Gateway 2010 management tools such as the TMG Management console do not function after you install Internet Explorer 9

2606839

FIX: You may be unable to select the correct category item in the «Filter by category» list in the Japanese version of Forefront Threat Management Gateway 2010

2608155

FIX: The value of the «Bytes received» logging field is incorrect when a request is denied by the HTTP Filter

2619986

FIX: You cannot specify exact domains for HTTPS inspection in Threat Management Gateway 2010

2619987

Update adds feature to lock out service accounts that use FBA with Active Directory or with LDAP authentication in a Forefront Threat Management Gateway 2010 environment

2619989

FIX: Microsoft Forefront Threat Management Gateway 2010 does not support HTTPS caching for outgoing traffic

2619990

FIX: The server start time may take 20 minutes or more when you have a complex policy that contains many publishing rules on a server that is running Forefront Threat Management Gateway 2010

2619991

FIX: An application that uses port 443 to connect to a remote web server no longer works after HTTPSi is enabled in a Forefront Threat Management Gateway 2010 environment

2619992

FIX: The email policy configuration is reapplied when you configure email policy settings in Forefront Protection for Exchange that are not configured in a Forefront Threat Management Gateway 2010 environment

Детальную информацию о каждой проблеме и ошибке можно просмотреть щелкнув на номер статьи.

Выпущен второй пакет обновления (SP2) для Forefront Threat Management Gateway (TMG) 2010


TMG2010

Выпущен второй пакет обновления Service Pack (SP2) для Microsoft Forefront Threat Management Gateway(TMG) 2010.

Новый пакет обновления исправляет некоторые баги в работе Forefront TMG 2010 и добавляет несколько следующих новшеств:

 

1. Site activity report (Отчет об активности сайтов) – Forefront TMG SP2 включает в себя новый отчет об активности сайтов, т.е. позволяет создавать отчет, показывающий передачу данных между пользователями и определенными веб-сайтами. Этот отчет отображает количество данных, передаваемых в/из различных веб-сайтов за любой период, который Вы укажете, по каждому пользователю. Кроме того, можно также отобразить передачу данных в/из конкретного веб-сайта в разрезе пользователей.
2. Improved error pages (Улучшение внешнего вида страниц ошибок) – в Forefront TMG SP2 улучшен внешний вид веб-браузера страниц ошибок и делает легче настройки его страниц.
3. Kerberos authentication for NLB arrays (Проверка подлинности Kerberos для NLB массивов) – Forefront TMG SP2 позволяет Вам разрешить пользователям проходить аутентификацию по протоколу Kerberos 5 в массив Forefront TMG 2010 с балансировкой сетевой нагрузки (NLB).
4.  Shorter server load time – уменьшено общего времени загрузки Forefront TMG 2010.

Для установки SP2 для Microsoft Forefront Threat Management Gateway (TMG) 2010 необходимо предварительно чтобы был установлен пакет обновления SP1 и обновление Update 1. SP2 доступен для Forefront TMG 2010 Standard Edition SP1 with Update 1 и  Forefront TMG 2010 Enterprise Edition SP1 with Update 1.

Скачиваем SP2 для Microsoft Forefront Threat Management Gateway (TMG) 2010 с центра загрузок Microsoft по этой ссылке.

В клиенте Microsoft Forefront Threat Management Gateway 2010 обнаружена критическая уязвимость – устанавливаем обновление безопасности


TMG2010

В клиентском программном обеспечении   Microsoft Forefront Threat Management Gateway 2010 Client обнаружена критическая уязвимость, позволяющая злоумышленнику  удаленно выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки проверки границ данных в TMG Firewall Client Winsock провайдере. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код в контексте безопасности в клиентском приложении. Подробности относительно данной уязвимости можно прочитать  по ссылке.  Для решения проблемы необходимо скачать с сайта Microsoft и установить обновление безопасности Security Update for Forefront Threat Management Gateway (TMG) Client (KB 2520426).

Включение избыточности поставщиков услуг Интернет в Microsoft Forefront Threat Management Gateway 2010 (TMG 2010). Часть 2 : ISP Load Balancing – обеспечение балансировки нагрузки


TMG2010

В предыдущем посте по избыточности поставщиков услуг Интернет я рассмотрел настройку Forefront TMG 2010 для обеспечения отказоустойчивости линков. В этом посте я продолжу тему настройки  избыточности поставщиков услуг Интернет и рассмотрю как настроить второй режим избыточности – балансировку нагрузки (ISP Load Balancing), для чего: 

1. Заходим в оснастку управления Forefront TMG 2010, переходим к пункт “Сети” (Networks), переходим на вкладку  ISP Redudancy и нажимаем Configure ISP Redudancy:

forefront-tmg-2011-03-14-21-05-42

2. Выбираем режим избыточности Load Balancing with failover capability:

forefront-tmg-2011-03-14-21-05-56

3. Далее необходимо в поле ISP Connection name ввести имя соединения с первым провайдером – для примера ISP1 и сопоставить в соответствие сетевой адаптер, который подключен к первому ISP-провайдеру:

forefront-tmg-2011-03-14-21-06-15

4. Проверяем сетевые параметры подключения к первому ISP-провайдеру, при необходимости изменяем. Как и в предыдущем посте напоминаю, что все сделанные изменения будут применены к настройкам сетевого адаптера, привязанного к этому подключению:

forefront-tmg-2011-03-14-21-06-36

5. Далее необходимо остановиться на следующем: иногда есть необходимость пропуска трафика к каким-либо узлам/подсетям/диапазонам адресов именно через определенный канал (определенный ISP-провайдер). В таком случае необходимо в следующем окне добавить соответственно IP-адрес(а) узла/подсети/диапазона адресов:   я приведу пример на узле, т.е. добавлю IP-адрес сервера времени ISP-провайдера: 

forefront-tmg-2011-03-14-21-07-05

Далее нажимаем New

forefront-tmg-2011-03-14-21-07-59

и из меню выбираем Computer:

forefront-tmg-2011-03-14-21-08-23

В появившемся диалоговом окне вводим понятное обозначение для этого узла и его IP-адрес:

forefront-tmg-2011-03-14-21-09-22

Далее нажимаем Добавить (Add):

forefront-tmg-2011-03-14-21-09-36

Как Вы могли заметить в перечне есть один узел, который добавляется всегда по умолчанию – это адрес DNS-сервера ISP-провайдера на текущем линке. Мы добавили для этого подключения еще один узел (в данном случае для демонстрации — это не всегда нужно в реальности). Нажимаем далее для продолжения:

forefront-tmg-2011-03-14-21-09-43

6. Для второго линка (второго ISP-провайдера) выполняем аналогичные действия как и для первого:

forefront-tmg-2011-03-14-21-09-59

проверяем настройки:

forefront-tmg-2011-03-14-21-10-10

и нажимаем Далее (Next) – для этого подключения кроме адреса DNS-сервера провайдера мы не будем добавлять выделенных узлов (Dedicated Servers):

forefront-tmg-2011-03-14-21-10-14

7. Теперь осталось сделать заключительное действие – правильно распределить нагрузку на каналы:

forefront-tmg-2011-03-14-21-10-20

Для равномерной нагрузки необходимо ползунок установить посредине (50/50). Тут также стоить не забывать о том, что каналы к ISP-провайдерам могут быть не одинаковые по скорости, а также разные по стоимости оплаты трафика. Вообще все это зависит от конкретной ситуации, поэтому как распределить нагрузку между линками решать Вам.

8. Для завершения конфигурации нажимаем Finish:

forefront-tmg-2011-03-14-21-10-31

9. Применяем наши настройки (Apply):

forefront-tmg-2011-03-14-21-11-05

можно добавить описание наших действий:

forefront-tmg-2011-03-14-21-11-10

Вот и все – балансировка нагрузка между двумя каналами ISP завершена:

forefront-tmg-2011-03-14-21-11-29

Еще хотел упомянуть момент о том, что если для линков IP-адреса  назначаются  динамически, то необходимо добавить вручную маршруты до шлюзов по умолчанию для каждого из подключений. Это можно сделать как я рассказывал в предыдущем посте или через графический интерфейс:  

forefront-tmg-2011-03-14-21-22-23

На этом пока все.

Включение избыточности поставщиков услуг Интернет в Microsoft Forefront Threat Management Gateway 2010 (TMG 2010). Часть 1 : ISP Failover – обеспечение отказоустойчивости


TMG2010Доступность IT-сервисов является очень важным моментом в  работе IT-инфраструктуры любого предприятия, тем более теперь, когда от работы IT-инфраструктуры зависят бизнес-процессы.  Не исключением из этого правила является работа Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) в качестве точке взаимоподключения корпоративной сети предприятия и сети Интернет. При наличии двух независимых подключений к сети Интернет на узле Forefront TMG 2010, возможно их использовать для:

1. Обеспечения отказоустойчивости (ISP Failover) – при “падении” одного из линков траффик будет перенаправляться через второй линк;
2. Обеспечения балансировки нагрузки (ISP Load Balancing) на узле Forefront TMG 2010.

В этом посте я постараюсь описать как сконфигурировать Forefront TMG 2010 с использованием двух подключений к сети Интернет для первого варианта – обеспечения отказоустойчивости.

В режиме обеспечения отказоустойчивости для соединения с Интернет активным является один из двух ISP-линков.

Для начала расскажу немного теории, а именно при каких условиях Forefront TMG 2010 считает, что основной линк “упал”:   

TMG 2010 проверяет “доступность”  линка путем опроса корневых DNS-серверов по протоколу  UDP через порт 53. TMG 2010  опрашивает эти DNS-сервера каждые 60 секунд. Несколько корневых серверов опрашиваются последовательно (при каждой попытке опрашивается один из корневых DNS-серверов) чтобы определить, есть ли какие-либо  проблемы с подключением к определенному из корневых серверов DNS. Если несколько корневых DNS-серверов не отвечают на запросы с первого раза, TMG 2010 повторяет попытки соединения еще 2 раза (всего 3 попытки соединения с учетом первой) с интервалом в 60 секунд между каждой из попыток. Если и эти попытки соединения не увенчались успехом, Forefront TMG 2010 переключается на резервный линк и пропускает клиентский трафик через него.  После переключения TMG 2010 с основного линка на резервный, TMG будет тестировать доступность основного линка каждые 300 секунд. Как только основной линк станет доступным (первая попытка соединения будет успешной), TMG 2010 будет опрашивать основной линк еще 2 раза с интервалом  в 60 секунд и если на все 3 попытки опроса будет положительный ответ, то TMG 2010 пометит основной канал как доступным и будет его использовать для пропуска клиентского трафика.

Сразу отвечу на один из возможных вопросов : значения по умолчанию интервала опроса линков и количества попыток соединения в TMG 2010 не настраиваются через графический интерфейс, а конфигурируются через изменения в настройках COM-объекта ISPPredundancyConfig .

Необходимо еще отметить некоторые ограничения в ISP-избыточности, в частности:

  • Сетевые ISP-подключения,  должны   существовать  только  в стандартной внешней
    сети (default external network);
  • Каждое ISP-подключение должно иметь уникальные адреса IP-подсети и использовать уникальный шлюз по умолчанию. На этом нюансе необходимо остановиться детальнее: операционная система Windows не поддерживает несколько шлюзов по умолчанию для линков с динамически назначаемыми IP-адресами. Т.е., если первый и второй провайдер выдают для подключений IP-адреса по DHCP на основном и резервном линках, то Windows добавит только один шлюз по умолчанию в таблицу маршрутизации, в связи с чем второй необходимо добавить самостоятельно  с помощью команды route –p add.  Рекомендуется  добавить  маршруты по умолчанию на первый и второй шлюзы провайдеров вручную перед включением ISP-избыточности в TMG 2010  следующими командами
    route –p add 0.0.0.0 mask 0.0.0.0 IPGATE1;
    route –p add 0.0.0.0 mask 0.0.0.0 IPGATE2,
    где IPGATE1 и IPGATE2 – IP-адреса шлюзов ISP-провайдеров.
  • ISP-избыточность поддерживает только  два соединений с поставщиком услуг Интернет;
  • Поддерживается только NAT и Web proxy трафик;
  • Все сетевые адаптеры всех членов массива TMG должны иметь одинаковые настройки таких параметров как checksum offloading settings. Желательно использовать одинаковые сетевые адаптеры для предотвращения несовместимости.

Теперь перейдем непосредственно к практике настройки отказоустойчивости Интернет-соединения (ISP Failover):

1. Заходим в оснастку управления Forefront TMG 2010, переходим к пункту “Сети” (Networks),переходим на вкладку  ISP Redudancy и нажимаем Configure ISP Redudancy:

forefront-tmg-2011-03-12-23-27-46
Откроется мастер конфигурации ISP-избыточности, нажимаем Next для продолжения:

forefront-tmg-2011-03-12-23-28-24
2.  Выбираем один из видов ISP-избыточности -  ISP Failover или ISP Load Balancing:

forefront-tmg-2011-03-12-23-28-30

в нашем случае выбираем ISP Failover и нажимаем Next:

forefront-tmg-2011-03-12-23-28-38
3. Теперь необходимо в поле ISP Connection name ввести имя соединения с первым провайдером – для примера ISP1 и сопоставить в соответствие сетевой адаптер, который подключен к первому ISP-провайдеру:

forefront-tmg-2011-03-12-23-28-54

Нажимаем Next: 

forefront-tmg-2011-03-12-23-44-05

4. В следующем окне будет предложено проверить существующую конфигурацию подключения к первому ISP-провайдеру и, при необходимости, внести соответствующие изменения. Хочется отметить, что внесенные в этом диалоговом окне изменения, будут применены к соответствующему сетевому адаптеру.

После проверки и, при надобности, внесения изменений нажимаем Next:

forefront-tmg-2011-03-12-23-44-21

5. Аналогичные действия делаем для подключения ко второму ISP-провайдеру:

forefront-tmg-2011-03-12-23-44-36

Проверяем конфигурацию:

forefront-tmg-2011-03-12-23-44-47

6. Теперь необходимо выбрать какой из линков будет основным, для примера я выбрал первый (ISP1):

forefront-tmg-2011-03-12-23-44-56

7. Для окончания настройки нажимаем Finish:

forefront-tmg-2011-03-12-23-45-04

Для применения конфигурации необходимо нажать Apply:

forefront-tmg-2011-03-12-23-45-26

Нажимаем Применить (Apply):

forefront-tmg-2011-03-12-23-45-35

Нажимаем для завершения OK:

forefront-tmg-2011-03-12-23-45-48

После всех наших настроек в консоли управления Forefront TMG 2010 мы можем увидеть перечень сконфигурированных линков их конфигурацию и роль:

forefront-tmg-2011-03-13-00-32-03

На этом конфигурация отказоустойчивости подключения к Интернет закончено. Думаю ничего сложного не было, Smile

Вышло второе обновление для Microsoft Forefront Threat Management Gateway 2010 SP1 — Software Update 2 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 1


TMG2010Сегодня Microsoft выпустил второе обновление для Microsoft Forefront Threat Management Gateway 2010 SP1 — межсетевого экрана с интегрированными сервисами, который позволяет защитить IТ-среду от угроз, поступающих через интернет, одновременно обеспечивая пользователям быстрый и безопасный удаленный доступ к приложениям и данным. Software Update 2 скачиваем  по этой ссылке с официального сайта Microsoft.

Второе обновление (Software Update 2) исправляет следующие ошибки:

Issues that are resolved by Update 2

KB article

Title

2449122

"NLB Stopped — Configuration Failure" error message may occur when you try to enable the NLB feature in Forefront TMG 2010 if the network adapters are VLAN tagged or teamed

2443447

The Forefront TMG firewall service leaks memory when you access a site of the "HTTPS Inspection exception" list in Forefront TMG 2010

2449127

The L2TP VPN connection may randomly disconnect when you change or apply an access rule on a VPN server that is running Forefront TMG 2010

2450875

"0xC0040410" error occurs when you try to join an array member to an array in Forefront TMG 2010 SP1 if the array is managed by Forefront TMG 2010 EMS

2445662

A 502 proxy error occurs when you try to create an HTTPS connection if a downstream proxy has Forefront TMG 2010 installed

2449161

A replica installation of Forefront TMG 2010 EMS fails and a "0x80070002" error is logged

2445979

Forefront TMG 2010 Firewall Service-based member of a Forefront TMG array stops responding when another Forefront TMG Firewall Service-based member is stopped

2454850

0x80131500" error occurs and the IsaManagedCtrl service does not start in Forefront TMG 2010 after you install Exchange 2010 SP1 if the Email Protection feature is enabled

Это обновление предназначено исключительно для устранения проблем, описанных в вышеприведенной таблице и его необходимо применять только в тех системах, где наблюдаются данные проблемы. Функциональных нововведений пакет обновления не содержит.
Необходимым условием для установки данного обновления является установленный Forefront TMG 2010SP1 и Software Update 1 для Forefront TMG 2010SP1.
После установки обновления выполнять перезагрузку необязательно.

Выпущен и доступен для скачивания Service Pack 1 для Forefront Threat Management Gateway 2010


Forefront-Threat-Management-Gateway-grid-v

Microsoft выпустила первый пакет обновлений для Forefront Threat Management Gateway 2010. Forefront Threat Management Gateway 2010 представляет решение для комплексной защиты периметра сети и обеспечивает безопасный доступ пользователей к ресурсам Интернет благодаря надежной защите против нежелательного программного обеспечения, опасных веб-сайтов и уязвимостей.  TMG 2010 работает как брандмауэр с функциями фильтрации пакетов и предотвращения вторжений, шлюз VPN, а также выполняет проверку вредоносного ПО и фильтрацию URL.

Что нового принесет нам установка первого пакета обновлений (SP1) для этого продукта? После установки SP1 в TMG 2010  появятся новые возможности и усовершенствуются  существующие функции:

1. Новые отчеты (New Reports): 

• В новом отчете активности пользователей отображаются сайты и категории сайтов, к котором осуществлялся доступ по любым пользователям.
• Все отчеты Forefront TMG имеют новый вид.

2. Новые улучшения в модуле фильтрации URL (Enhancements to URL Filtering):
• Теперь можно разрешить пользователям переопределять ограничения доступа к сайтам, которые были заблокированы модулем фильтрации URL. Это позволяет обеспечить более гибкую политику веб-доступа, в том, что пользователи сами могут решать для себя получать ли доступ к заблокированным сайтам. Это особенно полезно для веб-сайтов, которые были неправильно классифицированы.
• Теперь можно переопределить категории URL-адресов на уровне предприятия;
• Страницы уведомления  об отказах в доступе теперь может настраиваться для потребностей вашей организации.

3. Расширение поддержки Branch Office (Enhanced Branch Office Support):
• Теперь Forefront TMG и  read-only контроллер домена можно вместе размещать на  одном сервере, что позволяет снизить совокупную стоимость владения в филиалах.
• При установке на компьютер под управлением Windows Server 2008 R2, SP1 упрощает развертывание BranchCache в филиале.

4. Поддержка публикации SharePoint 2010
• Forefront TMG SP1 поддерживает безопасную публикацию SharePoint 2010.

Системные требования необходимые для установке SP1 для Forefront TMG  2010 – собственно почти никаких, кроме очевидных :  наличие установленного Forefront TMG 2010  в редакциях Standard Edition или Enterprise Edition. Поддерживаемые операционные системы : Windows Server 2008; Windows Server 2008 R2.

Скачать SP1 для Forefront Threat Management Gateway 2010 можно из центра загрузок Microsoft по следующим ссылкам :
—  для 32-битных систем по этой ссылке;
—  для 64-битных систем по этой ссылке;

Развертывание клиента Forefront Threat Management Gateway 2010


TMG2010

В этом посте я продолжу рассказывать о процессе установки и настройки Microsoft Forefront Threat Management Gateway 2010 и, в частности, сегодня постараюсь описать процесс развертывания клиента Forefront TMG 2010 в защищенной им сети, а также процесс настройки автообнаружения параметров веб-прокси (параметров настройки нашего сервера Forefront TMG) в нашей тестовой сети клиентами.
Перед  тем  как  я  расскажу о том как организовать развертывание  клиента  Forefront TMG 2010 нам необходимо настроить    автоматическое обнаружение параметров нашего веб-прокси во внутренней сети на основе протокола WPAD,  что обеспечит автоматическое получение параметров конфигурации веб-браузерами клиентских компьютеров и настроек клиентами Forefront TMG 2010. В Forefront TMG для осуществления автоматического обнаружения используется сценарий автоматической настройки или WPAD-запись в Active Directory, DNS или DHCP. Forefront TMG 2010 может действовать от имени WPAD-сервера для клиентов веб-прокси.

Для начала включим автоматическое обнаружение на интерфейсе нашей внутренней сети в Forefront TMG 2010. Для этого в консоли управления TMG 2010 заходим в раздел Networking, выбираем внутреннюю сеть (Internal)  и нажимаем Properties. После чего переходим на вкладку Auto Discovery, где мы должны включить автоматическое обнаружение и указать порт для приема запросов на получение файлов настроек браузера от клиентов.  По умолчанию Forefront TMG публикует информацию об автоматическом обнаружении на порте 8080. При использовании записи WPAD в DNS публикация должна осуществляться на порте 80. Записи WPAD в DHCP могут использовать любой порт.  Так как я в дальнейшем объясню процесс создания записи WPAD в DNS и в DHCP, то я буду использовать порт 80.

forefront-tmg-2010-02-26-21-07-25

Ставим галочку напротив “” , нажимаем ОК и применяем выбранные настройки (Apply):

forefront-tmg-2010-02-22-21-52-13

После успешного применения настроек щелкаем ОК :

forefront-tmg-2010-02-22-21-52-28 

На этом настройка автоматического обнаружения со стороны Forefront TMG 2010 окончена.

Далее необходимо обеспечить, чтобы клиентский браузер смог получить url-адрес нашего WPAD-сервера используя запись DHCP-сервера или DNS-сервера. URL-адрес WPAD используется для поиска файла конфигурации, используемого для настройки параметров клиента веб-прокси.

Для того, чтобы клиентский браузер смог найти сервер WPAD используя DHCP мы должны позаботится о создании соответствующей записи на сервере DHCP, а также думаю всем понятно, что в сети должен быть “поднят” сервер DHCP и клиентские машины должны быть клиентами DHCP, т.е. должны получать IP-адреса от  DHCP-сервера. 

Процесс создания записи WPAD на сервере DHCP выглядит следующим образом: открываем консоль DHCP из меню Administrative Tools (Администрирование)

forefront-tmg-2010-02-22-21-52-36 
и выбираем название нашего сервера DHCP в левой части консоли. Раскрываем список протоколов и выбираем IPv4. Щелкаем правой кнопкой мыши и выбираем команду Set Predefined Options (задать предопределенные настройки) :

dc-test-2010-02-22-22-34-51
В диалоговом окне Predefined Options and Values (предопределенные параметры и значения), нажимаем кнопку Add (добавить) и заполняем следующие параметры:

  • Имя (Name) : WPAD
  • Тип данных (Data type) : String
  • Код (Code) : 252
  • Описание (Description): например, wpad forefront 2010

dc-test-2010-02-22-22-37-02

Для   подтверждения  щелкаем  ОК  и  вводим  URL-адрес брандмауэра  в  качестве  значение  нашей  записи  WPAD в поле Value : http://gateway:80/wpad.dat
В строке Value : gateway – это имя нашего сервера Forefront TMG 2010, 80 – номер порта, который мы настраивали для приема запросов на получение файлов настроек браузера от клиентов (см. выше).

dc-test-2010-02-22-22-37-25
Подтверждаем наши настройки, щелкаем ОК.
Далее необходимо включить на сервере DHCP параметр WPAD с кодом 252 для области. Для этого открываем параметры IPv4 в левом окне консоли, находим  Scope Options (параметры области)  и щелкаем на них правой кнопкой мыши.  Выбираем команду Configure Options (настройка параметров). В диалоговом окне Scope Options (параметры области) в списоке Available Options (доступные параметры) необходимо найти и поставьте галочку в поле 252 wpad. Нажмите на кнопку Apply (применить), а затем на кнопку OK. После этого в правой части консоли мы увидим, что параметр WPAD включен :
 dc-test-2010-02-22-22-40-25 

На этом процесс создания записи WPAD на сервере DHCP для автоматического обнаружения завершен.
Клиентский браузер или клиентский брандмауэр также может найти сервер WPAD используя запрос к серверу DNS. Приступим к созданию записи WPAD на сервере DNS:  заходим в консоль управления сервером DNS из меню Administrative Tools (Администрирование)

dc-test-2010-02-22-22-42-31

Перед тем как создавать запись WPAD на сервере DNS необходимо чтобы на сервере DNS была предварительно создана запись узла Host (A) для WPAD-сервера.  Согласно рекомендациям Microsoft, необходимо зарезервировать статическое имя DNS узла для WPAD-сервера, как описано в статье Майкрософт 934864: Настройка служб Microsoft DNS и WINS для резервирования регистрации WPAD. Далее необходимо создать непосредственно запись псевдонима (CNAME) для указания на запись существующего узла – нашего сервера WPAD.

На DNS-сервере в дереве консоли щелкните правой кнопкой на зону прямого просмотра домена и затем щелкните New alias name (cоздать псевдоним) CNAME :

dc-test-2010-02-22-22-43-44 
В диалоговом окне New resource record вводим :

  1. В поле Alias Name (имя псевдонима) введите WPAD

  2. В поле Fully qualified domain name (полное имя конечного узла) введите полное доменное имя WPAD-сервера. Если на компьютере или массиве Forefront TMG уже определена запись узла (запись А), нажмите кнопку Обзор и найдите в пространстве имен DNS имя сервера Forefront TMG.

dc-test-2010-02-22-22-44-16щелкаем ОК для выбора,
dc-test-2010-02-22-22-44-21
И еще раз ОК для создания CNAME записи.:

dc-test-2010-02-22-22-46-07 
Из скриншота видно, что мы успешно создали запись CNAME для обнаружения нашего WPAD-сервера. Исходя из логики все что нужно сделано, но как оказывается, этого недостаточно для успешного обнаружения WPAD-сервера в сети используя DNS.  Роль DNS Server в системе Windows Server 2008 предусматривает глобальный список блокировки запросов, позволяющий уменьшить уязвимость системы, связанную с динамическими обновлениями DNS. Если настройка или удаление WPAD происходит после развертывания роли сервера DNS на сервере Windows Server 2008, необходимо обновить список блокировки на всех DNS-серверах, где находятся области регистрации серверов WPAD, т.е. необходимо удалить WPAD из черного списка DNS. Эта процедура  выполняется в командной строке с использованием известной утилиты командной строки dnscmd :

Для начала просмотрим включена блокировка глобальных запросов  или нет:   для этого откроем командную строку и выполним команду:

dnscmd /info /enableglobalqueryblocklist

dc-test-2010-02-26-21-19-51

Результатом работы этого запроса может быть значение 1, если блокировка глобальных запросов включена и 0 – в противном случае.  Просмотрим черный список :

dnscmd /info /globalqueryblocklist

dc-test-2010-02-26-21-27-18 

Как видно из результата выполнения команды wpad включен в черный список запросов.  Отключим блокировку глобальных запросов выполнив следующую команду: 

dnscmd /config /enableglobalqueryblocklist 0

dc-test-2010-02-26-21-31-36 

Таким образом процесс создания записи WPAD на сервере DNS для автоматического обнаружения завершен. Как вы могли заметить настройка в некотором смысле не всегда тривиальна и необходимо иногда “поизвращаться” для того, чтобы все корректно настроить, :)

Ну а теперь я расскажу о новшестве - Microsoft Forefront TMG 2010 предоставляет новую функцию автоматического определения TMG сервера для TMG клиента. Forefront TMG 2010 клиент посредством протокола LDAP может использовать маркер (AD Marker) в Active Directory для поиска соответствующего TMG сервера в сети. 

Для создании конфигурации  маркера АD Marker в Active Directory используется специальный инструмент TMG AD Config. Этот  инструмент входит в состав Microsoft® Forefront Threat Management Gateway (TMG) Beta 3 Tools & Software Development Kit, а точнее в состав пакета

AdConfigPack.EXE и который можно скачать в центре загрузки Microsoft по этой ссылке.

Скачиваем AdConfigPack.EXE и запускаем его на сервере Forefront TMG 2010:

forefront-tmg-2010-02-22-22-59-48

принимаем условия лицензионного соглашения :

forefront-tmg-2010-02-22-22-59-55 
Пару секунд и все установлено :

forefront-tmg-2010-02-22-23-00-02
После установки запускаем командную строку и переходим в папку с установленным инструментом :

forefront-tmg-2010-02-22-23-05-20
Далее посмотрим синтаксис этой тулы :

forefront-tmg-2010-02-22-23-07-37
Согласно синтаксиса создаем маркер AD Marker в Active Directory следующей командой :

TMGAdConfig.exe add –default –type winsock –url http://gateway.test.loc:80/wspad.dat

где gateway.test.loc – FQDN нашего сервера Forefront TMG 2010, 80 —  номер порта на котором Forefront TMG публикует информацию об автоматическом обнаружении.

forefront-tmg-2010-02-22-23-39-43
AD маркер в Active Directory  можно также удалять используя эту же тулу, если Вы решите не использовать поддержку AD Marker. Вот и все готово. 

После всего рассказанного я могу сказать, что все подготовительные мероприятия проведены и можно рассказать как  автоматически установить клиенты Forefront TMG 2010 на клиентские компьютеры. 

Для централизованного развертывания программного обеспечения клиента Forefront TMG на клиентских компьютерах в сети можно использовать один из трех нижеприведенных методов распространения:

  • Сценарий  входа  —  сценарий  входа  проверяет,  установлено  ли   на  компьютере  программное  обеспечение   клиента  Forefront TMG.  Если  оно  не установлено, сценарий входа устанавливает его из сетевой папки. Вошедший пользователь должен быть членом группы "Администраторы" на компьютере.
  • Групповая политика  —  групповая  политика  используется  для установки программного обеспечения клиента Forefront TMG для каждого пользователя (когда пользователь осуществляет вход) или на каждый компьютер. 
  • Microsoft Systems Center Configuration Manager 2007
В данной статье я расскажу о втором методе распространения клиента Forefront TMG 2010, а именно — распространение с использованием групповой политики. О третьем методе я напишу отдельный пост.

Независимо от метода распространения клиента Forefront нам необходимо положить на сетевой ресурс сам инсталляционный пакет клиента Forefront TMG 2010, который будет устанавливаться на клиентские компьютеры и дать доступ на чтение всем пользователям домена:

1. Создаем общий сетевой ресурс TMG_Client_Setup и копируем сюда с инсталляционного диска сам файл клиента Forefront TMG 2010: MS_FWC.MSI

dc-test-2010-02-23-00-13-52

2.  Устанавливаем права на чтение всем пользователям домена:

dc-test-2010-02-23-00-13-33
dc-test-2010-02-23-00-13-40


3.   Далее на контроллере домена заходим в редактор групповых политик и создаем новый объект групповой политики, например TMG_Client_Deploy,  с привязкой к тому Organization Unit (OU), где находятся пользователи, которым необходимо установить клиент Forefront TMG 2010:

dc-test-2010-02-23-00-11-02

4.

Теперь отредактируем созданный объект  групповой политики TMG_Client_Deploy :

dc-test-2010-02-23-00-11-36

кликаем правой кнопкой мыши и нажимаем Edit :

dc-test-2010-02-23-00-11-52

5.  В левой части консоли раскрываем  User Configuration – Policies – Software Settings – Software installation :

dc-test-2010-02-23-00-12-09

и создаем новый пакет установки :

dc-test-2010-02-23-00-12-30

указываем путь к созданному ранее сетевому ресурсу, на котором лежит файл клиента Forefront TMG 2010:

dc-test-2010-02-23-00-14-44

выбираем тип развертывания :  Assigned – при этом типе развертывания установка клиента Forefront TMG 2010 будет произведена автоматически при входе пользователя в домен

dc-test-2010-02-23-00-14-50

  Далее обязательно ставим “галочку”  напротив Install this application at logon, чтобы процесс установки клиента Forefront TMG был выполнен автоматически при входе клиента в домен:

dc-test-2010-02-23-00-15-08

Для сохранения всех выполненных нами действий нажимаем финишный ОК:

dc-test-2010-02-23-00-15-40

6. Принудительно обновим политику домена:

dc-test-2010-02-23-00-16-04
dc-test-2010-02-23-00-16-07
dc-test-2010-02-23-00-16-16

На этом окончен процесс  создания групповой политики для автоматического распространения клиента Microsoft Forefront TMG 2010 по сети.  Проверим как применяется созданная политика на примере одного пользователя :

Windows 7 x64-2010-02-23-00-17-57

 Windows 7 x64-2010-02-23-00-19-19

Как только пользователь залогинился  клиент Forefront TMG 2010 автоматически установился :
 
Windows 7 x64-2010-02-23-00-19-48

и получил настройки от сервера TMG :

 Windows 7 x64-2010-02-23-00-20-11
и автоматически сконфигурировал веб-браузер:

Windows 7 x64-2010-02-23-00-25-16
В завершении всего выше сказанного хочу подвести итоги : в этом посте я продолжил знакомство с новым продуктом Microsoft для для обеспечения безопасности внутренней сети предприятия, а также обеспечивающего защиту внешнего периметра  корпоративной сети  от внешних угроз. В посте я постарался максимально подробно рассказать о настройке автоматического обнаружения параметров веб-браузеров клиентских компьютеров и настройках клиентов Forefront TMG 2010, описан процесс распространения клиента  Forefront TMG 2010 на компьютеры пользователей с использованием групповых политик. Я надеюсь, что мой пост поможет Вам.

Выбор оптимальной конфигурации серверного оборудования для развертывания Forefront Threat Management Gateway 2010


TMG2010

Иногда при установке нового того или иного программного продукта первоначально самостоятельно трудно оценить и подобрать оптимальные аппаратные требования к железу сервера (сколько процессоров и каких необходимо, какой объем оперативной памяти достаточен и т.п.) для его нормального функционирования и дальнейшей эксплуатации. Поэтому Microsoft после выпуска Forefront Threat Management Gateway 2010 через некоторое время предоставляет удобный инструмент в виде рабочей книги Excel, с помощью которого можно подобрать оптимальную конфигурацию серверного железа для обеспечения стабильной работы Forefront Threat Management Gateway 2010 с необходимой функциональностью и нагрузкой. Более того, стоит отметить, что требования к оборудованию для серверов Forefront TMG 2010 различаются в зависимости от ряда факторов, таких как: включенных фич, кол-ва одновременно работающих пользователей, пропускной способности WAN-интерфейса.

Принцип работы с книгой Excel думаю объяснять не стоит, хотя сделаю пару небольших примечаний :

1. Обязательно просмотрите условия лицензионного соглашения и  поставьте галочку Accept Terms, иначе потом придется возвращаться, потому что без этого Вы не получите никакого результата.
2.  Нужно разрешить запуск макросов.

Ну и последнее – скачиваем Forefront Threat Management Gateway 2010 Capacity Planning Tool с центра загрузок по ссылке.

Best Practices Analyzer Tool для Microsoft Forefront Threat Management Gateway


TMG2010 Сегодня Microsoft выпустила  тулу для  проверки работоспособности и диагностики текущих проблем Microsoft Forefront Threat Management Gateway 2010. Forefront TMG BPA  автоматически выполняет ряд  тестов и проверяет параметры конфигурации локального сервера Forefront TMG 2010. Результатом работы является итоговый отчет с подробностями о проблемах  в работе Forefront TMG 2010, а также несоответствии текущих параметров конфигурации  рекомендуемым. Используя данную тулу, а также следуя ее рекомендациям администраторы могут добиться большей производительности,  надежности и времени бесперебойной работы своих серверов на базе Forefront Threat Management Gateway 2010.

Скачать Forefront TMG BPA можно по этой ссылке. Также хочется напомнить, что эта тула поддерживает только Forefront Threat Management Gateway 2010. Аналогичная тула есть и для Microsoft Internet Security and Acceleration (ISA) Server и доступна для скачивания отсюда.

Установка и настройка Microsoft Forefront Threat Management Gateway 2010 (TMG 2010)


Forefront TMG 2010 — это комплексное решение для обеспечения безопасности в сети, позволяющее защитить корпоративную сеть предприятия от внешних угроз и  предлагает простой единый способ обеспечения безопасности периметра благодаря наличию интегрированных функций межсетевого экрана, VPN, предотвращения вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.

В этом посте я постараюсь описать процессы развертывания и настройки TMG 2010 “с нуля” в домене.  Перед непосредственной установкой TMG 2010 необходимо спланировать этот процесс, для того чтобы процесс установки прошел успешно и без трудностей.

Прежде всего стоит обратить внимание на программно/аппаратные требования:

  • Требования к оборудованию для Forefront TMG:

Оборудование

Требования

Процессор
64-разрядный двухъядерный процессор с тактовой частотой 1,86 ГГц
Память
4 ГБ ОЗУ с тактовой частотой 800 МГц
Жесткий диск
2,5 ГБ свободного места. Это весь объем места на диске, который сможет использоваться для кэширования и временного хранения файлов в ходе проверки наличия вредоносных программ.
Сетевые адаптеры
Один сетевой адаптер, совместимый с операционной системой компьютера, для взаимодействия с внутренней сетью. Дополнительный сетевой адаптер для каждой сети, подключенной к компьютеру Forefront TMG.

 

  • Требования к программному обеспечению для Forefront TMG
Программное обеспечение Подробные сведения

Windows Server 2008

Пакет обновления 2 (SP2) не требуется.

Роли и компоненты Windows:

  • Сервер сетевых политик
  • Службы маршрутизации и удаленного доступа
  • Средства служб Active Directory облегченного доступа к каталогам
  • Средства балансировки сетевой нагрузки
  • Windows PowerShell

Они устанавливаются средством подготовки Forefront TMG.

Программу подготовки для Forefront TMG можно запустить со страницы автозапуска.

Роли и компоненты Windows, которые устанавливаются вместе с Forefront TMG, не удаляются при удалении Forefront TMG. При необходимости удалите их вручную после удаления Forefront TMG с сервера.

Microsoft .NET Framework 3.5 с пакетом обновления 1 (SP1)
 
Интерфейс API веб-служб Windows
 
Центр обновления Windows
 
Установщик Microsoft Windows 4.5
 

Весь процесс развертывания TMG 2010 можно разделить на 3 фазы :

  1. Подготовка к установке;
  2. Собственно, установка;
  3. Конфигурация.

Начнем с описания процесса подготовки к установке:

Перед установкой Forefront TMG 2010 необходимо запустить средство подготовки, чтобы убедиться, что на компьютере установлены приложения, необходимые для успешной установки Forefront TMG 2010.  Установка Forefront TMG 2010 может завершиться сбоем, если на компьютере отсутствуют нужные приложения и средство подготовки не было предварительно запущено.

К этим приложениям относятся:

  • Роли и компоненты Windows
  • .Пакет обновления 1 (SP1) для NET 3.5 Framework
  • API веб-служб Windows

Если эти приложения отсутствуют на компьютере, средство подготовки загрузит и установит их.

После установки диска с образом Forefront TMG 2010 в DVD запустится экран приветствия :

forefront-tmg-2010-01-04-23-06-08

Обратите внимание на последовательность предварительной подготовки к установке (Prepare and Install):

Перед установкой Forefront TMG 2010 необходимо убедиться, чтобы прошли все системные  обновления. Для запуска проверки наличия обновлений щелкаем Run Windows Update.

forefront-tmg-2010-01-04-23-06-50

После установки всех обновлений запускаем средство подготовки к  установке  Forefront TMG 2010:

forefront-tmg-2010-01-04-23-07-17

Далее необходимо выбрать один из возможных сценариев установки Forefront TMG 2010:

Всего их три и они означают следующее:

1. Службы и управление Forefront TMG (Forefront TMG Services and Management)— установка одного сервера Forefront TMG на компьютере, включая установку всех служб Forefront TMG и консоли управления Forefront TMG, предназначенной для локального управления Forefront TMG.

2.  Удаленное управление (Forefront TMG Management) — установка только консоли управления Forefront TMG 2010 для удаленного управления серверами Forefront TMG, установленными на других компьютерах. Консоль представляет собой оснастку консоли управления (MMC).
При выборе этого пункта необходимо обратить внимание на следующее:

     —  Консоль управления Forefront TMG 2010 можно запустить в 32-разрядных версиях Windows Server 2008, однако для других вариантов Forefront TMG 2010 требуется 64-разрядная версия операционной системы Windows Server 2008.
     —  Для того чтобы время отклика консоли при отображении обновленных сведений о конфигурации было невелико, между компьютером Forefront TMG и компьютером, на котором запускается консоль управления Forefront TMG, требуется надежное и высокоскоростное подключение. Если скорость сетевого подключения к компьютеру Forefront TMG меньше 5 Мбит/с, рекомендуется подключаться к компьютеру Forefront TMG по протоколу RDP и запускать консоль управления Forefront TMG локально на компьютере Forefront TMG.
     —  Запуск мастера начальной настройки Forefront TMG из удаленной консоли управления Forefront TMG не поддерживается. Для запуска мастера начальной настройки необходимо использовать локальную консоль.

3.  Enterprise Management Server (EMS) for centralized array management — этот параметр установки доступен только в выпуске Forefront TMG Enterprise Edition (в версии Forefront TMG Standard Edition данный параметр установки отсутствует). Сервер Enterprise Management Server позволяет централизованно управлять несколькими массивами Forefront TMG. При использовании данного сервера можно создавать и обновлять политики предприятия, а также создавать правила политики, которые затем можно назначать массивам предприятия.

В нашем случае мы выбираем первый вариант : будем устанавливать сервер Forefront TMG 2010 с локальной консолью управления: 

forefront-tmg-2010-01-04-23-07-35

Далее идет процесс подготовки :

forefront-tmg-2010-01-04-23-07-57

Ну и собственно все – процесс подготовки к установке завершен: ставим галочку напротив Launch Forefront TMG Installation Wizard и кликаем OK для начала запуска самого процесса установки TMG 2010.

forefront-tmg-2010-01-04-23-09-11

forefront-tmg-2010-01-04-23-09-27

Начинается процесс установки традиционно с запуска мастера,

forefront-tmg-2010-01-04-23-11-01 

принятия лицензионного соглашения

forefront-tmg-2010-01-04-23-11-11

ввода регистрационных данных и серийного номера,

forefront-tmg-2010-01-04-23-11-21

далее указываем путь установки

forefront-tmg-2010-01-04-23-11-32

ну и в конце необходимо указать адреса внутренней сети предприятия для чего нажимаем Добавить (Add)

forefront-tmg-2010-01-04-23-11-46

и далее мы можем добавить :

forefront-tmg-2010-01-04-23-12-24

1. сетевой адаптер к, которому привязана внутренняя сеть предприятия;
2. частные адреса — IP-адреса, которые не поддерживают маршрутизацию, на основании RFC 1918 и функции автоматического назначения частных IP-адресов (169.254.0.0–169.254.255.255).
3. диапазон адресов — добавление диапазона IP-адресов. Необходимо указать начальный и конечный IP-адреса диапазона.

В нашем случае нам подходит п. 1, т.е. мы выбираем сетевой адаптер (LAN), который “смотрит” в нашу внутреннюю сеть:

forefront-tmg-2010-01-04-23-12-45

При выборе этого метода добавляемые IP-адреса основаны на IP-адресе и маске подсети выбранной сетевой платы :

forefront-tmg-2010-01-04-23-14-13

Щелкаем OK :

forefront-tmg-2010-01-04-23-14-20

Далее предупреждение о рестарте сервисов во время установки :

forefront-tmg-2010-01-04-23-14-33

Ну и собственно запускаем процесс инсталляции:

forefront-tmg-2010-01-04-23-14-55

установка основных компонентов

forefront-tmg-2010-01-04-23-15-54

установка дополнительных компонентов:

forefront-tmg-2010-01-04-23-20-41

ну и третий этап – инициализация :

forefront-tmg-2010-01-04-23-48-11

Процесс установки завершен и теперь кликаем Launch Forefront TMG Management when wizard closes  — запуск консоли управления TMG 2010 для начальной конфигурации:

forefront-tmg-2010-01-04-23-49-51

forefront-tmg-2010-01-04-23-49-58

Нажимаем Finish, после чего увидим сообщение об успешной установке Forefront TMG 2010 и открытии консоли управления TMG 2010 :

forefront-tmg-2010-01-04-23-53-36

Теперь можно приступать к третьей финальной стадии развертывания Forefront Threat Management Gateway 2010 – настройки параметров начального развертывания, которая также состоит из трех этапов: 

forefront-tmg-2010-01-04-23-56-27

— настройки сетевых параметров — с помощью мастера будет произведена  настройка сетевых адаптеров на сервере;
— настройки системных параметров — с помощью мастера будет произведена  настройка параметров операционной системы, таких как сведения об имени компьютера, настройки домена или рабочей группы;
— определение параметров развертывания — с помощью мастера будет произведены  настройки защиты от вредоносных программ для HTTP-трафика и присоединения к программе обратной связи с клиентами и службе дистанционного отслеживания.

Запускаем мастер настройки сетевых параметров

forefront-tmg-2010-01-04-23-56-35

и кликаем Next:

на данном этапе необходимо определиться  с топологией сети Forefront TMG 2010, которая наиболее соответствует существующей топологии и требованиям к безопасности сети.

Доступны следующие топологии сети Forefront TMG:

  • Пограничный межсетевой экран (Edge Firewall) — в этой топологии сервер Forefront TMG 2010 размещается на границе сети, где он выступает в качестве межсетевого экрана организации, и подключен к двум сетям: внутренней и внешней (обычно к Интернету).

    forefront-tmg-2010-01-04-23-57-04

  • Трехзонная конфигурация сервера (3-Leg perimeter) — в этой топологии реализуется демилитаризованная зона. Forefront TMG 2010 подключается как минимум к трем физическим сетям: к внутренней сети, к одной или нескольким демилитаризованным зонам и к внешней сети (обычно к Интернету).
  • Внутренний межсетевой экран (Back Firewall) — в этой топологии Forefront TMG размещается во внутренней части сети. Эта топология используется в тех случаях, когда между Forefront TMG и внешней сетью располагается другой элемент сети, например демилитаризованная зона или пограничный firewall. Forefront TMG 2010 подключается к внутренней сети и к элементу сети (перед ним).

    forefront-tmg-2010-01-04-23-57-07

  • Одна сетевая плата — в этой топологии реализуются ограниченные функциональные возможности Forefront TMG 2010. В этой топологии Forefront TMG 2010 подключается только к одной сети: внешней сети или демилитаризованной зоне. Как правило, такая конфигурация используется, когда Forefront TMG 2010 находится во внутренней корпоративной сети или в демилитаризованной зоне. В данной конфигурации возможности Forefront TMG 2010  ограничиваются функциями прокси-сервера, кэширующего сервера или сервера VPN.

     forefront-tmg-2010-01-04-23-57-10

Для нашей топологии сети мы выбираем первую топологию :

forefront-tmg-2010-01-04-23-57-04

Далее выбираем сетевой адаптер внутренней сети :

forefront-tmg-2010-01-04-23-58-39

Также стоит обратить внимание на то, что тут же можно вручную добавить другие внутренние сети (Add). У нас таковые отсутствуют , поэтому нажимаем Далее (Next) и в следующем диалоговом окне выбираем сетевой адаптер, который “смотрит” во внешнюю сеть :

forefront-tmg-2010-01-04-23-58-44

Так как мы выбрали динамические адреса на внешнем сетевом адаптере TMG 2010 предупреждает о увеличении риска атак на наш сервер. Кликаем ОК и завершаем процесс настройки сетевых параметров.

forefront-tmg-2010-01-04-23-59-05

Следующим этапом будет настройка системных параметров:

forefront-tmg-2010-01-04-23-59-34

Кликаем Configure system setting для запуска мастера:

forefront-tmg-2010-01-04-23-59-39

далее

forefront-tmg-2010-01-04-23-59-47

Если ничего изменять не нужно, тогда нажимаем Далее (Next):

forefront-tmg-2010-01-04-23-59-53

Вот и все настройки тут – Finish,  🙂

Заключительный этап – это настройка параметров развертывания:

forefront-tmg-2010-01-05-00-00-02

далее

forefront-tmg-2010-01-05-00-00-14

чтобы использовать службу Центра обновления Майкрософт для получения обновлений определений вредоносных программ  отмечаем  Использовать службу Центра обновления Майкрософт для проверки наличия обновлений (Use the Microsoft Update service to check for updates):
если сервер TMG 2010 подключен к внутреннему серверу со службой WSUS на получение обновлений, то параметры данной страницы никак на это не повлияют. В случае невозможности получения обновлений от службы WSUS, то будут применены параметры выбранные на этой странице.

forefront-tmg-2010-01-05-00-00-27

и нажимаем Далее (Next).

forefront-tmg-2010-01-07-02-04-01

Включаем система проверки сети выбрав Activate complementary license and enable NIS.

Возможности Веб-защиты мы пока использовать не будем поэтому выбираем Disable Web Protection.

forefront-tmg-2010-01-05-00-07-18

Устанавливаем частоту обновления наборов сигнатур системы проверки сети (NIS), время (в днях) после которого будет отображено предупреждение об устаревших сигнатурах NIS, а также выбираем политику установки обновленных сигнатур.

Щелкаем Далее (Next)

forefront-tmg-2010-01-05-00-07-28

В этом диалогов окне мастера выбираем хотим ли мы участвовать  в анонимной программе улучшения качества программного обеспечения Microsoft – я пока в этом не вижу для себя смысла, поэтому выбрал нет  и выбрал Далее.

forefront-tmg-2010-01-05-00-07-51

Ну и в последнем окне этого мастера предлагается Вам  участвовать  в работе службы Microsoft Telemetry Reporting Service, с помощью которой в Microsoft отправляются данные относительно угроз и их типах.

  • Нажмите кнопку Основные, чтобы отправлять в Майкрософт основные сведения, касающиеся отфильтрованных URL-адресов, переопределения категорий URL-адресов, потенциальных угроз и ответных действий.
  • Нажмите кнопку Дополнительно, чтобы направлять в Майкрософт сведения о потенциальных угрозах, включая образцы трафика и полные URL-строки.
  • Чтобы не участвовать в работе службы, нажмите кнопку Нет.

    Я выбрал последнее, что собственно и завершило процесс настройки  параметров развертывания:

    forefront-tmg-2010-01-05-00-07-54

    forefront-tmg-2010-01-05-00-08-07

    На этом я закончу, получился довольно длинный, но надеюсь, содержательный пост об установке.  Об установке этого продукта можно еще говорить, что я постараюсь сделать в следующих постах. Ну а конфигурация и эксплуатация этого продукта это отдельная тема для еще многих постов и обсуждения.

  • Документация на Microsoft Threat Management Gateway 2010 (TMG 2010) на Technet


    TMG2010[9] Microsoft опубликовала на портале Technet документацию на свой новый продукт  для корпоративной защиты Forefront Threat Management Gateway 2010, который представляет новое решение для комплексной защиты периметра сети и обеспечивает безопасный доступ пользователей к ресурсам Интернет благодаря надежной защите против нежелательного программного обеспечения, опасных веб-сайтов и уязвимостей.  TMG 2010 работает как брандмауэр с функциями фильтрации пакетов и предотвращения вторжений, шлюз VPN, а также выполняет проверку вредоносного ПО и фильтрацию URL.
    Выложенная документация поможет Вам понять как работает TMG 2010, как развертывать и эксплуатировать данный программный продукт в IT-инфраструктуре, а также предоставляет материалы по поиску и устранению неисправностей в данном  продукте. 

    Кликаем сюда и переходим на страничку  с доками по TMG 2010 на Technet.

    Forefront TMG 2010 реализует возможности Microsoft Internet Security and Acceleration (ISA) Server 2006, однако кроме этого имеет дополнительные возможности для защиты корпоративных сетей от внешних угроз.

    В Forefront TMG 2010 включены следующие новые возможности:

    • Web anti-malware  — обеспечивает сканирование Web-страничек на наличие вирусов, вредоносного ПО и других уязвимостей.
    • URL filtering  — позволяет фильтровать доступ  к  веб-сайтам по URL-категориям.  Данная   возможность  позволит   фильтровать доступ к веб-контенту по обновляемой базе категорий (например порнография, покупки,социальные сети и др.).
      Стоит отметить что вышеуказанные возможности входят в часть дополнительной подписки  — Web Protection subscription service, т.е. дополнительно лицензируются (TMG Web Protection Services CAL (per user/per device)).
    • E-mail protection subscription service — Forefront TMG 2010 обеспечивает защиту электронной почты от вирусов, вредоносного ПО, спама.
    • HTTPS inspection обеспечивает проверку  зашифрованного трафика (HTTPS-encrypted sessions) на наличие вредоносного ПО.  Также можно делать исключения при проверке для некоторых групп сайтов (например банковские сайты) в целях сохранения приватности.
    • Network Inspection System (NIS) – позволяет    проверять    трафик    на   уязвимости   в   ПО   Microsoft.  На    основе   анализа   протоколов,  NIS позволяет блокировать различные классы атак.
    • Enhanced Network Address Translation (NAT) позволяет Вам указать индивидуальные почтовые серверы, которые могут быть опубликованы на основе NAT 1-1.
    • Enhanced Voice over IP.
    • Windows Server 2008 with 64-bit support —  включена поддержка  64-битной архитектуры.

    %d такие блоггеры, как: