FTMG2010只有加入到域才能上网

只有加入到域才能上网2011-04-13 20:17:22标签：域 ISA 身份验证 防火墙客户端 Forefront TMG版权声明：原创作品，谢绝转载！否则将追究法律责任。在以前，我写过一篇“别

只有加入到域才能上网

2011-04-13 20:17:22

标签：域 ISA 身份验证 防火墙客户端 Forefront TMG

版权声明：原创作品，谢绝转载！否则将追究法律责任。

在以前，我写过一篇“别再随便上网的文章”，介绍了使用ISA Server 2006、Windows Server 2003的Active Directory，主要内容是让网络中的计算机加入到域、然后安装ISA Server防火墙客户端、使用ISA Server作“代理服务器”后，才能让用户上网的文章。这是在奥运期间，给几个政府做的网络安全中的一部分。这个方案在很长的一段时间应用都没有问题，但随着用户水平的提高，有以下问题：

（1）一些用户发现，即使不加入到域，而在IE 浏览器中指定代理服务器的地址（ISA Server的地址）与防火墙的端口，也能上网。

（2）在使用代理服务器后，除了要在IE 中指定代理服务器的地址、端口外（这个是由ISA Server 防火墙客户端自动设置好的），其他的一些软件，也需要指定代理服务器与端口，这样就造成了用户的负担。虽然可以在ISA Server 中设置策略（排除对HTTP 之外协议的身份认证－创建策略，允许“所有用户”从“内部”到“外部”使用除HTTP 协议之外的所有协议），但这样一来又与我们的初衷不相符合（只有域用户或只有认证用户才能上网）

1 实验拓扑

为了解决这两个问题，我搭建了图1的实验环境，并实验成功（由于现在许多单位的网络已经升级到Windows Server 2008与Forefront TMG 2010，本实验用TMG 2010，ISA Server 与此配置相同）。现简单介绍一下。

图1 实验拓扑

在图1中，有两台Windows Server 2008，其中一台作Active Directory 服务器，计算机名称为ad ，域名为msft.com ，IP 地址为192.168.1.2，网关为192.168.1.1，DNS 为192.168.1.2；另一台计算机安装Windows Server 2008 X64（或Windows Server 2008 R2），加入到msft.com 域，其中内网IP 地址为192.168.1.1，外网IP 地址为192.168.88.100（用路由器连接到Internet ，这是路由器的“内网”地址），DNS 为192.168.1.2。另外，在ad.msft.com 计算机中安装并配置了DHCP 服务器，为网络中的工作站分配IP 地址等参数。 网络中有两台工作站，分别安装Windows XP与Windows 7，这两台计算机都加入到域。

2 服务器配置

实验的主要步骤如下：

（1）在192.168.1.2的计算机中，安装并配置DHCP 服务器，设置作用域的地址范围为192.168.1.100～192.168.1.120，子网掩码为255.255.255.0，设置作用域的网关地址为192.168.1.1，DNS 为192.168.1.2。同时添加“选项名”为“WPAD ”、值为“http://tmg2010.msft.com:80/wpad.dat”的选项，如图2所示。这是为DHCP 的客户端自动指派Forefront TMG防火墙服务器的配置。

图2 配置DHCP

（2）在Forefront TMG 2010的管理控制台中，在“网络连接”中，双击右侧的“内部”，在“web 代理”选项卡中，取消“为此网络启用web 代理客户端连接”的选择，如图3所示。

图3 取消Web 代理客户端连接

【说明】禁用Web 代理客户端后，用户再手动设置“ISA Server或Forefront TMG做代理”将不起作用，因为Forefront TMG代理服务器没有启用。

（3）在“Forefront TMG客户端”选项卡中，选中“启用此网络的Forefront TMG客户端支持”，并且指定Forefront TMG的名称，在本例中为“tmg2010.msft.com ”，然后取消“自动检测设置”、“使用自动配置脚本”、“使用Web 代理服务器”的选择，如图4所示。

图4 启用Forefront TMG客户端支持

（4）然后返回到“防火墙策略”，创建访问规则，允许“msft ”用户以“所有协议”从“内部”访问“外部”，如图5所示。

图5 创建访问规则

其中“msft ”是在Forefront TMG中创建的“用户集”，代表“msft.com 整个域”中的“domain users”用户组（表示域中所有用户），如图6所示。

图6 添加域用户集

（5）然后应用策略即可。

3 工作站验证

接下来在Windows XP与Windows 7计算机上进行设置。主要步骤如下：

（1）在Windows XP 与Windows 7中，分别设置为“自动获取IP 地址与DNS 地址”，然后加入到域并以域用户登录，安装Forefront TMG的防火墙客户端，安装完成之后，进入“Forefront TMG客户端”配置，在“设置”选项卡中，选中“启用Forefront TMG客户端”并选中“自动检测到的Forefront TMG”，将会检测到Forefront TMG服务器的地址，在本例中为tmg2010.msft.com ，如图7所示。

图7 安装Forefront TMG客户端并检查配置

（2）然后在客户端中浏览网页、登录QQ 、UC 、MSN 等，使用其他网络软件，这些不用配置都可以使用，如图8所示。

图8 上网、QQ 、UC 正常

（3）在Windows 7客户端测试也正常，如图9所示。

图9 Windows 7测试正常

（4）如果以“本地用户”登录到计算机，不能上网，也不能用其他软件（例如QQ ），如图10所示。即使设置了代理服务器也不行。

图10 不加入到域则不能上网

4 后记

下表列出了Forefront TMG几种客户端的要求与支持身份验证级别、协议支持。

Forefront TMG服务器在TCP 的1745端口侦听Forefront TMG客户端的请求，你可以在防火墙客户端使用netstat –an –p tcp命令，来查看防火墙客户端与服务器端的连接，如图11所示。

图11 防火墙客户端与服务器端的连接