Cấu hìnhForefrontTMG làm máychủ
DirectAccess
Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách cấuhìnhCấuhình
Forefront TMG làm máychủ DirectAccess.
Các bạn lưu ý hướng dẫn này sẽ chỉ giới thiệu các bước cần thiết để cấu hìnhForefront
TMG làm máychủDirectAccess Server. Việc cấuhìnhmáychủDirectAccess hoàn toàn
nằm bên ngoài phạm vi của bài viết.
Một vấn đề quan trọng các bạn cần biết đó là ForefrontTMG không chấp nhận lưu lượng
IPv6 hay cho phép nó đi thông qua, vì vậy đầu tiên chúng ta phải thay đổi hành vi này
trước khi ForefrontTMG được cài đặt để cho phép lưu lượng sau:
Lưu lượng IPv6 gửi vào đã được xác thực (sử dụng IPSec), gồm có cả lưu lượng
khởi tạo IPSec.
Các kỹ thuật chuyển lưu lượng IPv6 gửi vào và gửi ra (6to4, Teredo, IP-HTTPS và
ISATAP)
IPv6 nguyên bản từ máyForefront TMG.
Thêm vào đó, ForefrontTMG tích hợp với thành phần IPSec Denial of Service Protection
(DoSP) của Windows DirectAccess để bảo đảm rằng chỉ có lưu lượng IPSec được phép
thông qua.
Chú ý:
Chúng ta cần cài đặt và cấuhình Windows Server 2008 R2 DirectAccess trước khi cài
đặt Forefront TMG.
Đầu tiên chúng ta đi cài đặt giao diện quản lý Windows Server 2008 R2 DirectAccess
như thể hiện trong hình bên dưới.
Hình 1: Cài đặt tính năng Windows Server 2008 R2 DirectAccess
Sau khi giao diện quản lý đã được cài đặt xong, khởi chạy giao diện quản lý và cấuhình
DirectAccess, sau đó test toàn bộ các chức năng trước khi cài đặt Forefront TMG.
Hình 2: Giao diện quản lý DirectAccess
Sau khi thẩm định cài đặt và cấuhìnhDirectAccess thành công, chúng ta phải thay đổi
Registry với một key mới trước khi cài đặt Forefront TMG. Key này nhằm tránh cho
Forefront TMG vô hiệu hóa sự hỗ trợ giao thức IPv6 trong quá trình cài đặt Forefront
TMG.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\ISACTRL]
"CTRL_SKIP_DISABLE_IPV6_PROTOCOLS"=dword:00000001
Hình 3: Kịch bản kích hoạt sự hỗ trợ giao thức IPv6 cho ForefrontTMG
Sau khi Registry được thay đổi thành công, cài đặt ForefrontTMG theo cách bạn cài đặt
máy chủForefrontTMG thông thường. Khi cài đặt ForefrontTMG xong, chúng ta phải
thay đổi cấuhìnhForefrontTMG bằng kịch bản cho phép hỗ trợ IPv6. Copy đoạn mã
dưới đây vào một file Notepad trắng và lưu lại với đuôi .VBS.
set o = createobject("fpc.root")
setarr = o.Arrays.Item(1)
set policy = arr.ArrayPolicy
set IPV6Settings = policy.IPv6Settings
IPV6Settings.DirectAccessEnabled = vbTrue
arr.save
Hình 4: Lưu kịch bản dưới đuôi .VBS
Lưu kịch bản bằng đuôi .VBS và chạy nó từ dòng lệnh với lệnh sau:
Cscript DA-Enable.VBS
Do cấu hìnhForefrontTMG thay đổi nên bạn sẽ phải chờ một chút cho tới khi cấuhình
được đồng bộ. Bạn sẽ thấy trạng thái cấuhình trong giao diện quản lý của Forefront
TMG như thể hiện trong hình bên dưới.
Hình 5: Đợi cho quá trình đồng bộ hoàn tất
Kịch bản sẽ tạo ra bốn rule chính sách hệ thống mới để DirectAccess hỗ trợ lưu lượng
IPv6.
Hình 6: Một số chính sách hệ thống mới của ForefrontTMG
Nút “Act as a Direct Access server”
Forefront TMG Beta và RC có tab IPv6 trong phần IP preferences trong giao diện quản
lý để cấu hìnhForefrontTMG làm DirectAccess Server (xem thể hiện trong hình dưới).
Hình 7: Nút Act as a Direct Access Server
Tuy nhiên sau khi bản RTM được phát hành, tab IPv6 bị gỡ khỏi giao diện điều khiển
Forefront TMG.
Hình 8: Bạn sẽ thấy nút DirectAccess trong ForefrontTMG phiên bản Beta và RC
Ẩn các entry bản ghi IPv6
Forefront TMG có tùy chọn cho phép bạn ẩn lưu lượng IPv6 từ tab Real-time
monitoring. Do ForefrontTMG không hỗ trợ IPv6 nên đây là một tùy chọn dùng để ẩn
các entry nhằm quan sát dễ dàng hơn bên trong bản ghi TMG.
Hình 9: Ẩn các entry bản ghi IPv6
Nếu muốn có thêm nhiều chức năng và sự linh hoạt, bạn có thể sử dụng Forefront UAG
cho kịch bản DirectAccess của mình. Sử dụng Forefront UAG sẽ có những ưu điểm dưới
đây:
Dễ dàng mở rộng (cho phép 8 Forefront UAG Server được join vào một mảng )
Khả năng có sẵn cao (với Windows Server 2008 R2 NLB)
Truy cập vào các máychủ cũ trong công ty qua IPv4
Dễ dàng cấu hình, triển khai và quản lý
Forefront UAG cài đặt ForefrontTMG trên mỗi nút trong suốt quá trình cài đặt
Giải pháp truy cập từ xa khác cho các máy không được join vào miền.
. Cấu hình Forefront TMG làm máy chủ
DirectAccess
Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách cấu hình Cấu hình
Forefront TMG làm máy. máy chủ DirectAccess.
Các bạn lưu ý hướng dẫn này sẽ chỉ giới thiệu các bước cần thiết để cấu hình Forefront
TMG làm máy chủ DirectAccess Server. Việc cấu