微软TMG 2010工作组环境独立服务器阵列配置-1

TMG（Threat Management Gateway）是俗称微软的软件防火墙，相信大家都不陌生，估计好些公司还在使用中。目前我所在的公司也一直在使用，虽然网络出口处有着很NB的Juniper防火墙，但仍然将TMG架在了公司内部网络和外部网络之间，组成DMZ网络，并通过TMG向Internet发布一些企业应用系统。长期以来一直单台服务器提供应用，难免有时出现宕机。随着公司的发展，单台TMG严重影响系统可用率的提升，因此考虑增加一台TMG，实现冗余高可用。

既然是在原有条件下新加一台TMG，所以新增加的TMG服务器的配置可以通过将原有TMG服务器的配置导出然后导入到新服务器中，这里就不在详细说明了。

可以参考：《备份和还原 Forefront TMG 配置》

http://technet.microsoft.com/zh-cn/library/bb794815.aspx

在TMG中，有两种不同类型的阵列：独立阵列(TMG新增的功能)和企业管理服务器管理(Enterprise Management Server-managed，EMS-managed)阵列。EMS阵列一般应用在大型网络的多台TMG服务器环境。对于我们这种单一的网络环境，独立服务器阵列是一个不错选择。下面我们来看看如何配置独立服务器阵列？

虽然独立服务器看起来比较简单，但实际操作起来还是有很多需要配置的，开始时还走了一些弯路。。。最后还咨询了下微软工程师，O(∩_∩)O哈哈哈~

企业中的TMG一般分为两种，一种是加入域的域模式，一种是工作组模式的。我们目前的是工作组模式，为了让TMG之间能够正确解析，因此需要为TMG添加dns后缀。

1、为 TMG 服务器创建 FQDN

右键点击“计算机”—选择“属性”—单击“计算机名”选项卡—单击“更改”按钮—然后在“计算机名称/域更改”对话框中，单击“更多”按钮。在“DNS 后缀和 NetBIOS 计算机名”对话框的“此计算机的主 DNS 后缀”中，指定要附加到计算机名称的 DNS 后缀。然后单击“确定”。

应用更改后，请重新启动计算机，以便使用其新的 FQDN 名称初始化该计算机。

同样方式配置TMG02服务器

最后在DNS中为TMG01和TMG02添加两条A记录

2、配置TMG通讯证书

由于TMG是工作组环境，当组成阵列时两台TMG服务器之间只能通过证书进行通讯。因此首先需要为TMG申请证书。

1）首先登录到企业CA证书服务器，创建一个TMG证书模板

打开“证书颁发机构”—展开证书颁发机构，右键点击“证书模板”，选择“管理”，打开“证书模板控制台”

TMG使用的WEB服务器证书，因此需要创建一个Web服务器模板，在证书模板控制台中，右键点击“web服务器”，选择“复制模板”

选择“Windows Server 2003 Enterprise（3）”，点击“确定”

将复制的模板重命名为“Web服务器TMG阵列”，并双击打开该模板属性对话框

在“常规”选项卡指定证书的有效期

在“请求处理”选项卡中，勾选“允许导出私钥”

在“安全”选项卡添加“Domain Computer”和“Domain Controller”用户组具有读取和写入的权限，最后点击“确定”

切换到“证书颁发机构”管理控制台中，再次右键点击“证书模板”，选择“新建”—“要颁发的证书模板”

选择“web服务器TMG阵列”，点击“确定”，来添加证书申请模板

完成后强制刷新组策略，让设置立即生效

2）申请证书，可以在加入域的任意一台计算机上或者CA服务器上操作

在开始运行中输入“mmc”，并添加“证书”管理单元

选择“计算机账户”，点击“下一步”，打开证书控制台

一次展开证书列，在“个人”—“证书”中，右键选择“所有任务”—“申请新证书”

点击“下一步”

勾选“web服务器TMG阵列”，然后点击黄色叹号处，配置证书信息

在“使用者”选项卡中，使用者名称类型中选择“公用名”并输入“TMG01.contoso.com”值，点击“添加”，并“确定”

注：公用名称取决于作为TMG阵列管理服务器的FQDN，这里表示我们将TMG01作为管理服务器。

完成后点击“注册”，成功后点击“完成”

接下来导出新申请的TMG证书，右键点击该证书，选择“导出”

选择“是，导出私钥”

点击“完成”

完成后，将导出的TMG01.autonavi.com证书复制到TMG服务器TMG01上。暂时不需要导入，以后需要时再导入。

3）、导入CA根证书

打开TMG01的证书管理控制台，在“受信任的根证书颁发机构”—“证书”中选择导入

将企业的CA根证书导入到“受信任的根证书颁发机构”

同样操作将CA根证书导入到TMG02这台服务器上。

本文转自liang_simon51CTO博客，原文链接：http://blog.51cto.com/shubao    ，如需转载请自行联系原作者