Cấu hình Auto Discovery & triển khai Forefront TMG ClientForefront Threat Management Gateway (TMG) 2010 là phiên bản "Firewall" mới của Microsoft thay thế cho sản phẩm ISA Server 2006. Với những tính năng bảo mật hệ thống được nâng cao đáng kể, các bạn có thể yên tâm vì nhân viên trong công ty có thể truy cập internet một cách hiệu quả mà không cần phải lo lắng về phần mềm độc hại (malware) & các mối đe dọa khác.

Bài viết bao gồm 3 phần:Phần I: Tổng quan Forefront TMG 2010Phần II: Cài đặt Forefront TMG ServerPhần III: Cấu hình Auto Discovery & triển khai Forefront TMG Client Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là Secure NAT Client, Web Proxy Client &Forefront TMG Client với các đặc điểm được so sánh trong bảng sau:

Với các đặc điểm trong bảng so sánh trên, chúng ta thấy rõ ưu điểm của Forefront TMG Client là vừa hỗ trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thống Forefront TMG 2010 chúng ta nên cấu hình cho các máy Clients truy cập Internet bằng cơ chế Forefront TMG Client. Và để TMG Client tự động dò & kết nối đến TMG Server, trong phần III chúng tôi sẽ trình bày cách thức cấu hình chức năng Auto Discovery trên Forefront TMG 2010

Lưu ý: Để thực hiện Phần III các bạn phải hoàn tất các bước ở Phần I: Tổng quan Forefront TMG 2010

4. Bật chức năng Auto Discovery trên Forefront TMG Server- Trên TMG Server, logon MSOPENLAB\Administrator, mở Forefront TMG Management, vào Networking

- Trong cửa sổ giữa, qua tab Network, chuột phải Internal chọn Properties

 - Trong hộp thoại Internal Properties, qua tab Auto Discovery, đánh dấu chọn vào ô Publish automatic discovery information for this network, chọn OK 

- Trong cửa sổ Forefront TMG, chọn Apply

   

 -Trong hộp thoại Saving Configuration Changes, chọn OK

5. Cấu hình Auto DiscoveryCó 3 cách cấu hình Auto Discovery: 

- Cấu hình Auto Discovery bằng Alias record trên DNS Server

- Cấu hình Auto Discovery bằng DHCP Option

- Cấu hình Auto Discovery bằng Active Directory

Cách 1:  Cấu hình Auto Discovery bằng Alias record trên DNS Server- Trên DNS Server (Server02), mở DNS Management, bung Forward Lookup Zones, chuột phải trên zone msopenlab.com chọn New Alias (CNAME)

-Trong hộp thoại New Resource Record, khai báo các thông tin như trong hình bên dưới, chọn OK (PC21.msopenlab.com là tên của máy TMG Server) 

Vì trên Windows Server 2008 R2, trong danh sách Global Query Block List cấm phân giải tên WPAD nên chúng ta phải làm hành động xóa danh sách Global Query Block List hiện thời.- Để kiểm tra danh sách Global Query Block List hiện thời các bạn sử dụng lệnh:  dnscmd /info /globalqueryblocklist

- Để xóa  danh sách Global Query Block List hiện thời các bạn sử dụng lệnh: dnscmd /config /globalqueryblocklist

- Sử dụng lệnh nslookup kiểm tra phân giải thành công alias WPAD.msopenlab.com

Cách 2: Cấu hình Auto Discovery bằng DHCP OptionThực hiện tại DHCP Server 

- Mở công cụ quản lý DHCP, chuột phải IPv4 chọn Set Predefined Options

-Trong hộp thoại Predefined Options and Values, chọn Add để tạo 1 DHCP Option mới

-Trong hộp thoại Option Type, khai báo các giá trị như trong hình bên dướ, chọn OK

-Trong hộp thoại Predefined Options and Values, nhập http://pc21.msopenlab.com:8080/wpad.dat vào ô String, chọn OK

(pc21.msopenlab.com là tên của máy TMG Server) 

-Trong cửa sổ DHCP,bung Scope 1, chuột phải Server Options chọn Configure Options 

-Trong hộp thoại Server Option, đánh dấu chọn ô 252 WPAD, chọn OK

- Trong Server Option, kiểm tra có option 252 WPAD 

Cách 3: Cấu hình Auto Discovery bằng Active DirectoryThực hiện tại TMG Server 

- Download AdConfigPack.exe , chạy file AdConfigPack.exe để cài đặt

-Trong hộp thoại Welcome, chọn Next

-Trong hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next

- Hộp thoại Location to Save Files, để đường dẫn mặc định, chọn Next, chọn Finish

- Mở Command Line, chuyển qua đường dẫn C:\Program Files (x86)\Microsoft TMG\AdConfig, gõ lệnh

TMGAdConfig.exe add -default -type winsock -url http://PC21.msopenlab.com:8080/wspad.dat -f(PC21.msopenlab.com là tên của máy TMG Server) 

6. Cài đặt Forefront TMG Client

Đề triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máy Clients, trong hệ thống thực tế các bạn có thể sử dụng chức năng Deploy Software của GPO hoặc SCCM. Trong bài viết này, để hiểu rõ vấn đề cài đặt Forefront TMG Client nên chúng tôi sẽ cài bằng tay.

- Trên các máy Client, mở source cài đặt Forefront TMG 2010, vào thư mục client, chạy file MS_FWC.msi để cài đặt

-  Trong hộp thoại Welcome, chọn Next 

 - Trong hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next

- Hộp thoại Destination Folder, giữ nguyên đường dẫn mặc định, chọn Next

- Trong hộp thoại, Forefront TMG Computer Selection chọn:

  + Connect to this Forefront TMG computer để khai báo TMG Server bằng tay

  + Automatically detect the appropriate Forefront TMG computer để TMG Client tự động dò và kết nối TMG Server

Vì chúng ta đã cấu hình Auto Discovery nên lúc này chúng ta chọn chế độ Automatically detect the appropriate Forefront TMG computer 

- Hộp thoại Ready to Install the Program, chọn Install

- Hộp thoại Install Wizard Completed, chọn Finish

- Mở Forefront TMG Client, qua tab Setting, kiểm traTMG Client kết nối đến TMG Server thành công, chọn Advanced

-Trong hộp thoại Advanced Automatic Detection, kiểm tra chúng ta đang sử dụng cả 3 cơ chế Auto Discovery

7. Kiểm tra truy cập Internet- Trên máy TMG Server, mở Forefront TMG Management, chuột phải Firewall Policy bung New, chọn Access Rule

-Trong hộp thoại Welcome, đặt tên cho rule là Kiem tra Internet, chọn Next

- Hộp thoạ, Rule Action. chọn Allow, chọn Nexti 

-Hộp thoại Protocol, chọn All outbound traffic, chọn Next

-Hộp thoại malware Inspection, chọn Do not enable malware inspection for this rule, chọn Next

- Hộp thoại Access Rue Source, add Internal & Local Host vào, chọn Next

- Hộp thoại Access Rue Destinations, add External vào, chọn Next

-Hộp thoại User Sets, để mặc định, chọn Next

-Hộp thoại Completing, chọn Finish

- Trong cửa sổ Forefront TMG chọn Apply, chọn OK

- Kiểm tra tất cả các máy truy cập Internet thành công