Внутренние компьютеры, расположенные в сетях, защищенных Forefront TMG, могут автоматически определять расположение сервера Forefront TMG, который необходимо использовать в качестве веб-прокси.

Цель данного раздела — помочь администратору подготовить среду к автоматическому обнаружению веб-прокси. В этом разделе рассматриваются следующие темы:

Методы обнаружения

Forefront TMG поддерживает несколько методов автоматического обнаружения:

  • Клиентские компьютеры, на которых выполняется клиент Forefront TMG, для получения параметров веб-прокси могут подключаться к доменным службам Active Directory. Это рекомендуемый метод обнаружения.

  • Клиентские компьютеры, работающие под управлением более ранних версий клиентов межсетевого экрана или клиентов веб-прокси, для получения параметров веб-прокси могут подключаться к DHCP- или DNS-серверу. Этот метод можно также использовать при развертываниях, если сведения об автоматическом обнаружении не обновлены в доменных службах Active Directory. Параметры находятся в файле конфигурации, который, как правило, хранится на сервере Forefront TMG. Дополнительные сведения см. в разделе Расположение файла конфигурации.

    Примечание.
    Если сведения о параметрах прокси-сервера хранятся в доменных службах Active Directory, из соображений безопасности DHCP- и DNS-серверы не используются в качестве резервных. В подобных сценариях развертывания, если расположение файла конфигурации нельзя получить из доменных служб Active Directory (например, если при отправке запроса доменным службам Active Directory возникает ошибка), доступ будет запрещен.
  • Сценарий автоматической конфигурации. Для извлечения параметров прокси-сервера клиентские клиенты подключаются к указанному в сценарии расположению. Этот метод можно использовать в качестве резервного на случай, если получение параметров веб-прокси из доменных служб Active Directory, DHCP или DNS будет невозможно.

Выбор методов обнаружения

При выборе метода (или методов) обнаружения следует учитывать следующее:

  • Использование подключения к DHCP- или DNS-серверу для получения параметров веб-прокси рекомендуется для клиентских компьютеров, которые перемещаются из одной сети в другую, например для мобильных устройств.

  • При реализации автоматического обнаружения с использованием доменных служб Active Directory существуют следующие ограничения:

    • Поддерживается только на клиентах Forefront TMG, не поддерживается для более ранних версий клиентов межсетевого экрана, на клиентах веб-прокси или клиентах SecureNAT.

    • Не поддерживается при развертывании Forefront TMG в рабочей группе.

  • Для клиентских компьютеров, на которых запущен клиент Forefront TMG или более ранняя версия клиента межсетевого экрана, можно применить выбранный метод (или методы) с помощью консоли управления Forefront TMG. Параметры применяются следующим образом:

    • Каждый раз при перезапуске клиента Forefront TMG или клиента межсетевого экрана.

    • Каждый раз при нажатии пользователем кнопки Обнаружить или Тестовый сервер на вкладке "Настройки" в диалоговом окне клиента Forefront TMG.

    • Каждые шесть часов.

  • Для клиентских компьютеров, на которых запущен клиент веб-прокси и клиент Forefront TMG или более ранняя версия клиента межсетевого экрана, выбранный метод (или методы) можно применить с помощью клиента или клиента межсетевого экрана Forefront TMG.

  • Для клиентских компьютеров, на которых запущен веб-прокси без клиента Forefront TMG или более ранние версии клиента межсетевого экрана, а также для клиентов SecureNAT применение выбранного метода (или методов) осуществляется следующим образом:

    • Если используется DHCP- или DNS-сервер, браузеры Internet Explorer настроены по умолчанию на автоматическое обнаружение параметров и дальнейшая настройка не требуется. Для настройки других браузеров обратитесь к соответствующей документации.

    • Если выбран сценарий автоматической конфигурации, необходимо применить конфигурацию ко всем клиентским компьютерам.

    Для применения параметров конфигурации на клиентских компьютерах можно использовать групповую политику.

Расположение файла конфигурации

Если для автоматического обнаружения используется DHCP- или DNS-сервер, параметры веб-прокси содержатся в файле конфигурации. Файл конфигурации можно поместить на Forefront TMG или на другом веб-сервере, например на компьютере, на котором запущены службы IIS. При выборе места хранения файла конфигурации следует учесть следующее:

  • Основное преимущество размещения файла на Forefront TMG заключается в том, что при изменении параметров веб-прокси с помощью консоли управления Forefront TMG файл обновляется автоматически, поэтому обновление этого файла вручную не требуется. Если файл расположен на другом сервере, содержимое файла необходимо будет обновлять вручную.

  • Расположение файлов конфигурации на компьютере, на котором запущены службы IIS, позволяет реализовать возможность отработки отказов. В IIS можно настроить несколько веб-серверов и расположить на каждом веб-сервере разные файлы конфигурации. Активным будет считаться веб-сервер, содержащий параметры веб-прокси для активного в настоящий момент компьютера Forefront TMG.

  • Если файл расположен не на компьютере Forefront TMG, публикация данных автоматического обнаружения не требуется, поскольку Forefront TMG не прослушивает запросы на автоматическое обнаружение. Этот вариант может быть удобен в случае, если службы IIS установлены на компьютере Forefront TMG и существует вероятность возникновения конфликта портов.

Обнаружение с использованием DHCP- и DNS-серверов

При реализации автоматического обнаружения с использованием DHCP- и DNS-серверов следует учесть следующее:

  • И для DHCP- , и для DNS-реализации файл конфигурации должен быть опубликован на порте 80.

  • Записи в DNS могут использоваться только клиентскими компьютерами, которые настроены на разрешение имен DNS.

  • При реализации обнаружения с помощью DNS-сервера записи должны быть настроены для каждого домена, который содержит клиентские компьютеры, на которых включено автоматическое обнаружение.

  • Для реализации обнаружения с помощью DHCP-сервера допустимый DHCP-сервер должен быть установлен в одной сети с клиентскими компьютерами.

  • В некоторых клиентских операционных системах DHCP-сервер доступен только определенным группам пользователей. Дополнительные сведения см. в статье Автоматическое обнаружение прокси-сервера в Internet Explorer с особыми разрешениями DHCP (http://go.microsoft.com/fwlink/?LinkID=69274) (возможно, на английском языке).

  • Если настройка или отмена автоматического обнаружения происходит после развертывания роли сервера DNS на сервере, работающим под управлением Windows Server 2008, необходимо обновить список блокировки на всех DNS-серверах, на которых находятся измененные зоны. Измененные зоны – это области регистрации серверов.

  • Обычно DHCP-серверы с функцией автоматического обнаружения лучше всего работают для клиентов в локальных сетях, тогда как DNS-серверы — на компьютерах, подключенных к локальной сети и использующих подключение удаленного доступа. Несмотря на то что DNS-серверы могут обрабатывать сетевые подключения и подключения удаленного доступа, серверы DHCP предоставляют пользователям LAN более быстрый доступ и значительную гибкость. Åñëè íàñòðîåíû è DHCP, è DNS, òî êëèåíòû ñíà÷àëà îáðàùàþòñÿ ñ çàïðîñîì íà äàííûå àâòîîáíàðóæåíèÿ ê DHCP, à çàòåì – ê DNS.

См. также