概述:

Forefront TMG 服务器高可用性和可伸缩性

Forefront TMG 阵列提供:

  • 高可用性 - 确保 Forefront TMG 部署的持续运行,包括部署中的一台或多台 Forefront TMG 服务器停机期间。阵列中所有服务器上的 Forefront TMG 配置设置都相同,从而可以在一个或多个阵列成员发生故障转移时提供不间断服务。
  • 可伸缩性 - 满足不断增长的性能需求。例如,对于越来越多的用户或希望增加其 Internet 活动的用户,需要额外的网络带宽。当组织的需求增长时,您可以从单一 Forefront TMG 部署轻松升级到 Forefront TMG 阵列,以及增加现有阵列中的成员数目或增加阵列数目。
  • 分布式永久缓存 - 使用最新阵列管理器配置更新所有服务器,从而使用户能够按需指定新阵列管理器。该信息为永久信息,会在部署中的一台或多台 Forefront TMG 服务器停机期间得以保留。

Forefront TMG 企业支持两种阵列类型:

  • 独立阵列 - 根据选择的负载平衡方法,一个独立阵列最多可以包含 50 台 Forefront TMG 服务器,这些服务器由一个充当阵列管理器的阵列成员管理;如果 Forefront TMG 部署在单一逻辑位置且处理中等流量负载时,可使用此阵列类型。
  • EMS 管理的阵列 - EMS 管理的阵列最多可以包含 200 个 Forefront TMG 阵列,每个阵列最多包含 50 台 Forefront TMG 服务器,这些服务器由企业管理器服务器 (EMS) 管理。建立 EMS 管理的阵列后,您可以复制其设置,并使用相同设置最多管理 15 个 EMS 管理的阵列,从而允许对最多 150,000 台 Forefront TMG 服务器进行集中管理。

Forefront TMG可以使用下列 网络拓扑:

  • 边缘防火墙 - 在此拓扑中,Forefront TMG 位于网络边缘,是组织的边缘防火墙,并与以下两个网络相连:内部网络和外部网络(通常为 Internet)。
  • 三向外围网络 - 此拓扑实现外围网络。Forefront TMG 至少与三个物理网络相连:内部网络、一个或多个外围网络,以及外部网络。
  • 后端防火墙 - 在此拓扑中,Forefront TMG 位于网络的后端。如果在 Forefront TMG 和外部网络之间,还有其他网络元素(例如,外围网络或边缘安全设备),则使用此拓扑。Forefront TMG 与内部网络和它前面的网络元素相连。
  • 单一网络适配器 - 此拓扑启用有限的 Forefront TMG 功能。在此拓扑中,Forefront TMG 仅与一个网络(内部网络或外围网络)相连。通常,当 Forefront TMG 位于内部企业网络或外围网络中,而边缘还有一个防火墙用来保护公司资源免受来自 Internet 的***时,应使用此配置。

以下为安装EMS 管理的阵列

1. 设置网络连接,在我们的环境中TMG,使用2块网卡:External为外部网卡,设置IP地址、子网掩码、网关、DNS服务器地址,Internal为内部通信网卡,只设置IP地址和子网掩码,不设置DNS和网关.

TMG EMS-安装部署-01

2. 更改TMG的计算机后缀名称,完成后重新启动机器

TMG EMS-安装部署-01

3. 在主安装页面上,单击“运行 Windows Update”。 Windows Update 可能需要一台或多台计算机重新启动。 如果计算机重新启动,您必须重新启动安装。

在主安装页面上,单击“运行准备工具”以启动 Forefront TMG 准备工具。

TMG EMS-安装部署-01

TMG EMS-安装部署-01

4. 选择安装“用于集中管理阵列的企业管理服务器(EMS)”

TMG EMS-安装部署-01

5. 启动ForeFrontTMG的安装向导

TMG EMS-安装部署-01

ForeFront TMG企业安装向导

TMG EMS-安装部署-01

输入服务器相关许可信息

TMG EMS-安装部署-01

设置TMG安装的路径

TMG EMS-安装部署-01

7. 如果选择了“在此 EMS 上创建新的企业配置”,请在“创建新企业”页上的“企业名”框中输入企业名称,在“描述”框中输入企业的简短说明。

如果选择了“将现有的企业配置复制到此 EMS”,则在“查找配置存储服务器”页上,输入从中复制企业配置设置的 EMS 的完全限定域名 (FQDN),再选择连接到配置存储服务器时要使用的用户帐户。

TMG EMS-安装部署-01

 

TMG EMS-安装部署-01

8. 在“企业部署环境”页上,选择 Forefront TMG 企业部署的成员身份类型。

  • 如果企业计算机在同一个域中,单击“单域部署”
  • 如果企业计算机位于工作组中,单击“工作组部署”。 必须安装服务器证书。

TMG EMS-安装部署-01

在选择域部署或工作组部署时,应当考虑以下事项:

  • 工作组环境中的企业部署和阵列部署要求执行域环境中并非必需的额外准备步骤,另外还需要在 Forefront TMG 计算机上维护镜像帐户来用于管理。
  • 工作组环境中不支持 EMS 复制。
  • 工作组环境中不支持自动检测 Web 代理。
  • 在工作组环境中,必须在 Forefront TMG 计算机上安装服务器证书。
  • 可以配置 ××× 客户端用户映射,将非 Microsoft Windows 操作系统用户映射到域用户帐户。仅当域中安装了 Forefront TMG 时才支持用户映射。
  • 在域中,可以使用组策略来锁定 Forefront TMG 服务器,而不是通过仅配置本地策略来将其锁定。
  • 在域环境中,如果 Active Directory 域服务 (AD DS) 遭到破坏(例如受到内部***),则防火墙也可能会遭到破坏,这是因为具有域管理员权限的用户可以管理每个域成员(包括运行 Forefront TMG 的服务器)。同样,如果防火墙遭到破坏,则 Forefront TMG 所在的域也存在风险。默认情况下,Domain Admins 组位于 Forefront TMG 服务器的 Administrators 组中。
  • 如果您打算启用 HTTPS 检查,则在工作组环境中,不支持将 HTTPS 检查受信任的根证书颁发机构 (CA) 证书自动部署到客户端计算机

9. 点击安装,进行TMG的安装

TMG EMS-安装部署-01

10. 确认完成TMG的安装

TMG EMS-安装部署-01

11. 完成TMG的安装

TMG EMS-安装部署-01

 

下一部分我们将描述如何配置EMS和阵列等信息。