Instalacja Forefront TMG 2010 – część 2
.png "Udostępnij na: Facebook")
Czynności wstępne
Autor: Jacek Światowiak
Opublikowano: 2011-02-16
Wprowadzenie
W pierwszej części omówiliśmy zagadnienia wstępne omawiające przeznaczenie i funkcje pełnione przez produkt Forefront TMG 2010. W niniejszej części omówiono wymagania sprzętowe i systemowe oraz przedstawimy zagadnienia konfiguracji interfejsów sieciowych i wykorzystanie narzędzia Forefront TMG Preparation Tools.
Wymagania sprzętowe i systemowe
Poniżej przedstawiono wymagania sprzętowe i systemowe dla wdrożenia produktu Forefront Threat Management Gateway 2010:
- Komputer wyposażony w procesor z rozszerzeniem 64-bitowym (AMD x64 lub INTEL EM-64T) o częstotliwości taktowania co najmniej 1,86 GHz (minimum dwa rdzenie lub dwa procesory jednordzeniowe).
- System operacyjny Windows Server (2008 lub 2008 R2) wersja 64-bitowa (Standard, Enterprise lub Datacenter). Produktu Forefront TMG 2010 nie można zainstalować na żadnej z wersji Windows Server 2003 (32- lub 64-bitowej) ani na 32-bitowej wersji Windows Server 2008.
- Minimum 2 GB pamięci RAM (praktyka pokazuje, iż skanowanie antywirusowe ruchu HTTP oraz ruchu SMTP wymaga znacznie większej ilości pomięci operacyjnej – co najmniej 4 GB!).
- 2,5 GB dostępnej przestrzeni dyskowej sformatowanej w systemie NTFS. Dodatkowa przestrzeń dyskowa może być konieczna dla przechowywania buforowanej treści HTTP/HTTPS/FTP oraz dla inspekcji antywirusowej pobieranych treści.
- Interfejs sieciowy – dla każdej fizycznej sieci.
Uwaga informacyjna:
Wszystkie przykłady bazują na instalacji serwera TMG 2010 Standard Edition na Windows Server 2008 R2 Enterprise Edition.
Proces instalacji oraz późniejsze zagadnienia konfiguracyjne i zarządzanie wykonywane będą w środowisku testowym. Serwer, na którym zostanie zainstalowany produkt TMG 2010 SE, wyposażony został w trzy interfejsy sieciowe, którym dla wygody późniejszego stosowania zmieniono nazwy z LocalArea Connection na odpowiednio:
- LAN
- DMZ
- INTERNET
Nazwy poszczególnych interfejsów jednoznacznie odzwierciedlają, do jakich sieci dane interfejsy są podłączone. Nazewnictwo prezentuje rysunek 2.1.
.jpg "Nazewnictwo interfejsów sieciowych")
Rys. 2.1.Nazewnictwo interfejsów sieciowych.
Każdy z tych interfejsów ma niezależne parametry konfiguracyjne, co pokazuje przekładowo rysunek 2.2. W tabeli 2.1 zebrano właściwości wszystkich interfejsów sieciowych wykorzystywanych w środowisku testowym.
.jpg "Właściwości interfejsu sieciowego LAN")
Rys. 2.2.Właściwości interfejsu sieciowego LAN.
| Interfejs | LAN | DMZ | INTERNET |
| Adres IPv4 | 192.168.0.254 | 172.16.0.254 | 192.168.10.55 |
| Maska podsieci | 255.255.255.0 | 255.255.255.0 | 255.255.255.0 |
| Domyślna brama | Nie definiuje się. | Nie definiuje się. |
Przykładowy 192.168.10.254. |
| Podstawowy DNS | 192.168.0.200 | Nie definiuje się. | Nie definiuje się. |
| Zapasowy DNS | Nie zdefiniowany | Nie definiuje się | Nie definiuje się |
| Adres IPv6 | W przypadku wykorzystywania tylko protokołu IPv4 – należy wyłączyć IPv6 dla danego interfejsu. | W przypadku wykorzystywania tylko protokołu IPv4 – należy wyłączyć IPv6 dla danego interfejsu. | W przypadku wykorzystywania tylko protokołu IPv4 – należy wyłączyć IPv6 dla danego interfejsu. |
| Client for Microsoft Networks | Jeżeli będzie włączone logowanie NETBIOS – komponent musi być włączony. W przypadku pracy w środowisku domenowym powinien być włączony. Poza tym przypadkiem można wyłączyć. | Wyłączyć – chyba że znajdujące się tu serwery są członka mi domeny. | Wyłączyć |
| File and Printer Sharing for Microsoft Networks | W przypadku pracy w środowisku domenowym powinien być włączony – dostęp do woluminu SYSVOL z kontrolerów domeny. | Wyłączyć – chyba że znajdujące się tu serwery są członkami domeny. | Wyłączyć |
| QoSPacketScheduler | Jeżeli nie zamierzamy korzystać z aplikacji typu audio/video – wyłączyć. | Jeżeli nie zamierzamy korzystać z aplikacji typu audio/video – wyłączyć. | Jeżeli nie zamierzamy korzystać z aplikacji typu audio/video – wyłączyć. |
| Link Layer Topology Discovery Mapper I/O Driver | Zamiennik NETBIOS – wyłączyć. Posługujemy się wyłącznie DNS. | Zamiennik NETBIOS – wyłączyć. Posługujemy się wyłącznie DNS. | Zamiennik NETBIOS – wyłączyć. Posługujemy się wyłącznie DNS. |
| Link Layer Topology Discovery Responder | Zamiennik NETBIOS – wyłączyć. Posługujemy się wyłącznie DNS. | Zamiennik NETBIOS – wyłączyć. Posługujemy się wyłącznie DNS. | Zamiennik NETBIOS – wyłączyć. Posługujemy się wyłącznie DNS. |
| Zaawansowane ustawienia protokołu IPv4 | |||
| Zakładka DNS | |||
| Zarejestruj adresy tego połączenia w DNS. | Odznaczyć | Odznaczyć | Odznaczyć |
| Użyj sufiksu DNS tego połączenia do rejestracji w DNS. | Odznaczyć | Odznaczyć | Odznaczyć |
| Zakładka WINS | |||
| Włącz wyszukiwanie LMHOST. | Odznaczyć | Odznaczyć | Odznaczyć |
| Ustawienia NETBIOS | Wyłącz system NETBIOS przez TCP – chyba że mamy włączone logowanie NETBIOS | Wyłącz system NETBIOS przez TCP | Wyłącz system NETBIOS przez TCP |
| Zaawansowane ustawienia protokołu IPv6 | |||
| Zakładka DNS | |||
| Zarejestruj adresy tego połączenia w DNS. | Odznaczyć | Odznaczyć | Odznaczyć |
| Użyj sufiksu DNS tego połączenia do rejestracji w DNS. | Odznaczyć | Odznaczyć | Odznaczyć |
Tabela 2.1.Właściwości konfiguracyjne interfejsów sieciowych serwera TMG 2010.
Narzędzie preinstalacyjne Forefront TMG Preparation Tools
Na nośniku instalacyjnym TMG 2010 dostarczane jest specjalne narzędzie preinstalacyjne (Forefront TMG PreparationTool). Jego zadaniem jest instalacja wszystkich wymaganych przez TMG 2010 komponentów systemowych, zatem nie jest wymagana manualna instalacja jakichkolwiek komponentów, w tym roli czy funkcji. Zainstalowane i skonfigurowane zostaną następujące komponenty:
- Network Policy Server – serwer NAP (policy Server) i RADIUS,
- Routing and Remote Access Services – wykorzystywany dlausługi serwera VPN,
- Active Directory Lightweight Directory Services Tools – wykorzystywany jako komponent przechowywania konfiguracji – Configuration Storage Services (CSS),
- Network LoadBalancing Tools – dla wersji Enterprise dla zapewniania wysokiej dostępności i niezawodności,
- Windows PowerShell 2.0 – wykorzystywany przez Exchange 2010 Edge (jeżeli ten produkt będzie integrowany z serwerem Forefront TMG 2010),
- Microsoft .NET Framework 3.5 SP1 – wykorzystywany przez Forefront Protection 2010 for Exchange (jeżeli ten produkt będzie integrowany z serwerem Forefront TMG 2010),
- Windows Web Services API,
- Windows Update,
- Microsoft Windows Installer 4.5,
- Message Queuing – dla integracji z komponentami eSAS.
Uwaga informacyjna:
Instalacja Forefront TMG na kontrolerze domeny nie jest oficjalnie wspierana. Dopiero od wersji TMG SP1 może być łączona z rolą Read OnlyDomainControler RODC/ROGC.
Uwaga informacyjna:
Produkt TMG może pracować zarówno w grupie roboczej, jak i w środowisku domenowym.
Po włożeniu nośnika instalacyjnego do napędu DVD zostanie uruchomiony kreator instalacji (splash.hta), który wyświetli okno wyboru czynności instalacyjnych (okno przedstawiono na rysunku 1.7.). Poniżej przedstawiono przeznaczenie plików znajdujących się na nośniku instalacyjnym, a związanych z procesem instalacji serwera i klienta TMG:
- \autorun.inf – standardowy plik definiujący kolejność automatycznego uruchamia plików z nośnika DVD. Plik ten uruchamia plik startowy spash.hta, który uruchamia plik autorun.hta.
- \autorun.hta – odpowiada za wyświetlanie ekranu startowego – WelcomeScreen (pokazanego na rysunku 1.7). Okno to jest punktem startowym do wszystkich zagadnień związanych z przygotowaniem środowiska oraz samą instalacją komponentów serwera TMG.
- \FPC\setup.exe – jest to główny plik instalatora serwera TMG wykorzystywany zarówno w trybie graficznym, jak i w trybie instalacji nienadzorowanej.
- \client\ms_fwc.msi – jest plikiem instalacyjnym klienta TMG.
.jpg "Okno wyboru czynności instalacyjnych")
Rys. 2.3.Okno wyboru czynności instalacyjnych.
W oknie kreatora instalacji należy w pierwszej fazie wybrać narzędzie Forefront TMG PreparationTool. Narzędzie to zainstaluje i skonfiguruje wymagane role i funkcje serwera Windows 2008 lub 2008 R2. Okno wstępne przedstawia rysunek 2.4.
.jpg "Okno wstępne narzędzia Forefront TMG PreparationTool")
Rys. 2.4.Okno wstępne narzędziaForefront TMG PreparationTool.
W oknie LicenceAgrement – przedstawionym na rysunku 2.5 – należy zaakceptować umowę licencyjną.
.jpg "Okno akceptacji licencji narzędzia Forefront TMG PreparationTool")
Rys. 2.5.Okno akceptacji licencji narzędziaForefront TMG PreparationTool.
Na rysunku 2.6 w oknie Installation Type należy teraz określić typ instalacji komponentów serwera TMG 2010. W przypadku wersji Standard Edition (a taka teraz jest rozpatrywana) można zainstalować:
- Forefront TMG services and Management – komponenty serwera oraz narzędzia administracyjne,
- Forefront TMG Management only – tylko narzędzia administracyjne, w przypadku instalacji na dodatkowej stacji roboczej lub serwerze – dla celów zdalnej administracji
.jpg "Okno wyboru typu instalacji narzędzia Forefront TMG PreparationTool")
Rys. 2.6.Okno wyboru typu instalacji narzędziaForefront TMG PreparationTool.
Uwaga informacyjna:
Trzeci składnik (na szarym tle) – Enterprise Management Server (EMS) – jest dostępny tylko w przypadku instalacji wersji Enterprise Edition.
Na rysunku 2.7 zaprezentowano instalację ról i funkcji serwera 2008 (R2) przeprowadzaną przez narzędzie Forefront TMG PreparationTool:
.jpg "Okno instalacji ról i funkcji serwera 2008 przeprowadzaną przez narzędzie Forefront TMG PreparationTool")
Rys. 2.7.Okno instalacji ról i funkcji serwera 2008 przeprowadzaną przez narzędzie Forefront TMG PreparationTool.
Na rysunku 2.8 przedstawiono zakończenie fazy przygotowania przedinstalacyjnego zakończone powodzeniem.
.jpg "Okno zakończenia fazy przygotowania przedinstalacyjnego, wykonane przez narzędzie Forefront TMG PreparationTool")
Rys. 2.8.Oknozakończenia fazy przygotowania przedinstalacyjnego, wykonane przez narzędzie Forefront TMG PreparationTool.
Po ukończeniu działania narzędzia Forefront TMG PreparationTool, zainstalowane zostały komponenty pochodzące z ról:
- Active Directory Lightweight Directory Services,
- Network Policy and Access Services wraz z komponentami:
- Network Policy Server,
- Routing and Remote Access,
- Remote Access Service,
- Routing.
Poza komponentami pochodzącymi od ról serwera instalowane są drobniejsze komponenty, określane jako funkcje serwera. I tak zainstalowane zostały:
- Network LoadBalancing,
- Remote Server Administration Tools:
- Role Administration Tools,
- AD DS and AD LDS Tools,
- AD LDS Snap-Ins and Command Line Tools,
- Active Directory Module for Windows PowerShell,
- Feature Administration Tools:
- Network Load Balancing Tools,
- .NET Framework 3.5.1 Feature:
- .NET Framework 3.5.1.
Podsumowanie
W tym artykule przedstawiliśmy wymagania sprzętowe i systemowe niezbędne do procesu instalacji serwera TMG 2010. Pokazaliśmy również wykorzystanie narzędzia Forefront TMG PreparationTool.
W kolejnym artykule omówimy właściwą instalację serweraTMG 2010 Standard Edition.