本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!
[TMG] 使用 ADSI 访问 TMG 的配置数据库
使用 ADSI 访问 TMG 的配置数据库
Forefront Threat Management Gateway 2010(TMG 2010) 的前身便是 Internet Security and Acceleration Server(ISA),他是 MS ITPro 熟知的一款网络安全产品,被广泛应用在企业中,担当安全网关、Web 代理、Web 缓存、VPN 和发布内部服务的角色。在 ISA 升级到 TMG 后,其功能也更加强大,稳定性也有所提升!但是任何一款产品都并非完美,总会出现一些问题,表面看来可能致命,其实基本上都能进行排错解决!
今天 gOxiA 要与大家分享的是如何使用 ADSI 工具访问 TMG 的配置数据库。TMG 配置数据通过 ADAM 进行存储,我们可以用 ADSI 工具进行访问操作。
- 首先打开“管理工具”中的“ADSI 编辑器”,在左侧窗体选择“ADSI 编辑器”并鼠标右键点击“连接到…”
- 在“连接点”的“选择或键入可分辨名称或命名上下文”的下拉框键入“CN=FPC2”
- 在“计算机”的“选择或键入域或服务器”下拉框中键入“localhost:2171”
- 最后点击“确定”
只要能够连接到 TMG 的配置数据库,那么几乎所有在 TMG 控制器操作时出现的故障都能够解决。后续日志 gOxiA 会与大家分享一个典型的 TMG 排错案例!
[TMG] 多外网 IP 环境下为特定计算机或网络集指定 NAT 出口
多外网 IP 环境下为特定计算机或网络集指定 NAT 出口
gOxiA 所在的公司前段时间进行了并网,将办公室网络与机房主干网进行了联结!至此,访问互联网的速度得到了质的提升。而办公室内的 Windows Small Business Server 2011 Standard(SBS2011)服务器不再需要通过 Smart Host 进行邮件的外发处理,而可以直接使用机房的公网IP。但是随即也引发了一些问题!因为前端部署有 TMG 服务器,而外网多个 IP 都绑定在 TMG 的外部网卡上(用于服务发布),默认情况下内网用户都会经由 TMG 的 Primary IP 进行 NAT 访问,因为业务需求 TMG 开放了内网 SMTP 的访问权限,那么此时就会出现安全问题。
因为邮件服务器与其他用户使用同一个 Primary IP 访问 Internet,那么一些用户的访问行为可能会影响邮件服务器的信用等级!该如何为特定的计算机或网络集指定 NAT 呢?!gOxiA 就此问题曾咨询了 Microsoft Partner Support,获得的解决方案是需要部署 Exchange Edge,但是对于 SBS 来讲此解决方案并不合适,后来向 China MVP 的 MailList(NDA) 发送了求助邮件,获得了一个简单可行的解决办法!
在 ISA/TMG 中我们可以利用网络规则来为特定资源指定 NAT 地址,这样 gOxiA 便可以为 SBS2011 单独指定一个 NAT IP,与办公室上网所用默认的 Primary IP 分离,从而保证了服务器的安全。为此,需要打开 TMG 控制器进行配置。
- 在左侧的“控制台树”中展开“Forefront TMG”,并切换至“网络连接”
- 在中间的内容窗体中点击“网络规则选项卡”
- 在任务窗体中点击“创建网络规则”
- 跟随向导执行操作,创建一个名为“SBS2011 to Internet”的网络规则
- 在网络通讯源中添加一个“计算机”源,其中计算机源就是 SBS2011
- 在网络通讯目标中添加“外部”
- 在网络关系中选择“网络地址转换”
- 在 NAT 地址选择中选择“使用指定的 IP 地址”,为 SBS2011 指定专用的 NAT IP
- 最后完成操作
至此,配置操作即告完成。现在我们可以服务器上访问 ip138 网站看看识别的 NAT IP 是否为指定的地址。最后感谢 王春海 和 刘力科 两位 MVP 提供的帮助!
