Во время установки Forefront TMG Enterprise можно выбрать вариант развертывания: в домене или в рабочей группе. Назначение этого раздела — помочь в выборе среды развертывания с учетом следующих положений:
Примечание. |
---|
Эти положения также касаются компьютеров, на которых установлен Forefront TMG Standard, присоединенный к серверу Enterprise Management Server. |
Общие положения
При выборе между развертыванием в домене и рабочей группе следует учитывать следующее.
- При корпоративном развертывании и
развертывании массива в рабочей группе требуются дополнительные
предварительные настройки, которые не требуются при развертывании в
домене. Кроме того, на компьютере Forefront TMG потребуется
обеспечить поддержку дублированных учетных записей.
- В рабочей группе не поддерживается репликация
EMS.
- В рабочей группе не поддерживается
автоматическое обнаружение веб-прокси. Дополнительные сведения см.
в разделе Планирование
автоматического обнаружения веб-прокси.
- В рабочей группе сертификат сервера должен
быть установлен на компьютере Forefront TMG. Дополнительные
сведения см. в разделе Планирование
сертификатов сервера.
- Для сопоставления учетных записей
пользователей операционных систем, отличающихся от Microsoft
Windows, учетным записям пользователей домена можно настроить
функцию сопоставления пользователей VPN-клиента. Сопоставление
пользователей поддерживается только при установке Forefront TMG в
домене.
- В домене можно заблокировать сервер Forefront
TMG с помощью групповой политики, а не при помощи настройки одной
локальной политики.
- Если в среде домена возникает угроза
безопасности доменных служб Active Directory, например, из-за
внутренней атаки, межсетевой экран также может быть подвержен
опасности, поскольку пользователь с правами администратора домена
может управлять каждым членом домена, включая сервер с Forefront
TMG. Подобным образом, если возникает угроза безопасности
межсетевого экрана, домен, в котором находится Forefront TMG, также
подвержен риску. По умолчанию группа администраторов домена
находится в группе администраторов сервера Forefront TMG.
Особенности сетевых топологий
Forefront TMG часто используется в следующих сетевых топологиях:
- Пограничная конфигурация
- Forefront TMG обеспечивает защиту границы, на
которой одна сетевая плата подключена к внутренней сети, а другая —
к внешней.
- Конфигурация с двумя межсетевыми экранами, в
которой Forefront TMG выступает в качестве внешнего межсетевого
экрана, обеспечивающего защиту границы сети, на которой одна
сетевая плата подключена к внешней сети, а другая — к
демилитаризованной зоне. Внутренний межсетевой экран (которым может
быть Forefront TMG или продукт стороннего производителя)
устанавливается между демилитаризованной зоной и внутренней
сетью.
- Тройная конфигурация, в которой компонент
Forefront TMG настроен с тремя сетевыми платами, подключенными к
внутренней сети, внешней сети и демилитаризованной зоне.
- Forefront TMG обеспечивает защиту границы, на
которой одна сетевая плата подключена к внутренней сети, а другая —
к внешней.
- Внутренняя конфигурация
- Forefront TMG внутри сети в сценарии с двумя
межсетевыми экранами. Стандартным сценарием, при котором один
сервер Forefront TMG установлен на границе сети, а второй сервер
Forefront TMG установлен внутри, является установка внешнего
сервера Forefront TMG в режиме рабочей группы, а внутреннего — в
качестве члена домена. Установка внутреннего сервера в качестве
члена домена позволяет выполнять проверку подлинности запросов на
основании данных из доменных служб Active Directory. Кроме того,
внутренний компьютер Forefront TMG можно усилить с помощью
групповой политики, используемой для упрощения управления.
- Компонент Forefront TMG настроен с одним
сетевым адаптером. В этом сценарии Forefront TMG действует как
веб-прокси или сервер кэширования. Основным преимуществом установки
компьютера Forefront TMG в качестве члена домена в этом случае
является простота его использования для проверки подлинности
пользователей на основании данных из доменных служб Active
Directory.
- Forefront TMG внутри сети в сценарии с двумя
межсетевыми экранами. Стандартным сценарием, при котором один
сервер Forefront TMG установлен на границе сети, а второй сервер
Forefront TMG установлен внутри, является установка внешнего
сервера Forefront TMG в режиме рабочей группы, а внутреннего — в
качестве члена домена. Установка внутреннего сервера в качестве
члена домена позволяет выполнять проверку подлинности запросов на
основании данных из доменных служб Active Directory. Кроме того,
внутренний компьютер Forefront TMG можно усилить с помощью
групповой политики, используемой для упрощения управления.
Особенности проверки подлинности
При выборе между развертыванием в домене и рабочей группе следует учитывать следующие проблемы, связанные с проверкой подлинности.
- Если правила доступа требуют проверки
подлинности внутренних клиентов для исходящего доступа, Forefront
TMG может выполнить проверку подлинности учетных записей
пользователей домена на основании данных, предоставляемых доменными
службами Active Directory. Проверку подлинности запросов веб-прокси
в среде рабочей группы можно выполнить на основании данных сервера
RADIUS.
- В запросы клиента межсетевого экрана
автоматически включены учетные данные пользователя. Чтобы проверить
подлинность этих запросов, компонент Forefront TMG должен
принадлежать домену. В среде рабочей группы проверку подлинности
запросов можно выполнить с помощью учетных записей пользователей,
которые дублируют учетные записи, хранящихся в локальном диспетчере
учетных записей безопасности на сервере Forefront TMG. Однако это
потребует некоторых дополнительных затрат на администрирование,
необходимое для обеспечения безопасного управления.
- Чтобы выполнить проверку подлинности входящих
запросов к внутренним веб-серверам с помощью учетных данных домена
или с помощью сертификата, компонент Forefront TMG должен
принадлежать домену. В среде рабочей группы для проверки
подлинности можно использовать серверы RADIUS или SecurID.
- Для проверки подлинности запросов VPN с
помощью учетных данных домена или сертификатов компонент Forefront
TMG должен принадлежать домену. В среде рабочей группы для проверки
подлинности можно использовать сервер RADIUS.