Tìm hiểu Cấu hình Forefront TMG làm máy chủ DirectAccess

Cấu hình Forefront TMG làm máy chủ DirectAccess Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách cấu hình Cấu hình Forefront TMG làm máy chủ DirectAccess.
Nội dung trích xuất từ tài liệu:
Tìm hiểu Cấu hình Forefront TMG làm máy chủ DirectAccess Cấu hình Forefront TMG làm máy chủ DirectAccessTrong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách cấu hìnhCấu hình Forefront TMG làm máy chủ DirectAccess.Các bạn lưu ý hướng dẫn này sẽ chỉ giới thiệu các bước cần thiết để cấuhình Forefront TMG làm máy chủ DirectAccess Server. Việc cấu hìnhmáy chủ DirectAccess ho àn toàn nằm bên ngoài phạm vi của bài viết.Một vấn đề quan trọng các bạn cần biết đó là Forefront TMG không chấpnhận lưu lượng IPv6 hay cho phép nó đi thông qua, vì vậy đầu tiên chúngta phải thay đổi hành vi này trước khi Forefront TMG được cài đặt để chophép lưu lượng sau: Lưu lượng IPv6 gửi vào đã đ ược xác thực (sử dụng IPSec), gồm có  cả lưu lượng khởi tạo IPSec. Các kỹ thuật chuyển lưu lượng IPv6 gửi vào và gửi ra (6to4,  Teredo , IP-HTTPS và ISATAP) IPv6 nguyên bản từ máy Forefront TMG. Thêm vào đó, Forefront TMG tích hợp với thành phần IPSec Denial ofService Protection (DoSP) của Windows DirectAccess để bảo đảm rằngchỉ có lưu lượng IPSec được phép thông qua.Chú ý:Chúng ta cần cài đặt và cấu hình Windows Server 2008 R2 DirectAccesstrước khi cài đặt Forefront TMG.Đầu tiên chúng ta đi cài đặt giao diện quản lý Windows Server 2008 R2DirectAccess như thể hiện trong hình bên dưới. Hình 1: Cài đ ặt tính năng Windows Server 2008 R2 DirectAccessSau khi giao diện quản lý đã đ ược cài đặt xong, khởi chạy giao diện quảnlý và cấu hình DirectAccess, sau đó test toàn bộ các chức năng trước khicài đặt Forefront TMG. Hình 2: Giao diện quản lý DirectAccessSau khi thẩm định cài đ ặt và cấu hình DirectAccess thành công, chúng taphải thay đổi Registry với một key mới trước khi cài đặt Forefront TMG.Key này nhằm tránh cho Forefront TMG vô hiệu hóa sự hỗ trợ giao thứcIPv6 trong quá trình cài đ ặt Forefront TMG. [HKEY_LOCAL_MACHINESOFTWAREMicrosoftRATSt ingrayDebugISACTRL] CTRL_SKIP_DISABLE_IPV6_PROTOCOLS=dword:0000 0001H ình 3: Kịch bản kích hoạt sự hỗ trợ giao thức IPv6 cho Forefront TMGSau khi Registry được thay đổi thành công, cài đ ặt Forefront TMG theocách b ạn cài đặt máy chủ Forefront TMG thông thường. Khi cài đặtForefront TMG xong, chúng ta phải thay đổi cấu hình Forefront TMGbằng kịch bản cho phép hỗ trợ IPv6. Copy đoạn mã dưới đây vào một fileNotepad trắng và lưu lại với đuôi .VBS. set o = createobject(fpc.root) setarr = o.Arrays.Item(1) set policy = arr.ArrayPolicy set IPV6Settings = policy.IPv6Settings IPV6Settings.DirectAccessEnabled = vbTrue arr.save H ình 4: Lưu kịch bản dưới đuôi .VBSLưu kịch bản bằng đuôi .VBS và chạy nó từ dòng lệnh với lệnh sau: Cscript DA-Enable.VBSDo cấu hình Forefront TMG thay đổi nên b ạn sẽ phải chờ một chút chotới khi cấu hình đ ược đồng bộ. Bạn sẽ thấy trạng thái cấu hình trong giaodiện quản lý của Forefront TMG như thể hiện trong hình bên dưới. Hình 5: Đ ợi cho quá trình đồng bộ hoàn tấtKịch bản sẽ tạo ra bốn rule chính sách hệ thống mới để DirectAccess hỗtrợ lưu lượng IPv6. H ình 6: Một số chính sách hệ thống mới của Forefront TMGNút “Act as a Direct Access server”Forefront TMG Beta và RC có tab IPv6 trong phần IP preferences tronggiao diện quản lý để cấu hình Forefront TMG làm DirectAccess Server(xem thể hiện trong hình dưới). H ình 7: Nút Act as a Direct Access ServerTuy nhiên sau khi bản RTM đ ược phát hành, tab IPv6 bị gỡ khỏi giaodiện điều khiển Forefront TMG. Hình 8: Bạn sẽ thấy nút DirectAccess trong Forefront TMG phiên bản Beta và RCẨn các entry bản ghi IPv6Forefront TMG có tùy chọn cho phép bạn ẩn lưu lượng IPv6 từ tab Real-time monitoring. Do Forefront TMG không hỗ trợ IPv6 nên đây là mộttùy chọn dùng để ẩn các entry nhằm quan sát dễ dàng hơn bên trong bảnghi TMG. Hình 9: Ẩn các entry bản ghi IPv6Nếu muốn có thêm nhiều chức năng và sự linh hoạt, bạn có thể sử dụngForefront UAG cho kịch bản DirectAccess của mình. Sử dụng ForefrontUAG sẽ có những ưu điểm dưới đây: Dễ dàng mở rộng (cho phép 8 Forefront UAG Server được join vào  một mảng ) Khả năng có sẵn cao (với Windows Server 2008 R2 NLB)  Truy cập vào các máy chủ cũ trong công ty qua IPv4  Dễ dàng cấu hình, triển khai và quản lý  Forefront UAG cài đặt Forefront TMG trên mỗi nút trong suốt quá  trình cài đặt Giải pháp truy cập từ xa khác cho các máy không được join vào  miền. ...