Одной из основных проблем, которая встает перед администраторами при развертывании Шлюз Microsoft Forefront Threat Management, это настройка разрешения DNS-запросов в Forefront TMG. При неправильной конфигурации DNS разрешение внутренних либо внешних имен сервером Forefront TMG становится невозможным. Проблемы разрешения имен могут возникать нерегулярно и потому быть трудными в отслеживании. Проявления их могут быть разнообразными: в одних случаях пользователи не получают отправленные по электронной почте сообщения, в других оказывается невозможным доступ к Интернету через веб-прокси.

Примечание.
Описываемый в данном документе параметр DNS настраивается в дополнительных свойствах TCP/IP для каждой сетевой платы, установленной на сервере Forefront TMG.

В этом документе описываются различные сценарии использования Forefront TMG, приводятся подробные инструкции по настройке DNS в Forefront TMG для каждого сценария и поясняется, в каких случаях целесообразно использование каждой из конфигураций. В нем рассматривается простейшая конфигурация, односетевой сервер Forefront TMG в сценарии рабочей группы, а также описывается более сложный сценарий - многосетевой сервер Forefront TMG, являющийся членом домена.

При настройке DNS на сервере Forefront TMG необходимо помнить два правила. Эти правила распространяются на любую конфигурацию DNS на базе систем Windows.

Вне зависимости от количества установленных на сервере сетевых плат DNS-серверы должны назначаться только одной сетевой плате (любой из них). Нет необходимости настраивать DNS на всех сетевых платах.
Для разрешения имен должны использоваться либо только внутренние, либо только внешние DNS-серверы.

Многосетевые серверы

При использовании многосетевых серверов Forefront TMG параметры DNS настраиваются для сетевых плат как внешней, так и внутренней сети. Их неправильная конфигурация может в некоторых случаях приводить к неполадкам в работе Forefront TMG.

Существует несколько способов правильной настройки DNS в зависимости от требований внутренней сети.

Компьютеры рабочей группы

Серверы Forefront TMG, не являющиеся членами домена, должны настраиваться так же, как и сервер Forefront TMG с одной сетевой платой. При наличии внутренней зоны DNS, требующей разрешения, разрешение DNS должно производиться DNS-сервером во внутренней сети. Внутренний DNS-сервер далее передает запросы на разрешение имен к DNS-серверам поставщика услуг Интернета, либо использует корневые подсказки для передачи запросов к корневым DNS-серверам для разрешения имен.

Компьютер-член домена с полным внутренним разрешением

Это наиболее часто используемый способ установки. На многосетевых серверах Forefront TMG, являющихся членами домена, сетевая плата должна быть связана только с внутренними DNS-серверами, поскольку она должна являться участником домена. Внутренние DNS-серверы должны передавать запросы на разрешение имен к DNS-серверам поставщика услуг Интернета во внешней сети или к корневым DNS-серверам. Это позволяет внутренним клиентам производить разрешение имен как внутренних узлов, так и узлов в Интернете.

Изолирование внутренних DNS-серверов

Другим распространенным сценарием является ситуация, в которой внутренние DNS-серверы вообще не посылают DNS-запросов в Интернет. При этом отсутствует необходимость в разрешении имен в Интернете как для внутренних DNS-серверов, так и для использующих их клиентов.

Сервер Forefront TMG не должен быть связан с внутренними DNS-серверами для разрешения имен, но в то же время должен производить разрешение как внутренних, так и внешних DNS-имен. Установите еще один DNS-сервер на самом сервере Forefront TMG или назначьте внутренний DNS-сервер, выделенный для разрешения внутренних и внешних DNS-имен.

На созданном DNS-сервере настройте вторичное пространство имен для внутреннего пространства имен DNS, а затем настройте DNS-сервер на пересылку запросов на корневые DNS-серверы или DNS-серверы поставщика услуг Интернета для разрешения имен.

Это решение позволяет обеспечить эффективную изоляцию пространства имен интрасети, а также избежать засорения и подделки записей кэша на внутренних DNS-серверах.

Сценарии с одной сетевой платой

В этом разделе описываются ситуации, когда на сервере Forefront TMG установлена одна сетевая плата, и он может выступать только в роли веб-прокси и сервера кэширования.

Компьютер рабочей группы при отсутствии внутреннего DNS-сервера

Сервер Forefront TMG не является членом домена, и отсутствует внутренний DNS-сервер. DNS-запросы направляются на DNS-серверы поставщика услуг Интернета во внешней сети.

Компьютер рабочей группы при наличии внутреннего DNS-сервера

Изолированный сервер Forefront TMG, не являющийся членом домена, при наличии внутреннего DNS-сервера должен быть связан с внутренним DNS-сервером для разрешения внутренних имен и не должен связываться с DNS-сервером поставщика услуг Интернета во внешней сети, выступающим в качестве дополнительного сервера. Чтобы сервер Forefront TMG мог разрешать внешние имена, внутренний DNS-сервер должен использовать перенаправители для связи с DNS-серверами поставщика услуг Интернета во внешней сети или направлять запросы к корневым DNS-серверам (с помощью корневых подсказок). Если серверу Forefront TMG не нужно производить разрешение внутренних DNS-имен, он может быть безопасно связан с DNS-серверами поставщика услуг Интернета.

Типичные вопросы

Вопрос. Почему нельзя назначить сперва DNS-сервер Windows, а затем DNS-сервер поставщика услуг Интернета?

Ответ. Представление о том, что путем назначения сперва DNS-сервера домена Windows, а затем DNS-сервера поставщика услуг Интернета можно добиться повышения отказоустойчивости, является распространенным заблуждением. Проблема заключается в том, что в случае отказа первого DNS-сервера Forefront TMG будет использовать второй DNS-сервер и не станет переключаться к исходному DNS-серверу до тех пор, пока и второй DNS-сервер даст сбой. DNS будет работать до тех пор, пока внутренний DNS-сервер не будет остановлен для проведения технического обслуживания. Через несколько часов доступ к Интернету окажется закрыт, потому что пользователи не смогут пройти проверку подлинности в домене. Для решения этой проблемы можно перезапустить сервер Forefront TMG.

Вопрос: Почему нельзя связать внешнюю сетевую плату Forefront TMG с DNS-сервером поставщика услуг Интернета?

Ответ: Проблема в том, что при разрешении имен Forefront TMG не различает внутреннюю и внешнюю сеть. Это может привести к тому, что Forefront TMG попытается разрешить внутренние имена во внешнюю сеть. После получении сообщения «Имя не найдено» сервер Forefront TMG не станет искать внутреннее имя повторно, и участие в домене станет невозможным.