Forefront TMG 2010 - cz 10 - TMG Firewall Client
.png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 2011-11-03
Wprowadzenie
W poprzedniej części z serii Forefront TMG 2010 opisano dwa typy klientów TMG – SecureNAT i WebProxy. W niniejszej części tej serii opisany zostanie trzeci typ klienta – Forefront TMG Client.
Firewall Client TMG
Oprogramowanie Firewall Client jest bardzo małym pakietem. Można je pobrać z witryny www.microsoft.com, znajduje się również na nośniku instalacyjnym TMG w folderze client. Wersja instalacyjna dostarczana jest w postaci pliku .exe, ale można wypakować z niego instalator w postaci pakietu o nazwie MS_FWC.msi, np. za pomocą winrara. . Zajmuje on ok 1,4 MB. Pakiet ten może być zatem instalowany manualnie, via GROUP POLICY lub za pomocą innego zestawu narzędzi dystrybucyjnych, np. SMS czy SCCM 2007. Aby zainstalować go lokalnie, trzeba mieć uprawnienia administratora lokalnego.
.jpg "Kreator instalacji oprogramowania Firewall Client. Okno wstępne instalatora")
Rys. 10.1. Kreator instalacji oprogramowania Firewall Client. Okno wstępne instalatora.
W kolejnym oknie Location to Save Files, przedstawionym na Rys. 10.2. podajemy ścieżkę, do której zostanie wypakowany pakiet instalacyjny.
.jpg "Określanie tymczasowego folderu instalacyjnego")
Rys. 10.2. Określanie tymczasowego folderu instalacyjnego.
Kolejne okno (Rys. 10.3.) to rozpoczęcie właściwego kreatora instalacji.
.jpg "Okno początkowe właściwego kreatora instalacji")
Rys. 10.3. Okno początkowe właściwego kreatora instalacji.
Następne okno Licence Agreement (Rys. 10.4.) to akceptacja umowy licencyjnej.
.jpg "Akceptacja umowy licencyjnej")
Rys. 10.4. Akceptacja umowy licencyjnej.
W oknie Destination Folder, przedstawionym na Rys. 10.5. podajemy docelowy folder instalacyjny.
.jpg "Wskazanie docelowego folderu instalacyjnego")
Rys. 10.5. Wskazanie docelowego folderu instalacyjnego.
Na Rys. 10.6. – Forefront TMG Computer Selection – pokazano okno wyboru trybu automatycznej lub manualnej detekcji serwera TMG. W przykładzie tym wybrany został tryb automatyczny.
.jpg "Kreator instalacji oprogramowania Forefront TMG Client")
Rys. 10.6. Kreator instalacji oprogramowania Forefront TMG Client.
W fazie instalacji możemy wybrać automatyczną detekcję serwera TMG lub podać manualnie adres serwera TMG. Ostatnie dwa okna pominiemy, gdyż nie wnoszą one żadnych informacji do procesu instalacji oprogramowania Firewall Client. Oprogramowanie jest widoczne w pasku zadań pod poniższym symbolem (może również być ukryte przed widokiem użytkowników). Aplikacja zajmuje bardzo mało pamięci — ok. 3,28 MB. Poniższy rysunek, umieszczony po lewej stronie symbolizuje klienta włączonego, a po prawej — wyłączonego.
.jpg "Symbol reprezentujący działające oprogramowanie Firewall Client")
Rys. 10.7. Symbol reprezentujący działające oprogramowanie Firewall Client.
Zarządzanie oprogramowaniem Firewall Client
Aby skorzystać z funkcjonalności oprogramowania Firewall Client, należy po instalacji upewnić się, czy włączona jest jego obsługa (właściwości sieci, zakładka Firewall Client — domyślnie jest włączona dla sieci Internal).
.jpg "Zarządzanie oprogramowaniem Forefront TMG Client poprzez interfejs graficzny")
Rys. 10.8. Zarządzanie oprogramowaniem Forefront TMG Client poprzez interfejs graficzny.
Na Rys. 10.9. została przedstawiona zakładka General. Jest to jedyna dostępna opcja, która pozwala na ukrycie ikony Forefront TMG Client z paska zadań.
.jpg "Zarządzanie oprogramowaniem Firewall Client poprzez interfejs graficzny — zakładka General")
Rys. 10.9. Zarządzanie oprogramowaniem Firewall Client poprzez interfejs graficzny — zakładka General.
Na Rys. 10.10. została przedstawiona zakładka Settings . Umożliwia ona włączenie lub wyłączenie klienta Forefront TMG. Sekcja Forefront TMG Selection pozwala na automatyczny lub manualny wybór serwera TMG. Tutaj zalecanym mechanizmem jest wykorzystanie Active Directory.
.jpg "Zarządzanie oprogramowaniem Forefront TMG poprzez interfejs graficzny — zakładka Settings")
Rys. 10.10. Zarządzanie oprogramowaniem Forefront TMG poprzez interfejs graficzny — zakładka Settings.
W przypadku wyboru trybu automatycznego, konfiguracja jest weryfikowana:
- w momencie uruchamiania /restartu oprogramowania TMG Client,
- za każdym razem, gdy kliknięty zostanie przycisk Detect Now,
- co 6 godzin.
Aby skonfigurować autokonfigurację TMG Client, należy posłużyć się dodatkowym narzędziemTMGADConfig.exe. Jest on dostępny do pobrania z witryny Microsoft Download:
https://www.microsoft.com/download/en/details.aspx?id=11183
Poniżej, na Rys. 10.11., przedstawiono listę opcji polecenia TMGADConfig.exe.
.jpg "Opcje polecenia TMGADConfig")
Rys. 10.11. Opcje polecenia TMGADConfig.
Rys. 10.12. pokazuje utworzenie punktu konfiguracyjnego w Active Directory .
.jpg "Utworzenie punktu konfiguracyjnego w Active Directory")
Rys. 10.12. Utworzenie punktu konfiguracyjnego w Active Directory.
Na Rys. 10.13. przedstawiona została weryfikacja utworzenia punktu konfiguracyjnego . Punkt konfiguracyjny tworzony jest na partycji konfiguracji w gałęzi CN=Services | CN=Internet Gateway | CN=Winsock Proxy. Jednym z atrybutów jest parametr serviceBindinInformation, wskazujący na adres URL, skąd Forefront TMG Client pobiera plik konfiguracyjny wspad.dat.
.jpg "Weryfikacja utworzenia punktu konfiguracyjnego")
Rys. 10.13. Weryfikacja utworzenia punktu konfiguracyjnego.
Zakładka Web Browser — przedstawiona na Rys. 10.14. — odpowiada za automatyczną konfigurację klienta typu Web Proxy Client.
.jpg "Zarządzanie oprogramowaniem Firewall Client poprzez interfejs graficzny — zakładka Web Browser")
Rys. 10.14. Zarządzanie oprogramowaniem Firewall Client poprzez interfejs graficzny — zakładka Web Browser.
Zakładka Secure Connection Inspection — przedstawiona na Rys. 10.15. — odpowiada za powiadamianie użytkownika o trwaniu inspekcji ruchu HTTPS (zakładka ta jest dostępna tylko w przypadku instalacji oprogramowania na systemach rodziny NT 6.X – Vista, Windows 7, niedostępna natomiast w przypadku instalacji na rodzinie NT 5.X – Windows XP).
.jpg "Zarządzanie oprogramowaniem Firewall Client poprzez interfejs graficzny — zakładka Secure Connection Inspection")
Rys. 10.15. Zarządzanie oprogramowaniem Firewall Client poprzez interfejs graficzny — zakładka Secure Connection Inspection.
Globalne opcje konfiguracyjne oprogramowania Firewall Client
Globalne opcje konfiguracyjne definiowane są w gałęzi serwera TMG: Networking | Networks | Configure Forefront TMG Client Settings. Dodatkową konfigurację oprogramowania można przeprowadzić od strony klienta za pomocą odpowiednio przygotowanych, tekstowych plików konfiguracyjnych. Są to:
- LocalLAT.txt,
- Common.ini,
- Management.ini,
- Application.ini.
Zgodnie z domyślnymi ustawieniami, w systemie automatycznie tworzone są wyłącznie pliki common.ini i management.ini. Pliki te zapisywane są w podanych niżej lokalizacjach. Ustawienia globalne dla wszystkich użytkowników danego systemu wyglądają tak: lokalizacja …2004 – nie jest błędem – została ona pozostawiona dla zapewnienia wstecznej kompatybilności serwerem i klientem ISA 2004, stąd nazewnictwo i lokalizacja:
%SystemDrive%\Documents and Settings\All Users\Application Data\Firewall Client 2004
Dla wersji PL:
%SystemDrive%\Documents and Settings\All Users\Dane Aplikacji\Firewall Client 2004
Ustawienia stosowane dla użytkowników zalogowanych:
%SystemDrive%\Documents and Settings\%Username%\Local Settings\Application Data\Firewall Client 2004
Ustawienia użytkowników zalogowanych zastępują ustawienia profilu All Users.
W przypadku nowszych systemów – Windows Vista, Windows 7 ustawienia przechowywane są w lokalizacji:
\Users\All Users\Microsoft\Firewall Client 2004oraz
\USers\%Username%\AppData\Local\Firewall Client 2004
Przykładowa zawartość pliku common.ini:
[Common]ServerName=Disable=0Autodetection=1
Przykładowa zawartość pliku management.ini:
[WebBrowser]EnableWebProxyAutoConfig=1
Więcej informacji o konfiguracji application.ini można przeczytać w witrynie technet – Configuring application settings for Forefront TMG Clients pod adresem:
https://technet.microsoft.com/en-us/library/ee658144.aspx
Weryfikacja poprawności konfiguracji oprogramowania TMG Client
Aby umożliwić weryfikację poprawności instalacji i konfiguracji oprogramowania Firewall Client, Microsoft opublikował darmowe narzędzie o nazwie Firewall Client Tool — FWCTool.exe. Jest ono dostarczane łącznie z klientem i znajduje się w tym samym katalogu co plik klienta. Jest to samorozpakowujące się archiwum. Po rozpakowaniu otrzymamy dwa pliki: wykonywalny oraz plik dokumentacji. Na Rys. 10.16. pokazano sposób wywołania aplikacji FwcTool.exe oraz jej dostępne opcje.
.jpg "Sposób wywołania aplikacji FwcTool oraz jej dostępne opcje")
Rys. 10.16. Sposób wywołania aplikacji FwcTool oraz jej dostępne opcje.
Rys. 10.17. przedstawia wydruk przykładowej konfiguracji globalnej. Na rysunku tym widać cztery sekcje: General settings, Server information, Advances settings, Local address table (LAT).
.jpg "Wydruk przykładowej konfiguracji globalnej")
Rys. 10.17. Wydruk przykładowej konfiguracji globalnej.
Narzędzie to pozwala na przeprowadzenie testu autokonfiguracji. Na Rys. 10.18. został przedstawiony wynik przykładowego testu autokonfiguracji TMG.
.jpg "Test autokonfiguracji TMG Client")
Rys. 10.18. Test autokonfiguracji TMG Client.
Podsumowanie
W tym artykule przedstawiliśmy zagadnienia instalacji, konfiguracji i weryfikacji poprawności działania oprogramowania TMG Client. W następnej części z tej serii zostaną przedstawione reguły publikacji.