Embed Size (px)
Citation preview
Forefront TMG 2010
배포가이드 시리즈 (I) Domain Joined EMS & Domain Joined TMG Servers , NLB
Integration 포함
1/24/2011 Microsoft Corporation
이 동 철 부장
1 | P a g e
Contents
데모홖경 ...................................................................................................................................................... 2
CSS(Configuration Storage Server) 설치 및 구성 ......................................................................................... 3
TMG 서버들의 Static Routing 구성 ............................................................................................................. 8
TMG 첫 번째 서버 설치 및 구성 ................................................................................................................. 9
TMG 두 번째 서버 설치 및 구성 ............................................................................................................... 13
싞규 TMG Array 생성 ................................................................................................................................. 14
TMG 서버들의 싞규 Array 죠인 ................................................................................................................ 17
TMG Array 서버들의 NLB 구성 .................................................................................................................. 22
참조자료 .................................................................................................................................................... 25
2 | P a g e
데모환경
Internal172.168.0.41
External11.0.0.41
Internal172.168.0.42
External11.0.0.42
DSTMG01.DOOSAN.com
DSTMG02.DOOSAN.com
RMSW2K8CA.DOOSAN.com172.168.0.11
RMSW2K3DC.DOOSAN.com172.168.0.1
TMG Array
TMG CSS
Virtual IP11.0.0.51
DOOSAN.com
위 테스트 홖경의 모든 서버는 Active Directory 내의 멤버 컴퓨터로 구성되어 있습니다. 각 서버의
역할을 아래와 같습니다.
RMSW2K3DC.DOOSAN.com : 도메인 컨트롟러
RMSW2K8CA.DOOSAN.com : TMG Array 의 구성 저장소 서버 역할 수행
DSTMG01.DOOSAN.com : TMG Array 의 첫 번째 서버
DSTMG02.DOOSAN.com : TMG Array 의 두 번째 서버
3 | P a g e
CSS(Configuration Storage Server) 설치 및 구성
이번 테스트 홖경에서는 CSS 역할을 도메인 내의 별도 하나의 서버에 구성합니다.
TMG 2010 을 설치하기 젂에 사젂에 설치되어야 하는 각종 모듈의 설치를 위해 TMG 설치 마법사의
―Run Preparation Tool‖ 를 수행합니다. 이 메뉴를 수행하기 위해서는 CSS 설치 서버가 인터넷에
연결되어 있어야 합니다.
아래와 같이 Forefront TMG 서버의 설치를 위한 사젂 도구 수행을 위한 마법사가 진행됩니다.
Forefront TMG 설치를 위해서 사젂 설치가 필요한 구성 요소는 아래와 같이 2 가지가 필요함을 확인할
수 있습니다.
아래의 선택 사항 중에서 이 서버는 CSS 를 설치해야 하기 때문에, 아래와 같이 ―Enterprise Management
Server (EMS) for centralized array management‖ 를 선택합니다.
4 | P a g e
아래와 같이 사젂 설치가 정상적으로 성공되었음을 확인합니다.
이제 아래와 같이 Forefront TMG2010 설치 마법사를 사용하여 먼저 CSS 설치를 진행합니다. 아래 메뉴
중에서 ―Run Installation Wizard‖ 를 실행합니다.
5 | P a g e
이번 설치 단계는 CSS 를 구성하기 위한 과정이므로, 아래와 같이 ―Setup Scenarios‖ 부분에서
―Enterprise Management Server for centralized array management‖ 옵션을 선택하고 설치를
진행합니다.
아래는 Forefront TMG 의 설치 경로를 지정하는 화면입니다.
아래 단계에서는 첫 번째 CSS 서버이므로, ―Create a net enterprise configuration on this EMS‖ 옵션을
선택합니다. 본 테스트 홖경에서는 별도의 서버에 단일 CSS 를 구성합니다. 추후, 이 CSS 의 high
availability 를 구성할 계획이 있다면, 추가적인 CSS 서버를 구성하여 아래 단계에서 ―Copy an existing
enterprise configuration to this EMS‖ 옵션을 선택하여 설치를 진행합니다. 이 테스트 홖경의 단일 CSS
서버이므로, 위에서 언급한 대로―Create a net enterprise configuration on this EMS‖ 옵션을 선택하여
설치를 진행합니다.
6 | P a g e
아래와 같이 싞규 엔터프라이즈 관리 서버를 설치하게 되면, 새로운 CSS 를 설치할 것이라는 경고
다이얼로그를 보여줍니다. 이 서버에 CSS 를 설치해야 하기 때문에, 아래 경고를 그대로 진행합니다.
싞규 CSS 로 생성하기 때문에, 아래 단계에서 ―Enterprise Name‖ 을 지정합니다.
이번 테스트 홖경은 CSS 및 TMG 서버들 모두 Active Directory 에 죠인되어 있는 상태이므로, 아래와
같이 ―Single domain deployment‖ 옵션을 선택하여 설치를 진행합니다. 그러나, 만약 워크그룹 상태인
서버에 CSS 및 TMG 서버를 설치하게 될 경우에는 아래 옵션 중에서 ―Workgroup deployment‖ 옵션을
선택하여 설치를 진행합니다. 이 경우에는 각 서버에는 ―서버 인증서‖가 사젂에 각기 설치되어 있어야
합니다. ―서버 인증서‖ 의 포맷은 ―개인키‖가 포함되어 있는 ―.pfx‖ 형식이어야만 합니다. 이 점을 유의해
주세요
7 | P a g e
아래와 같이 CSS 설치가 정상적으로 수행되었음을 확인합니다.
CSS 설치가 성공적으로 완료된 후, Forefront TMG 관리 도구를 수행하게 되면, 아래와 같이 CSS 서버가
정상적으로 보여짐을 확인해야 합니다.
또한, 아래와 같이 ―Services‖ 관리 도구에서 Forefront TMG 의 CSS 관련 서비스가 정상적으로 시작되어
있음도 확인해야 합니다.
8 | P a g e
TMG 서버들의 Static Routing 구성
TMG 서버들은 기본적으로 외부 및 내부 네트워크 어댑터등과 같이 2 개의 NIC 를 가지고 있습니다.
이러한 구성에서 2 개의 NIC 에 모든 기본 게이트웨이를 설정하지 않습니다. 통상적으로, 외부 네트워크
인터페이스에 기본 게이트웨이를 설정하게 됩니다.
내부 네트워크 인터페이스에는 기본 게이트웨이를 설정하지 않고, 내부 네트워크 연결이 필요할 경우,
정적 라우팅 경로를 설정합니다.
위 내부 네트워크 인터페이스를 기준으로 정적 라우팅 경로를 설정하는 예제는 아래와 같습니다.
Route add –p 172.169.0.0 mask 255.255.0.0 172.168.0.254
o 172.169.0.0 : 연결하고자 하는 내부 네트워크
o 255.255.0.0 : 서브넷 마스크
o 172.168.0.254 : 게이트웨이 정보
위와 같이 TMG Array 내에 참여할 서버들 모두 위와 동일한 정적 라우팅 경로를 설정해야 합니다.
9 | P a g e
TMG 첫 번째 서버 설치 및 구성
이제 TMG Array 구성의 첫 번째 서버를 설치 및 구성합니다. 앞서, CSS 설치 및 구성하기 위해, 사젂에
필요한 모듈의 설치를 위해 수행했던 ―Run Preparation Tool‖ 메뉴를 이번에도 동일하게 수행합니다.
이 서버는 TMG 서비스 및 관리도구를 설치할 첫 번째 서버이므로, 아래와 같이 ―Forefront TMG services
and Management‖ 옵션을 선택합니다.
10 | P a g e
사젂 설치 작업을 위와 완료한 후, 실제 설치 작업 수행을 수행합니다.
아래 ―Setup Scenarios‖ 부분에서, ―Forefront TMG services and Management‖ 옵션을 선택하여 설치를
진행합니다. 이 서버는 TMG Array 구성의 첫 번째 서버이므로, 아래와 같이 옵션을 선택하여 설치를
진행하게 됩니다.
11 | P a g e
아래 단계에서 Forefront TMG 서버 설치의 경로를 지정할 수 있습니다.
아래 단계는 Forefront TMG 서버의 내부 네트워크를 지정하는 부분입니다. 이 부분에서는 TMG 서버의
네트워크 어댑터를 선택하여 내부 네트워크를 지정합니다. 물롞, 이 부분은 추후 변경도 가능합니다.
이 테스트 홖경에서는 아래와 같이 내부 네트워크 어댑터를 지정합니다.
내부 네트워크 어댑터를 선택하므로써, 아래와 같이 자동적으로 내부 네트워크에 대한 IP 주소 범위가
지정됩니다.
12 | P a g e
나머지 부분은 별도의 설정없이 아래와 같이 설치를 진행합니다.
위와 같이 TMG 첫 번째 서버의 설치를 완성합니다. 현재 설치된 상태는 TMG 서버가 array 구조가 아닌
서버 자신이 단독으로 운영되는 상태입니다. 추후, Array 를 생성한 후 TMG 서버들을 죠인하는 작업을
수행할 것입니다.
13 | P a g e
TMG 두 번째 서버 설치 및 구성
이제 TMG Array 구성의 두 번째 서버를 설치 및 구성합니다. 앞서, CSS 설치 및 구성하기 위해, 사젂에
필요한 모듈의 설치를 위해 수행했던 ―Run Preparation Tool‖ 메뉴를 이번에도 동일하게 수행합니다.
이제 TMG 두 번째 서버를 앞서 첫 번째 서버와 동일한 설정으로 설치를 진행합니다. 이 단계는 별도의
스크릮 샷을 준비하지 않고, 앞서 첫 번째 서버에서 수행했던 과정과 똑 같이 진행합니다.
위와 같이 최종적으로 두 번째 TMG 서버에 정상적으로 설치를 완료했음을 확인할 수 있습니다.
14 | P a g e
신규 TMG Array 생성
앞서 2 개의 TMG 서버의 설치를 완료했습니다. 이제 이 2 개의 TMG 서버가 하나의 CSS 를 공유하는
Array 구조를 생성하는 작업을 수행합니다. 먼저, 싞규 TMG Array 생성 작업을 진행합니다. CSS 를
설치했던 서버(RMSW2K8CA.DOOSAN.com) 의 TMG 관리 콘솔에서 작업을 수행합니다.
아래 단계에서 싞규로 생성할 Array 의 이름을 지정합니다.
아래 단계에서는 내부 TMG 클라이언트들이 Array 를 연결할 수 있도록, 별도의 Array 의 FQDN 을
지정합니다. 추후, Array 내의 TMG 서버들을 로드밸런싱으로 구성하게 되면, 내부 VIP(Virtual IP) 주소와
아래 지정한 FQDN 을 내부 DNS 서버에 호스트 리소스로 등록해야 합니다.
아래 단계에서는 싞규로 생성된 Array 에서 적용될 ―Enterprise Policy‖를 지정합니다. 기본적으로
―Default Policy‖를 지정합니다.
15 | P a g e
아래와 같이 싞규 Array 가 성공적으로 생성되었음을 확인합니다.
아래와 같이 ―DOOSAN Array‖ 라는 싞규 Array 가 생성되었음을 ―Forefront TMG‖ 관리도구에서 확인할
수 있고, 또한 이 Array 의 CSS 서버도 확인할 수 있습니다.
위에서 싞규 생성된 Array 의 변경 사항을 실제 반영하기 위해 ―Apply‖ 버튼을 클릭하여 진행합니다.
16 | P a g e
위와 같이 싞규 Array 생성을 완료했습니다. 이제 앞서 설치한 2 대의 TMG 서버를 신규로 생성한
Array(DOOSANArray.DOOSAN.com) 에 죠인하는 작업을 수행합니다.
17 | P a g e
TMG 서버들의 신규 Array 죠인
먼저, 첫 번째 서버에서 아래 메뉴를 사용하여, 싞규 Array 에 죠인하는 작업을 수행합니다. 아래와 같이
첫 번째 TMG 서버의 관리 도구를 사용하여, ―Join Array‖ 메뉴를 선택하여, 앞서 생성한 싞규 Array 에 첫
번째 TMG 서버를 죠인시킵니다.
아래 단계에서 ―Array Membership Type‖ 에서 ―Join an array managed by an EMS server‖ 옵션을
선택하여 죠인 과정을 진행합니다. 아래 2 가지 옵션의 차이점에 대해서는 ―TMG Enterprise Arrays
Explained (http://www.isaserver.org/tutorials/TMG-Enterprise-Arrays-Explained.html)‖ 링크를
참조합니다.
아래 단계에서는 앞서 생성한 CSS 서버를 지정합니다.
18 | P a g e
아래와 같이 앞서 생성한 CSS 서버를 지정한 후, 현재 관리자 계정으로 로그인 되어 있으므로, 기존
credential 를 사용하여 연결을 진행합니다.
위에서 정상적으로 CSS 서버를 지정했다면, 아래와 같이 기존 EMS-Managed Array 정보가 정상적으로
보여짐을 확인 할 수 있습니다.
아래와 같이 첫 번째 TMG 서버가 Array 에 정상적으로 죠인이 되었음을 확인합니다.
19 | P a g e
위와 같이 첫 번째 TMG 서버인 DSTMG01 가 정상적으로 array 에 죠인되었음을 확인할 수 있습니다.
위에서 확인해 보면 Configuration Storage Server 가 RMSW2K8CA.DOOSAN.com 서버임을 확인 할 수
있다.
이제 두 번째 TMG 서버인 DSTMG01 서버를 싞규 array 에 추가적으로 죠인하는 작업을 앞서 진행한 첫
번째 TMG 서버의 array 죠인 작업과 동일하게 수행합니다.
20 | P a g e
아래와 같이 두 번째 TMG 서버도 Array 에 정상적으로 죠인되었음을 확인합니다.
두 번째 TMG 서버가 싞규 array 에 추가된 후 위와 같이 2 대의 서버가 싞규 array 에 정상적으로
추가되어 있음을 확인할 수 있습니다.
위와 같이 추가한 후, Monitoring 부분에서 아래와 같은 오류가 발생할 수도 있습니다.
위와 같은 오류가 발생하게 되면, array 내의 모든 서버 및 CSS 서버를 ―Enterprise Remote Management‖
컴퓨터 셋에 추가한다.
아래와 같이 CSS 서버 1 대와 2 대의 TMG 서버를 ―Enterprise Remote Management‖ 컴퓨터 셋에
추가합니다.
21 | P a g e
22 | P a g e
TMG Array 서버들의 NLB 구성
앞서 2 대의 TMG 서버들을 array 로 구성하였습니다. 그러나, 실제적으로 이 2 대의 TMG 서버들이
고가용성을 지원하기 위해서는, L4 스위치 또는 NLB 를 통하여 로드밸런싱을 구축해야 합니다. 이
문서에서는 NLB 를 사용하여 로드밸런싱을 구성하기로 합니다.
Forefront TMG 관리 도구에서 아래와 같이 ―Enable Network Load Balancing Integration‖ 메뉴를
실행합니다.
TMG 와 NLB 통합을 위한 마법사가 아래와 같이 진행됩니다.
아래 단계에서는 NLB 를 구성할 네트워크 인터페이스를 선택합니다. 본 테스트 홖경에서는 외부
네트워크 인터페이스에 NLB 를 구성합니다. 내부 네트워크 인터페이스도 추후 구성할 수 있습니다. 외부
네트워크 인터페이스를 선택한 후, ―Configure NLB Settings‖ 버튼을 실행하여, 외부 네트워크
인터페이스의 대표 IP 를 설정합니다.
본 테스트 홖경에서는 아래와 같이 ―11.0.0.51‖ 이라는 외부 대표 IP 를 설정합니다. 실제 홖경에서도 이
외부 대표 IP 는 TMG 서버들의 외부 인터페이스에 설정된 IP 와 동일한 네트워크 대역에 존재해야
합니다. 이 부분을 TMG 의 로드밸런싱 구성 시에 반드시 유념해야 합니다.
23 | P a g e
아래와 같이 외부 네트워크 인터페이스의 VIP 가 정상적으로 설정되었음을 확인합니다.
NLB 설정이 완료된 후, 실제 반영을 위해서는 아래와 같이 TMG 서버들을 모두 재시작해야 합니다.
24 | P a g e
위와 같이 NLB 를 구성한 후, TMG 관리 콘솔에서 2 대의 TMG 서버 사이의 동기화가 완료되었는지
확인합니다.
이제 2 대의 TMG 서버 각각에 앞서 NLB 의 VIP 로 설정한 IP 가 바인딩되어 있는지 확인합니다.
11.0.0.51 로 설정한 VIP 가 정상적으로 바인딩되어 있음을 확인합니다.
25 | P a g e
참조자료
TMG Enterprise Arrays Explained (http://www.isaserver.org/tutorials/TMG-Enterprise-Arrays-
Explained.html)
Install and configure Forefront TMG 2010 Enterprise Management Server (EMS) for centralized
Management—Step by Step (http://araihan.wordpress.com/2010/06/10/install-and-configure-
forefront-tmg-2010-enterprise-management-server-ems-for-centralized-management-step-by-step/)
Configure Forefront TMG 2010 to receive definition update from Windows server update
services (WSUS) (http://araihan.wordpress.com/2010/04/12/configure-forefront-tmg-2010-to-receive-
definition-update-from-windows-server-update-services-wsus/)
Forefront TMG 2010: How to install and configure Forefront TMG 2010 —-Step by step
(http://araihan.wordpress.com/2010/03/08/forefront-tmg-2010-how-to-install-and-configure-forefront-
tmg-2010-step-by-step/)
Forefront TMG 2010: how to install and configure Forefront TMG 2010—Step by step part II
(http://araihan.wordpress.com/2010/03/15/forefront-tmg-2010-how-to-install-and-configure-forefront-
tmg-2010step-by-step-part-ii/)
Forefront Protection 2010: how to install and configure Forefront Protection 2010 for Exchange Server
2010—Step by step (http://araihan.wordpress.com/2010/03/15/forefront-protection-2010-how-to-
install-and-configure-forefront-protection-2010-for-exchange-server-2010step-by-step/)
Forefront TMG 2010 as an Anti-spam, an Antivirus and a Content Filter systems
(http://araihan.wordpress.com/2010/06/03/forefront-tmg-2010-as-an-anti-spam-an-antivirus-and-a-
content-filter-systems/)
