Cấu hình Forefront TMG làm máy chủ DirectAccess Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách cấu hình Cấu hình Forefront TMG làm máy chủ DirectAccess.. Các bạn lưu ý hướ
Trang 1Cấu hình Forefront TMG làm máy chủ
DirectAccess Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách cấu hình Cấu hình Forefront TMG làm máy chủ DirectAccess
Các bạn lưu ý hướng dẫn này sẽ chỉ giới thiệu các bước cần thiết để cấu hình Forefront TMG làm máy chủ DirectAccess Server Việc cấu hình máy chủ DirectAccess hoàn toàn nằm bên ngoài phạm vi của bài viết
Một vấn đề quan trọng các bạn cần biết đó là Forefront TMG không chấp nhận lưu lượng IPv6 hay cho phép nó đi thông qua, vì vậy đầu tiên chúng ta phải thay đổi hành vi này trước khi Forefront TMG được cài đặt để cho phép lưu lượng sau:
Lưu lượng IPv6 gửi vào đã được xác thực (sử dụng IPSec), gồm có cả lưu lượng khởi tạo IPSec
Các kỹ thuật chuyển lưu lượng IPv6 gửi vào và gửi ra (6to4, Teredo, IP-HTTPS và ISATAP)
IPv6 nguyên bản từ máy Forefront TMG
Thêm vào đó, Forefront TMG tích hợp với thành phần IPSec Denial of Service Protection (DoSP) của Windows DirectAccess để bảo đảm rằng chỉ có lưu lượng IPSec được phép thông qua
Chúng ta cần cài đặt và cấu hình Windows Server 2008 R2 DirectAccess trước khi cài đặt Forefront TMG
Đầu tiên chúng ta đi cài đặt giao diện quản lý Windows Server 2008 R2 DirectAccess như thể hiện trong hình bên dưới
Trang 2Hình 1: Cài đặt tính năng Windows Server 2008 R2 DirectAccess
Sau khi giao diện quản lý đã được cài đặt xong, khởi chạy giao diện quản lý và cấu hình DirectAccess, sau đó test toàn bộ các chức năng trước khi cài đặt Forefront TMG
Trang 3Hình 2: Giao diện quản lý DirectAccess
Sau khi thẩm định cài đặt và cấu hình DirectAccess thành công, chúng ta phải thay đổi Registry với một key mới trước khi cài đặt Forefront TMG Key này nhằm tránh cho Forefront TMG vô hiệu hóa sự hỗ trợ giao thức IPv6 trong quá trình cài đặt Forefront TMG
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\ISACTRL]
"CTRL_SKIP_DISABLE_IPV6_PROTOCOLS"=dword:00000001
Trang 4Hình 3: Kịch bản kích hoạt sự hỗ trợ giao thức IPv6 cho Forefront TMG
Sau khi Registry được thay đổi thành công, cài đặt Forefront TMG theo cách bạn cài đặt máy chủ Forefront TMG thông thường Khi cài đặt Forefront TMG xong, chúng ta phải thay đổi cấu hình Forefront TMG bằng kịch bản cho phép hỗ trợ IPv6 Copy đoạn mã dưới đây vào một file Notepad trắng và lưu lại với đuôi VBS
Trang 5set policy = arr.ArrayPolicy
arr.save
Hình 4: Lưu kịch bản dưới đuôi VBS
Lưu kịch bản bằng đuôi VBS và chạy nó từ dòng lệnh với lệnh sau:
Cscript DA-Enable.VBS
Do cấu hình Forefront TMG thay đổi nên bạn sẽ phải chờ một chút cho tới khi cấu hình được đồng bộ Bạn sẽ thấy trạng thái cấu hình trong giao diện quản lý của Forefront TMG như thể hiện trong hình bên dưới
Hình 5: Đợi cho quá trình đồng bộ hoàn tất
Kịch bản sẽ tạo ra bốn rule chính sách hệ thống mới để DirectAccess hỗ trợ lưu lượng IPv6
Trang 6Hình 6: Một số chính sách hệ thống mới của Forefront TMG
Nút “Act as a Direct Access server”
Forefront TMG Beta và RC có tab IPv6 trong phần IP preferences trong giao diện quản
lý để cấu hình Forefront TMG làm DirectAccess Server (xem thể hiện trong hình dưới)
Hình 7: Nút Act as a Direct Access Server
Trang 7Tuy nhiên sau khi bản RTM được phát hành, tab IPv6 bị gỡ khỏi giao diện điều khiển Forefront TMG
Hình 8: Bạn sẽ thấy nút DirectAccess trong Forefront TMG phiên bản Beta và RC
Ẩn các entry bản ghi IPv6
Forefront TMG có tùy chọn cho phép bạn ẩn lưu lượng IPv6 từ tab Real-time monitoring Do Forefront TMG không hỗ trợ IPv6 nên đây là một tùy chọn dùng để ẩn
các entry nhằm quan sát dễ dàng hơn bên trong bản ghi TMG
Trang 8Hình 9: Ẩn các entry bản ghi IPv6
Nếu muốn có thêm nhiều chức năng và sự linh hoạt, bạn có thể sử dụng Forefront UAG cho kịch bản DirectAccess của mình Sử dụng Forefront UAG sẽ có những ưu điểm dưới đây:
Dễ dàng mở rộng (cho phép 8 Forefront UAG Server được join vào một mảng )
Khả năng có sẵn cao (với Windows Server 2008 R2 NLB)
Truy cập vào các máy chủ cũ trong công ty qua IPv4
Dễ dàng cấu hình, triển khai và quản lý
Forefront UAG cài đặt Forefront TMG trên mỗi nút trong suốt quá trình cài đặt
Giải pháp truy cập từ xa khác cho các máy không được join vào miền
