Этот раздел относится только к массивам из нескольких серверов.
Серверы, составляющие массив Шлюз Microsoft Forefront Threat Management, взаимодействуют между собой по безопасным, запечатанным каналам. Сюда относится взаимодействие внутри массива, а также взаимодействие каждого члена массива с сервером хранилища настроек.
Компьютеры, на которых выполняются службы Forefront TMG, перечислены на узле серверов диспетчера Forefront TMG для каждого массива. Их называют членами массива. Члены массива взаимодействуют с сервером хранилища настроек посредством протокола хранилища межсетевого экрана Microsoft. Компьютеры, на которых выполняется диспетчер Forefront TMG, также используют протокол хранилища межсетевого экрана Microsoft для считывания и отправки данных на сервер хранилища настроек. Протокол хранилища межсетевого экрана Microsoft, основанный на LDAP, - это исходящий протокол TCP на порте 2171.
Отслеживание взаимодействия происходит с помощью удаленных вызовов процедур (RPC). Компьютеры под управлением диспетчера Forefront TMG используют RPC для запросов локальной информации в реальном времени с компьютеров, на которых выполняются службы Forefront TMG.
Все каналы взаимодействия между межсетевыми экранами, консолями управления и серверами настроек запечатаны.
Адрес внутри массива
Взаимодействие между членами массива происходит при помощи адреса внутри массива, который изначально установлен как IP-адрес по умолчанию для сетевой платы члена массива во внутренней сети. Администратор массива может изменять адрес внутри массива.
Взаимодействие в массиве в сценариях
рабочей группы
В сценариях рабочей группы компьютеры, на которых выполняются службы Forefront TMG, получают доступ к хранилищу настроек (на сервере хранилища настроек) при помощи хранилища межсетевого экрана Microsoft по протоколу SSL (на порте 2172). Сервер хранилища настроек, на котором выполняется экземпляр Active Directory® Application Mode (ADAM), поддерживает протокол LDAPS. Чтобы включить это взаимодействие, необходимо установить сертификат (из центра сертификации), которому доверяют компьютеры, выполняющие службы Forefront TMG. Затем необходимо установить сертификаты серверов на серверы хранилища настроек.
Компьютеры под управлением диспетчера Forefront TMG выполняют проверку подлинности на сервере хранилища настроек и компьютерах, выполняющих службы Forefront TMG, при помощи учетных записей домена или локальных дублированных учетных записей. Локальные дублированные учетные записи должны быть созданы на каждом члене массива.
В среде рабочей группы компьютеры, на которых выполняются службы Forefront TMG, используют учетные записи ADAM для проверки подлинности на сервере хранения настроек. Канал LDAPS запечатывает последовательность проверки подлинности. Учетная запись ADAM создается для каждого члена массива во время установки, пока объект сервера создается в центральном хранилище на сервере хранилища настроек.
Правила системной политики
Forefront TMG содержит следующие правила системной политики, которые включают взаимодействие между членами массива, серверами хранилища настроек и консолями управления.
| Группа сценария | Группа настройки | Имя правила | Описание правила |
|---|---|---|---|
|
Сервер хранилища настроек |
Удаленный доступ к серверу хранилища настроек |
Разрешить удаленный доступ к серверу хранилища настроек |
Разрешить доступ с локального узла к набору компьютеров «Сервер хранилища настроек предприятия» с использованием протокола хранилища межсетевого экрана Microsoft. |
|
Сервер хранилища настроек |
Доступ к локальному серверу хранилища настроек |
Разрешить доступ с доверенных серверов к локальному серверу хранилища настроек |
Разрешает доступ к локальному узлу с наборов компьютеров «Серверы массива», «Компьютеры удаленного управления предприятия», «Управляемые компьютеры Forefront TMG», «Компьютеры удаленного управления» и «Реплицированные серверы хранилища настроек», используя протоколы CIFS (TCP и UDP) и протокол хранилища межсетевого экрана Microsoft. |
|
Сервер хранилища настроек |
Доступ к реплицированному серверу хранилища настроек |
Разрешить репликацию между серверами хранилища настроек |
Разрешить взаимодействие с набором компьютеров «Реплицированные серверы хранилища настроек» с использованием протокола хранилища межсетевого экрана Microsoft и RPC. |
|
Взаимодействие внутри массива |
Взаимодействие членов массива |
Разрешить взаимодействие внутри массива |
Разрешает взаимодействие внутри массива с набором компьютеров «Серверы массива» с использованием протоколов хранилища межсетевого экрана Microsoft и RPC. |
|
Удаленное управление |
Консоль управления (MMC) |
Разрешить удаленное управление с выбранных компьютеров при помощи MMC |
Разрешает взаимодействие между наборами компьютеров «Серверы массива», «Компьютеры удаленного управления предприятия», «Компьютеры удаленного управления», с одной стороны, и локальным узлом, с другой, с использованием MS Firewall Control, датаграммы NetBIOS, службы имени NetBIOS, сеанса NetBIOS и протоколов RPC (все интерфейсы). |
|
Удаленное управление |
Сервер терминалов |
Разрешить удаленное управление с выбранных компьютеров при помощи сервера терминалов. |
Разрешает взаимодействие между наборами компьютеров «Компьютеры удаленного управления предприятия» и «Компьютеры удаленного управления», с одной стороны, и локальным узлом, с другой, при помощи протокола RDP (серверы терминалов). |
|
Удаленное управление |
Протокол ICMP |
Разрешить отправлять ICMP-запросы (PING) на Forefront TMG с выбранных компьютеров |
Разрешает взаимодействие между наборами компьютеров «Компьютеры удаленного управления предприятия» и «Компьютеры удаленного управления», с одной стороны, и локальным узлом, с другой, при помощи протокола ICMP. |
Наборы компьютеров и наборы доменных
имен
При необходимости нужно изменить настройки следующих наборов компьютеров в зависимости от конфигурации массива.
- Компьютеры удаленного управления предприятия. К этому
набору компьютеров относится любой компьютер, осуществляющий
управление конфигурацией предприятия, и все массивы на
предприятии.
- Компьютеры удаленного управления. Для каждого массива
этот набор компьютеров включает компьютеры, которые могут удаленно
управлять массивом.
- Серверы массива. Для каждого массива этот набор
компьютеров содержит IP-адреса членов массива. Компьютеры
добавляются во время установки. Если впоследствии вы изменили адрес
члена массива, убедитесь, что вы обновили этот набор компьютеров
соответствующим образом.
- Реплицированные серверы хранилища настроек. К этому
набору компьютеров относятся все серверы хранилища настроек на
предприятии.
- Управляемые компьютеры Forefront USG. Для каждого
массива этот набор компьютеров содержит IP-адреса членов массива, у
которых есть доступ к серверу хранилища настроек.
Кроме этого набор доменных имен сервера хранилища настроек предприятия автоматически включает имя сервера хранилища настроек для массива. Если задать альтернативный сервер хранилища настроек, он также включается в набор доменных имен.
Протоколы
Определены следующие протоколы, разрешающие взаимодействие внутри массива.
- Хранилище межсетевого экрана Microsoft. Этот протокол
является исходящим протоколом TCP на порты 2171 и 2172. Он основан
на протоколах LDAP и LDAPS.
- Репликация хранилища межсетевого экрана Microsoft. Этот
протокол является исходящим протоколом TCP на порт 2173 и
используется для репликации между серверами хранилища настроек.
- MS Firewall Control. Этот протокол является исходящим
протоколом TCP и используется для взаимодействия между диспетчером
Forefront TMG и компьютерами, на которых выполняются службы
Forefront TMG.