Forefront TMG Клиент SecureNAT — это компьютер, на котором установлена любая операционная система, использующая доступ к сети по протоколу TCP/IP. В Forefront TMG отсутствуют сведения о клиентах SecureNAT за исключением их упоминания в IP-адресах и протоколах, используемых в клиентских запросах. Клиенты SecureNAT обладают следующими характеристиками:
- В сценарии простой сети (без маршрутизаторов
между клиентом и Forefront TMG) клиентский шлюз по умолчанию
указывает IP-адрес сети Forefront TMG, в которой расположен клиент
(обычно это внутренняя сеть). В сложной сети, где для соединения
подсетей между клиентским компьютером и сервером Forefront TMG
используются маршрутизаторы, параметры шлюза по умолчанию на
последнем маршрутизаторе цепочки должны указывать на Forefront TMG.
Для нормальной работы маршрутизатор должен использовать шлюз по
умолчанию, который указывает кратчайший путь к серверу Forefront
TMG.
- Клиенты SecureNAT могут использовать любой
простой протокол, определенный в Forefront TMG. Клиенты SecureNAT
могут использовать сложные протоколы, требующие установления
дополнительных подключений, если настроен фильтр приложений
Forefront TMG для протокола.
- Проверка подлинности клиентов SecureNAT не
может быть выполнена на сервере Forefront TMG. Если для запроса
необходима проверка подлинности, клиент либо увидит всплывающее
окно с запросом проверки подлинности, либо запрос будет
отклонен.
- Приложения веб-прокси, которые выполняются на
компьютерах клиентов SecureNAT, могут использовать автоматическое
обнаружение настроек прокси. Дополнительные сведения см. в разделе
Настройка
автоматического обнаружения.
Чтобы настроить клиенты SecureNAT, укажите такое значение, чтобы шлюз по умолчанию указывал на Forefront TMG или маршрутизатор. Убедитесь, что сервер Forefront TMG установлен в качестве маршрута в Интернет по умолчанию для клиента.
Настройка разрешения имен
Клиенты SecureNAT могут запросить объекты как с компьютеров в локальной сети, так и в Интернете; они должны разрешить имена как для внешних, так и для внутренних компьютеров. Forefront TMG не выполняет разрешение имен от имени клиентов SecureNAT. Рекомендуется выполнить следующие действия.
- Только для доступа к Интернету настройте
TCP/IP-параметры клиента на использование DNS-серверов в Интернете.
Создайте правило доступа, разрешающее клиентам SecureNAT
использовать протокол DNS, и настройте DNS-фильтр для клиентов
SecureNAT.
- Если клиенты SecureNAT запрашивают данные из
Интернета и внутренних ресурсов, клиенты должны использовать
DNS-сервер, расположенный во внутренней сети. Следует настроить
DNS-сервер на разрешение как внутренних адресов, так и адресов сети
Интернет.
Избегайте замыкания на себя через Forefront TMG для запросов клиентов SecureNAT на внутренние ресурсы. Например, если клиент делает запрос на внутренний ресурс, опубликованный Forefront TMG во внешней сети, разрешение имен не должно разрешать запрос на внешний IP-адрес во внешней сети. Если это происходит и клиент SecureNAT отправляет запрос на внешний IP-адрес, сервер публикации может ответить напрямую клиенту SecureNAT, и запрос будет отклонен. Исходный IP-адрес клиента замещается IP-адресом внутреннего сетевого адаптера Forefront TMG, который распознается опубликованным сервером как внутренний. Поэтому сервер может ответить напрямую клиенту SecureNAT, что приводит к тому, что пакеты будут направляться в одну сторону по одному маршруту, без участия Forefront TMG, а другие пакеты будут направляться в другую сторону через Forefront TMG. В результате Forefront TMG отклонит ответ как недопустимый.