微軟TMG 2010工做組環境獨立服務器陣列配置-1

TMG（Threat Management Gateway）是俗稱微軟的軟件防火牆，相信你們都不陌生，估計好些公司還在使用中。目前我所在的公司也一直在使用，雖然網絡出口處有着很NB的Juniper防火牆，但仍然將TMG架在了公司內部網絡和外部網絡之間，組成DMZ網絡，並經過TMG向Internet發佈一些企業應用系統。長期以來一直單臺服務器提供應用，不免有時出現宕機。隨着公司的發展，單臺TMG嚴重影響系統可用率的提高，所以考慮增長一臺TMG，實現冗餘高可用。

既然是在原有條件下新加一臺TMG，因此新增長的TMG服務器的配置能夠經過將原有TMG服務器的配置導出而後導入到新服務器中，這裏就不在詳細說明了。

能夠參考：《備份和還原 Forefront TMG 配置》

http://technet.microsoft.com/zh-cn/library/bb794815.aspx

在TMG中，有兩種不一樣類型的陣列：獨立陣列(TMG新增的功能)和企業管理服務器管理(Enterprise Management Server-managed，EMS-managed)陣列。EMS陣列通常應用在大型網絡的多臺TMG服務器環境。對於咱們這種單一的網絡環境，獨立服務器陣列是一個不錯選擇。下面咱們來看看如何配置獨立服務器陣列？

雖然獨立服務器看起來比較簡單，但實際操做起來仍是有不少須要配置的，開始時還走了一些彎路。。。最後還諮詢了下微軟工程師，O(∩_∩)O哈哈哈~

企業中的TMG通常分爲兩種，一種是加入域的域模式，一種是工做組模式的。咱們目前的是工做組模式，爲了讓TMG之間可以正確解析，所以須要爲TMG添加dns後綴。

一、爲 TMG 服務器建立 FQDN

右鍵點擊「計算機」—選擇「屬性」—單擊「計算機名」選項卡—單擊「更改」按鈕—而後在「計算機名稱/域更改」對話框中，單擊「更多」按鈕。在「DNS 後綴和 NetBIOS 計算機名」對話框的「此計算機的主 DNS 後綴」中，指定要附加到計算機名稱的 DNS 後綴。而後單擊「肯定」。

應用更改後，請從新啓動計算機，以便使用其新的 FQDN 名稱初始化該計算機。

一樣方式配置TMG02服務器

最後在DNS中爲TMG01和TMG02添加兩條A記錄

二、配置TMG通信證書

因爲TMG是工做組環境，當組成陣列時兩臺TMG服務器之間只能經過證書進行通信。所以首先須要爲TMG申請證書。

1）首先登陸到企業CA證書服務器，建立一個TMG證書模板

打開「證書頒發機構」—展開證書頒發機構，右鍵點擊「證書模板」，選擇「管理」，打開「證書模板控制檯」

TMG使用的WEB服務器證書，所以須要建立一個Web服務器模板，在證書模板控制檯中，右鍵點擊「web服務器」，選擇「複製模板」

選擇「Windows Server 2003 Enterprise（3）」，點擊「肯定」

將複製的模板重命名爲「Web服務器TMG陣列」，並雙擊打開該模板屬性對話框

在「常規」選項卡指定證書的有效期

在「請求處理」選項卡中，勾選「容許導出私鑰」

在「安全」選項卡添加「Domain Computer」和「Domain Controller」用戶組具備讀取和寫入的權限，最後點擊「肯定」

切換到「證書頒發機構」管理控制檯中，再次右鍵點擊「證書模板」，選擇「新建」—「要頒發的證書模板」

選擇「web服務器TMG陣列」，點擊「肯定」，來添加證書申請模板

完成後強制刷新組策略，讓設置當即生效

2）申請證書，能夠在加入域的任意一臺計算機上或者CA服務器上操做

在開始運行中輸入「mmc」，並添加「證書」管理單元

選擇「計算機帳戶」，點擊「下一步」，打開證書控制檯

一次展開證書列，在「我的」—「證書」中，右鍵選擇「全部任務」—「申請新證書」

點擊「下一步」

勾選「web服務器TMG陣列」，而後點擊×××歎號處，配置證書信息

在「使用者」選項卡中，使用者名稱類型中選擇「公用名」並輸入「TMG01.contoso.com」值，點擊「添加」，並「肯定」

注：公用名稱取決於做爲TMG陣列管理服務器的FQDN，這裏表示咱們將TMG01做爲管理服務器。

完成後點擊「註冊」，成功後點擊「完成」

接下來導出新申請的TMG證書，右鍵點擊該證書，選擇「導出」

選擇「是，導出私鑰」

點擊「完成」

完成後，將導出的TMG01.autonavi.com證書複製到TMG服務器TMG01上。暫時不須要導入，之後須要時再導入。

3）、導入CA根證書

打開TMG01的證書管理控制檯，在「受信任的根證書頒發機構」—「證書」中選擇導入

將企業的CA根證書導入到「受信任的根證書頒發機構」

一樣操做將CA根證書導入到TMG02這臺服務器上。