При выборе между развертыванием в домене и рабочей группе следует учитывать следующее.

• При корпоративном развертывании и развертывании массива в рабочей группе требуются дополнительные предварительные настройки, которые не требуются при развертывании в домене. Кроме того, на компьютере Forefront TMG потребуется обеспечить поддержку дублированных учетных записей.
  
  
• В рабочей группе не поддерживается репликация EMS.
  
  
• В рабочей группе не поддерживается автоматическое обнаружение веб-прокси. Дополнительные сведения см. в разделе Планирование автоматического обнаружения веб-прокси.
  
  
• В рабочей группе сертификат сервера должен быть установлен на компьютере Forefront TMG. Дополнительные сведения см. в разделе Планирование сертификатов сервера.
  
  
• Для сопоставления учетных записей пользователей операционных систем, отличающихся от Microsoft Windows, учетным записям пользователей домена можно настроить функцию сопоставления пользователей VPN-клиента. Сопоставление пользователей поддерживается только при установке Forefront TMG в домене.
  
  
• В домене можно заблокировать сервер Forefront TMG с помощью групповой политики, а не при помощи настройки одной локальной политики.
  
  
• Если в среде домена возникает угроза безопасности доменных служб Active Directory, например, из-за внутренней атаки, межсетевой экран также может быть подвержен опасности, поскольку пользователь с правами администратора домена может управлять каждым членом домена, включая сервер с Forefront TMG. Подобным образом, если возникает угроза безопасности межсетевого экрана, домен, в котором находится Forefront TMG, также подвержен риску. По умолчанию группа администраторов домена находится в группе администраторов сервера Forefront TMG.
  
  

Forefront TMG часто используется в следующих сетевых топологиях:

• Пограничная конфигурация
  
  
  • Forefront TMG обеспечивает защиту границы, на которой одна сетевая плата подключена к внутренней сети, а другая — к внешней.
    
    
  • Конфигурация с двумя межсетевыми экранами, в которой Forefront TMG выступает в качестве внешнего межсетевого экрана, обеспечивающего защиту границы сети, на которой одна сетевая плата подключена к внешней сети, а другая — к демилитаризованной зоне. Внутренний межсетевой экран (которым может быть Forefront TMG или продукт стороннего производителя) устанавливается между демилитаризованной зоной и внутренней сетью.
    
    
  • Тройная конфигурация, в которой компонент Forefront TMG настроен с тремя сетевыми платами, подключенными к внутренней сети, внешней сети и демилитаризованной зоне.
    
    
  На границе сети можно установить Forefront TMG в качестве члена домена или в режиме рабочей группы. Если выбрана установка в качестве члена домена, рекомендуется устанавливать Forefront TMG в отдельном лесу (а не во внутреннем лесу корпоративной сети) с односторонним отношением доверия с корпоративным лесом. Это помогает защитить внутренний лес от атак, даже если атака обнаружена в лесу компьютера Forefront TMG. Однако следует отметить ряд ограничений, присущих этому варианту развертывания. Например, можно настроить проверку подлинности клиентских сертификатов только для пользователей, определенных в домене Forefront TMG, а не для пользователей в корпоративном внутреннем домене или лесу.
  
  
• Внутренняя конфигурация
  
  
  • Forefront TMG внутри сети в сценарии с двумя межсетевыми экранами. Стандартным сценарием, при котором один сервер Forefront TMG установлен на границе сети, а второй сервер Forefront TMG установлен внутри, является установка внешнего сервера Forefront TMG в режиме рабочей группы, а внутреннего — в качестве члена домена. Установка внутреннего сервера в качестве члена домена позволяет выполнять проверку подлинности запросов на основании данных из доменных служб Active Directory. Кроме того, внутренний компьютер Forefront TMG можно усилить с помощью групповой политики, используемой для упрощения управления.
    
    
  • Компонент Forefront TMG настроен с одним сетевым адаптером. В этом сценарии Forefront TMG действует как веб-прокси или сервер кэширования. Основным преимуществом установки компьютера Forefront TMG в качестве члена домена в этом случае является простота его использования для проверки подлинности пользователей на основании данных из доменных служб Active Directory.
    
    

При выборе между развертыванием в домене и рабочей группе следует учитывать следующие проблемы, связанные с проверкой подлинности.

• Если правила доступа требуют проверки подлинности внутренних клиентов для исходящего доступа, Forefront TMG может выполнить проверку подлинности учетных записей пользователей домена на основании данных, предоставляемых доменными службами Active Directory. Проверку подлинности запросов веб-прокси в среде рабочей группы можно выполнить на основании данных сервера RADIUS.
  
  
• В запросы клиента межсетевого экрана автоматически включены учетные данные пользователя. Чтобы проверить подлинность этих запросов, компонент Forefront TMG должен принадлежать домену. В среде рабочей группы проверку подлинности запросов можно выполнить с помощью учетных записей пользователей, которые дублируют учетные записи, хранящихся в локальном диспетчере учетных записей безопасности на сервере Forefront TMG. Однако это потребует некоторых дополнительных затрат на администрирование, необходимое для обеспечения безопасного управления.
  
  
• Чтобы выполнить проверку подлинности входящих запросов к внутренним веб-серверам с помощью учетных данных домена или с помощью сертификата, компонент Forefront TMG должен принадлежать домену. В среде рабочей группы для проверки подлинности можно использовать серверы RADIUS или SecurID.
  
  
• Для проверки подлинности запросов VPN с помощью учетных данных домена или сертификатов компонент Forefront TMG должен принадлежать домену. В среде рабочей группы для проверки подлинности можно использовать сервер RADIUS.
  
  

Основные понятия