달력

5

« 2024/5 »

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
2010. 5. 10. 11:39

[TMG] Forefront TMG(Threat Management Gateway) 2010 설치 Security2010. 5. 10. 11:39

TMG 서버의 도메인 참가 고려 사항
- Workgroup 환경에서의 Enterprise 및 Array 배포는 도메인 환경 대비 추가적인 준비 작업이 필요하며 관리를 위해 동일한 계정을 생성/유지해야 한다.
- Workgroup 환경에서는 EMS 복제가 지원되지 않는다.
- Workgroup 환경에서는 자동 웹 프록시 감지가 지원되지 않는다.
- Workgroup 환경에서는 Forefront TMG 서버에 서버 인증서를 설치해야 한다.
- Microsoft Windows가 아닌 운영 체제의 사용자를 도메인 사용자 계정에 매핑하도록 VPN 클라이언트 사용자 매핑을 구성할 수 있다. TMG가 도메인에 참가되어 있는 경우에만 사용자 매핑이 지원된다.
- 도메인 환경에서는 로컬 보안 정책이 아닌 그룹 정책을 이용해 TMG 서버를 잠글 수 있다.
- HTTPS 검사 기능을 사용하려는 경우, 클라이언트로 HTTPS 검사에 대한 루트 인증 기관 인증서 자동 배포가 Workgroup 환경에서는 지원되지 않는다.


TMG 서버 설치 및 구성 절차 요약
1. 설치 요구 사항
- 운영체제: Windows Server 2008 SP2 또는 R2
- 시스템 아키텍처: x64
2. 설치 미디어 삽입 후 '준비 도구 실행'
- 필요한 구성 요소가 자동으로 설치된다.
4. 사전 검사 완료 후 TMG 설치 마법사 실행
5. 설치 완료 후 시작 마법사를 통해 다음 절차를 수행한다.
- 네트워크 설정 구성: 네트워크 관계 및 라우팅 구성
- 시스템 설정 구성: 도메인 또는 작업 그룹
- 배포 옵션 정의: 자동 업데이트 및 NIS(네트워크 검사 시스템) 구성
6. (선택)웹 액세스 정책 구성


독립 실행형 배열 구성
1. TMG 관리 콘솔 실행 -> 방화벽 정책
2. 도구 상자 -> 관리되는 서버 컴퓨터 -> 속성 -> TMG 노드 추가
3. 서버 이름 -> 작업 탭의 배열 가입 클릭 후 배열 가입 절차 진행


Forefront TMG 클라이언트 다운로드
http://www.microsoft.com/DOWNLOADS/details.aspx?displaylang=ko&FamilyID=53010a09-3c5c-4d5d-9ae1-692e7447c5bd

Forefront TMG 클라이언트 무인 설치
msiexec /i ms_fwc.msi <SERVER_NAME_OR_IP=tmgserver> <ENABLE_AUTO_DETECT=0> <REFRESH_WEB_PROXY=0> /qb /L*v c:\fwc_inst.log


TMG 클라이언트의 Active Directory를 통한 자동 웹 프록시 검색 구성
1. TMG 서버는 반드시 도메인 구성원이어야 한다.
2. tmgadconfig.exe 명령줄 도구를 이용해 다음 명령 실행
tmgadconfig add -default -type winsock -url http://TMG.Domain.Com:80/wspad.dat
3. LDP.EXE 명령줄 도구를 이용해 정상적으로 등록되었는지 여부를 확인할 수 있다.
CN=Windock Proxy,CN=Internet Gateway,CN=Services,CN=Configuration,DC=Domain,DC=com
4. fwctool.exe 명령줄 도구를 이용해 TMG 클라이언트에서 확인
fwctool TestAutoDetect


TMG 클라이언트의 DNS/DHCP를 통한 자동 웹 프록시 검색 구성
DNS
* 클라이언트가 도메인에 참가되어 있거나 주 DNS 접미사가 설정되어 있어야 한다.
1. DNS 서버의 BlockList 해제: dnscmd /config /enableglobalqueryblocklist 0
2. WPAD.Domain.Com의 DNS 레코드를 TMG 서버의 IP 또는 CNAME으로 등록
* DNS에서 WPAD 항목을 사용하는 경우, TMG 서버의 포트 80에 게시해야 한다.

DHCP
1. DHCP 관리 콘솔 실행
2. DHCP 서버 마우스 우클릭 -> '미리 정의된 옵션 설정' 클릭
3. '추가' -> 옵션 유형에 다음과 같이 입력 후 확인
- 이름: WPAD
- 데이터 형식: 문자열
- 코드: 252
4. 문자열 항목에 다음과 같이 입력(또는 범위 옵션에서 입력 가능)
http://TMG.Domain.Com:80/wpad.dat
* wpad.dat는 소문자로 입력해야 한다.
5. 적용할 범위 선택 -> 범위 옵션 -> 고급
6. 사용 가능한 옵션에서 '252 WPAD' 선택 -> 확인

:
Posted by 커널64

티스토리툴바