概述:
Forefront TMG 服務器高可用性和可伸縮性
Forefront TMG 陣列提供:
- 高可用性 - 確保 Forefront TMG 部署的持續運行,包括部署中的一臺或多臺 Forefront TMG 服務器停機期間。陣列中所有服務器上的 Forefront TMG 配置設置都相同,從而可以在一個或多個陣列成員發生故障轉移時提供不間斷服務。
- 可伸縮性 - 滿足不斷增長的性能需求。例如,對於越來越多的用戶或希望增加其 Internet 活動的用戶,需要額外的網絡帶寬。當組織的需求增長時,您可以從單一 Forefront TMG 部署輕鬆升級到 Forefront TMG 陣列,以及增加現有陣列中的成員數目或增加陣列數目。
- 分佈式永久緩存 - 使用最新陣列管理器配置更新所有服務器,從而使用戶能夠按需指定新陣列管理器。該信息爲永久信息,會在部署中的一臺或多臺 Forefront TMG 服務器停機期間得以保留。
Forefront TMG 企業支持兩種陣列類型:
- 獨立陣列 - 根據選擇的負載平衡方法,一個獨立陣列最多可以包含 50 臺 Forefront TMG 服務器,這些服務器由一個充當陣列管理器的陣列成員管理;如果 Forefront TMG 部署在單一邏輯位置且處理中等流量負載時,可使用此陣列類型。
- EMS 管理的陣列 - EMS 管理的陣列最多可以包含 200 個 Forefront TMG 陣列,每個陣列最多包含 50 臺 Forefront TMG 服務器,這些服務器由企業管理器服務器 (EMS) 管理。建立 EMS 管理的陣列後,您可以複製其設置,並使用相同設置最多管理 15 個 EMS 管理的陣列,從而允許對最多 150,000 臺 Forefront TMG 服務器進行集中管理。
Forefront TMG可以使用下列 網絡拓撲:
- 邊緣防火牆 - 在此拓撲中,Forefront TMG 位於網絡邊緣,是組織的邊緣防火牆,並與以下兩個網絡相連:內部網絡和外部網絡(通常爲 Internet)。
- 三向外圍網絡 - 此拓撲實現外圍網絡。Forefront TMG 至少與三個物理網絡相連:內部網絡、一個或多個外圍網絡,以及外部網絡。
- 後端防火牆 - 在此拓撲中,Forefront TMG 位於網絡的後端。如果在 Forefront TMG 和外部網絡之間,還有其他網絡元素(例如,外圍網絡或邊緣安全設備),則使用此拓撲。Forefront TMG 與內部網絡和它前面的網絡元素相連。
- 單一網絡適配器 - 此拓撲啓用有限的 Forefront TMG 功能。在此拓撲中,Forefront TMG 僅與一個網絡(內部網絡或外圍網絡)相連。通常,當 Forefront TMG 位於內部企業網絡或外圍網絡中,而邊緣還有一個防火牆用來保護公司資源免受來自 Internet 的***時,應使用此配置。
以下爲安裝EMS 管理的陣列
1. 設置網絡連接,在我們的環境中TMG,使用2塊網卡:External爲外部網卡,設置IP地址、子網掩碼、網關、DNS服務器地址,Internal爲內部通信網卡,只設置IP地址和子網掩碼,不設置DNS和網關.
2. 更改TMG的計算機後綴名稱,完成後重新啓動機器
3. 在主安裝頁面上,單擊“運行 Windows Update”。 Windows Update 可能需要一臺或多臺計算機重新啓動。 如果計算機重新啓動,您必須重新啓動安裝。
在主安裝頁面上,單擊“運行準備工具”以啓動 Forefront TMG 準備工具。
4. 選擇安裝“用於集中管理陣列的企業管理服務器(EMS)”
5. 啓動ForeFrontTMG的安裝嚮導
ForeFront TMG企業安裝嚮導
輸入服務器相關許可信息
設置TMG安裝的路徑
7. 如果選擇了“在此 EMS 上創建新的企業配置”,請在“創建新企業”頁上的“企業名”框中輸入企業名稱,在“描述”框中輸入企業的簡短說明。
如果選擇了“將現有的企業配置複製到此 EMS”,則在“查找配置存儲服務器”頁上,輸入從中複製企業配置設置的 EMS 的完全限定域名 (FQDN),再選擇連接到配置存儲服務器時要使用的用戶帳戶。
8. 在“企業部署環境”頁上,選擇 Forefront TMG 企業部署的成員身份類型。
- 如果企業計算機在同一個域中,單擊“單域部署”。
- 如果企業計算機位於工作組中,單擊“工作組部署”。 必須安裝服務器證書。
在選擇域部署或工作組部署時,應當考慮以下事項:
- 工作組環境中的企業部署和陣列部署要求執行域環境中並非必需的額外準備步驟,另外還需要在 Forefront TMG 計算機上維護鏡像帳戶來用於管理。
- 工作組環境中不支持 EMS 複製。
- 工作組環境中不支持自動檢測 Web 代理。
- 在工作組環境中,必須在 Forefront TMG 計算機上安裝服務器證書。
- 可以配置 *** 客戶端用戶映射,將非 Microsoft Windows 操作系統用戶映射到域用戶帳戶。僅當域中安裝了 Forefront TMG 時才支持用戶映射。
- 在域中,可以使用組策略來鎖定 Forefront TMG 服務器,而不是通過僅配置本地策略來將其鎖定。
- 在域環境中,如果 Active Directory 域服務 (AD DS) 遭到破壞(例如受到內部***),則防火牆也可能會遭到破壞,這是因爲具有域管理員權限的用戶可以管理每個域成員(包括運行 Forefront TMG 的服務器)。同樣,如果防火牆遭到破壞,則 Forefront TMG 所在的域也存在風險。默認情況下,Domain Admins 組位於 Forefront TMG 服務器的 Administrators 組中。
- 如果您打算啓用 HTTPS 檢查,則在工作組環境中,不支持將 HTTPS 檢查受信任的根證書頒發機構 (CA) 證書自動部署到客戶端計算機
9. 點擊安裝,進行TMG的安裝
10. 確認完成TMG的安裝
11. 完成TMG的安裝
下一部分我們將描述如何配置EMS和陣列等信息。