Контрольный список планирования создается для того, чтобы помочь пользователю спланировать развертывание Шлюз Microsoft Forefront Threat Management до установки и начала настройки. В него включаются вопросы, которые необходимо принять во внимание и относящиеся к:
- установке
- политике веб-доступа
- доступу веб-клиента Exchange
- публикации сервера Microsoft® Windows® SharePoint® Server
- публикации почтового сервера
- VPN с удаленным доступом
Установка
| Компонент/Вопрос | Необходимое планирование |
|---|---|
|
Разрешение имен |
Для корректной работы сервера Forefront TMG компьютер Forefront TMG должен разрешать внутренние имена и имена Интернет. Перед установкой Forefront TMG необходимо убедиться, что разрешение имен настроено в среде соответствующим образом. Дополнительные сведения о разрешении имен см. в разделе Планирование разрешения DNS-имен. |
|
Работа в сети |
Все сетевые платы должны быть установлены надлежащим образом и настроены на соответствующие IP-адреса. Требуемые для среды пользователя записи маршрутизации при необходимости должны быть настроены до установки Forefront TMG. |
|
Членство в домене |
Проверка подлинности пользователя и другие факторы определяют, будет ли Forefront TMG являться членом домена или рабочей группы. Дополнительные сведения о рекомендациях по развертыванию Forefront TMG см. в разделе Особенности рабочей группы или домена. |
|
Требования к оборудованию |
См. радел Системные требования. |
|
Требования к программному обеспечению |
См. радел Системные требования. |
Безопасные веб-публикации
| Компонент/Вопрос | Необходимое планирование |
|---|---|
|
Внешнее имя узла |
Когда пользователи заходят на опубликованный веб-узел, им необходимо знать, какое имя узла использовать. В большинстве случаев именем узла будет полное доменное имя (FQDN), например mail.contoso.com. Рекомендуется выбирать имя, которое пользователи могут легко запомнить. |
|
Разрешение имен |
Когда Forefront TMG обращается в Интернет, внешнее имя узла должно быть разрешено для IP-адреса, установленного на компьютере Forefront TMG. На DNS-сервере должна быть создана запись, указывающая на IP-адрес на компьютере Forefront TMG. Если общий DNS-сервер вашей компании размещается на стороне вашего поставщика услуг Интернета (ISP) или другого поставщика, для создания такой записи вам необходимо проконсультироваться с ними. |
|
IP-адрес |
IP-адрес, который вы выбрали для разрешения имен для внешнего имени узла, необходимо настроить на компьютере Forefront TMG. IP-адрес может иметь только один связанный с ним сертификат. Если вы хотите использовать один и тот же IP-адрес для разных узлов, можно установить групповой сертификат. Дополнительные сведения о сертификатах см. ниже, в разделе «Сертификаты Forefront TMG». |
|
Сертификаты Forefront TMG |
Чтобы включить обмен зашифрованными данными между клиентом и Forefront TMG, на компьютере Forefront TMG должен быть установлен сертификат сервера. Общее имя, используемое при создании сертификата, должно соответствовать внешнему имени узла. Дополнительные сведения о сертификатах и Forefront TMG см. в разделе Планирование развертывания сертификатов. |
|
Опубликованный веб-узел сертификатов |
Чтобы включить безопасный обмен данными между компьютером Forefront TMG и опубликованным веб-узлом, сертификат сервера должен быть установлен на опубликованном веб-узле. При обращении к внешнему веб-узлу компьютер Forefront TMG должен использовать общее имя, содержащееся в сертификате, в противном случае Forefront TMG не сможет установить безопасное соединение. Чтобы установить соединение, сертификат доверенного корневого центра сертификации, выпустившего сертификат, установленный на опубликованном веб-узле, должен быть установлен на компьютере Forefront TMG. |
|
Ограниченное делегирование Kerberos |
При использовании ограниченного делегирования Kerberos (KCD) в качестве метода делегирования проверки подлинности делегирование KCD должно быть настроено для объекта компьютера Forefront TMG в Active Directory®. |
|
Делегирование проверки подлинности |
При настройке делегирования проверки подлинности необходимо привести в соответствие выбранный метод делегирования проверки подлинности и метод проверки подлинности, поддерживаемый на опубликованном сервере. Дополнительные сведения см. в разделе Делегирование учетных данных. |
Доступ веб-клиента Exchange
| Компонент/Вопрос | Необходимое планирование |
|---|---|
|
Проверка подлинности на основе форм |
Когда Forefront TMG используется для публикации доступа веб-клиента Exchange, проверку подлинности на основе форм нужно настраивать только на компьютере Forefront TMG. Убедитесь, что проверка подлинности на основе форм не выбрана для серверов Exchange 2007 Client Access Server и 2003 Front-End server. |
Публикация сервера Microsoft®
Windows® SharePoint® Server
| Компонент/Вопрос | Необходимое планирование |
|---|---|
|
Альтернативное сопоставление доступа (AAM) |
Альтернативное сопоставление доступа предоставляет администраторам SharePoint механизмы для определения различных способов получения пользователями доступа к узлам портала, обеспечивающих отображение URL-адресов (ссылок), соответствующее способу доступа пользователей к узлам портала. Дополнительные сведения см. в разделе Настройка альтернативных сопоставлений доступа на сервере SharePoint. |
Публикация почтового сервера
| Компонент/Вопрос | Необходимое планирование |
|---|---|
|
MX-запись |
При публикации SMTP-сервера необходимо соответствующим образом настроить MX-записи для каждого домена. MX-запись будет указывать на A-запись, а A-запись должна указывать на IP-адрес, настроенный на компьютере Forefront TMG. Дополнительные сведения см. в разделе Настройка исходящей электронной почты через протокол SMTP |
VPN с удаленным доступом
| Компонент/Вопрос | Необходимое планирование |
|---|---|
|
Управление карантином |
Управление карантином позволяет проверить состояние клиентов, пытающихся создать подключение удаленного доступа. Дополнительные сведения об управлении карантином см. в разделе Настройка карантина на основе защиты доступа к сети (NAP). |