Instalacja Forefront TMG 2010 – część 4
.png "Udostępnij na: Facebook")
Kreator Getting Started Wizard
Autor: Jacek Światowiak
Opublikowano: 2011-03-10
Wprowadzenie
W poprzedniej części omówiono proces instalacji serwera TMG 2010 Standard Edition. Po ukończeniu instalacji należy przejść do wstępnej konfiguracji produktu. W tym celu wykorzystywany jest kreator Getting Started Wizard.
Getting Started Wizard
Po zakończeniu procesu instalacji należy uruchomić (lub automatycznie zostanie zainicjowany) kreator konfiguracji startowej. Okno wstępne kreatora Getting Started Wizard przedstawiono na rysunku 4.1. Sam kreator podzielony jest na trzy fazy:
1. Configure network setting – odpowiadająca za konfigurację ustawień sieciowych i wybór scenariusza pracy TMG,
2. Configure system settings – potwierdzenie pracy w domenie lub grupie roboczej, konfiguracja sufiksu DNS,
3. Define deployment options – konfiguracja aktualizacji i subskrypcji.
.jpg "Okno wstępne kreatora Getting Started Wizard")
Rysunek 4.1. Okno wstępne kreatora Getting Started Wizard.
Po kliknięciu Configure network settings zostanie uruchomiony kreator fazy 1. Okno wstępne przedstawia rysunek 4.2.
.jpg "Okno wstępne fazy 1. kreatora Getting Started Wizard")
Rysunek 4.2. Okno wstępne fazy 1. kreatora Getting Started Wizard.
W kolejnym oknie – Network Template Selection – przedstawionym na rysunku 4.3, określamy jeden z czterech scenariuszy pracy serwera TMG. Domyślnie wybierany jest scenariusz Edge firewall.
.jpg "Wybór scenariusza pracy serwera TMG")
Rysunek 4.3. Wybór scenariusza pracy serwera TMG.
W przypadku wyboru scenariusza Edge firewall w następnym oknie Local Area Network (LAN) Settings dokonujemy powiązania interfejsu sieciowego z siecią wewnętrzną określaną jako LAN serwera TMG. Na rysunku 4.4 pokazano wybór interfejsu sieciowego.
.jpg "Powiązanie interfejsu sieciowego z siecią LAN serwera TMG")
Rysunek 4.4. Powiązanie interfejsu sieciowego z siecią LAN serwera TMG.
Na rysunku 4.5 pokazano powiązanie interfejsu sieciowego o nazwie LAN z siecią LAN serwera TMG. Należy zwrócić uwagę, iż dla interfejsu LAN nie definiuje się domyślnej bramki. W oknie tym można natomiast zdefiniować routing do innych sieci wewnętrznych znajdujących się za innymi routerami w sieci LAN.
.jpg "Powiązanie interfejsu sieciowego LAN z siecią LAN serwera TMG")
Rysunek 4.5. Powiązanie interfejsu sieciowego LAN z siecią LAN serwera TMG.
W kolejnym oknie Internet Settings, przedstawionym na rysunku 4.6, dokonujemy powiązania interfejsu sieciowego łączącego serwer TMG z Internetem. W środowisku produkcyjnym zdefiniowane tu adresy IPv4 będą publicznymi adresami IPv4, w omawianym scenariuszu są to adresy z puli niepublicznej.
Uwaga informacyjna:
Na rysunku 4.6 zdefiniowany jest – poza adresem IPv4, maską i domyślną bramką – również serwer DNS. Jeżeli TMG jest członkiem domeny, to w środowisku produkcyjnym taka konfiguracja nie jest zalecana, gdyż w przypadku problemów komunikacyjnych z serwerem DNS wewnętrznym TMG będzie próbował odpytywać zewnętrzne serwery DNS o rekordy z sieci wewnętrznej.
W prawidłowej konfiguracji na interfejsie INTERNET nie powinny być definiowane serwery DNS, zaś wszystkie zapytania powinny przechodzić przez wewnętrzny serwer DNS.
.jpg "Powiązanie interfejsu sieciowego INTERNET z siecią INTERNET serwera TMG")
Rysunek 4.6. Powiązanie interfejsu sieciowego INTERNET z siecią INTERNET serwera TMG.
Okno podsumowania fazy 1. kreatora Getting Started Wizard przedstawiono na rysunku 4.7.
.jpg "Okno podsumowania fazy 1 kreatora Getting Started Wizard")
Rysunek 4.7. Okno podsumowania fazy 1 kreatora Getting Started Wizard.
Kreator fazy 1. dopuszcza trzy inne scenariusze pracy serwera TMG. Drugim najpopularniejszym po Edge firewall jest scenariusz 3-Leg perimeter, gdzie poza dwoma interfejsami, o konfiguracji identycznej jak dla scenariusza Edge firewall, definiowany jest trzeci interfejs – przeznaczony dla realizacji strfery (Sieci) DMZ (określanej również jako Perimeter). Okno wyboru scenariusza 3-Leg perimeter prezentuje rysunek 4.8.
.jpg "Okno wyboru scenariusza 3-Leg perimeter")
Rysunek 4.8. Okno wyboru scenariusza 3-Leg perimeter.
W przypadku scenariusza 3-Leg perimeter należy również przydzielić interfejs sieciowy dla sieci Perimeter serwera TMG. Okno powiązania interfejsu sieciowego z siecią Perimeter serwera TMG przedstawia rysunek 4.9.
.jpg "Okno powiązania interfejsu sieciowego z siecią Perimeter serwera TMG")
Rysunek 4.9. Okno powiązania interfejsu sieciowego z siecią Perimeter serwera TMG.
W zależności od zastosowanej rodziny adresów IPv4 w sieci Perimeter (adresy publiczne lub niepubliczne), należy odpowiednio wybrać tzw. relację sieciową pomiędzy siecią Perimeter a sieciami Internal (LAN) i External (Internet). W przykładzie: w sieci Perimeter stosowane są adresy niepubliczne – zatem pomiędzy siecią Perimeter a Internetem stosowany będzie NAT (translacja adresów). Zagadnienia konfiguracji NAT zostaną przedstawione w jednej z kolejnych części, gdyż odpowiednia konfiguracja jest niezbędna dla prawidłowego działania reguł dostępu i publikacji. TMG 2010 dysponuje również nowym mechanizmem konfiguracji statycznego mapowania NAT w trybie 1:1, co jest niezbędne do realizacji wielu usług sieciowych.
Wybór konfiguracji Back firewall przedstawiono na rysunku 4.10. Konfiguracja ta jest wybierana, jeżeli pomiędzy serwerem TMG a Internetem znajduje się jeszcze jeden firewall, a strefa DMZ znajduje się pomiędzy nimi.
.jpg "Okno wyboru scenariuszaBack firewall")
Rysunek 4.10. Okno wyboru scenariuszaBack firewall.
Uwaga informacyjna:
W produkcie poprzedniej generacji dostępny był jeszcze jeden scenariusz, określany jako Front Firewall. Tu z niego zrezygnowano, gdyż może on być zastąpiony scenariuszem Edge Firewall.
Wybór konfiguracji jednointerfejsowej – Single network adapter – przedstawiono na rysunku 4.11. Konfiguracja ta ma jednocześnie specyficzne właściwości i ograniczenia – przeznaczona jest głównie do budowy serwerów Web-Proxy oraz Web-Cacheing (zostanie oddzielnie omówiona w jednej z kolejnych części).
.jpg "Okno wyboru scenariusza Single network adapter")
Rysunek 4.11. Okno wyboru scenariusza Single network adapter.
Po zakończeniu fazy 1. należy przejść do fazy 2. – konfiguracji ustawień systemowych. Okno wyboru fazy 2. przedstawiano na rysunku 4.12.
.jpg "Okno wyboru fazy 2. kreatora Getting Started Wizard")
Rysunek 4.12. Okno wyboru fazy 2. kreatora Getting Started Wizard.
Po kliknięciu Configure system settings zostanie uruchomiony kreator fazy 2. Okno wstępne przedstawia rysunek 4.13.
.jpg "Okno wstępne fazy 2. kreatora Getting Started Wizard")
Rysunek 4.13. Okno wstępne fazy 2. kreatora Getting Started Wizard.
W oknie Host Identyfication kreatora fazy 2. (pokazanym na rysunku 4.14), można dokonać zmiany lub potwierdzenia ustawień związanych z nazwą serwera, na którym zainstalowano produkt TMG 2010, określić członkostwo w domenie lub grupie roboczej i określić sufiks DNS. W przypadku serwera będącego członkiem domeny wszystkie opcje będą już prawidłowo wypełnione.
.jpg "Okno konfiguracji ustawień serwera Windows, na którym zainstalowano produkt TMG 2010")
Rysunek 4.14. Okno konfiguracji ustawień serwera Windows, na którym zainstalowano produkt TMG 2010.
Okno podsumowania fazy 2. kreatora Getting Started Wizard przedstawia rysunek 4.15.
.jpg "Okno podsumowania fazy 2. kreatora Getting Started Wizard")
Rysunek 4.15. Okno podsumowania fazy 2. kreatora Getting Started Wizard.
W ostatniej fazie – Define deployment option – należy dokonać konfiguracji aktualizacji i opcjonalnych subskrypcji. Okno wyboru fazy 3. przedstawiano na rysunku 4.16.
.jpg "Okno wyboru fazy 3. kreatoraGetting Started Wizard")
Rysunek 4.16. Okno wyboru fazy 3. kreatoraGetting Started Wizard.
Po kliknięciu Define deployment options zostanie uruchomiony kreator fazy 3. Okno wstępne przedstawia rysunek 4.17.
.jpg "Okno wstępne fazy 4. kreatoraGetting Started Wizard")
Rysunek 4.17. Okno wstępne fazy 4. kreatoraGetting Started Wizard.
W pierwszym oknie Microsoft Update Setup, przedstawionym na rysunku 4.18, określamy sposób pobierania aktualizacji (dla mechanizmów NIS, antimalware oraz samego produktu) poprzez serwer TMG. Do wyboru są dwie opcje – wykorzystanie lub nie witryny Microsoft Update. Okno wyboru opcji, w przypadku gdy serwer TMG nie jest klientem serwera (usługi WSUS), przedstawiono na rysunku 4.18.
.jpg "Okno wyboru opcji w przypadku, gdy serwer TMG nie jest klientem serwera (usługi WSUS)")
Rysunek 4.18. Okno wyboru opcji w przypadku, gdy serwer TMG nie jest klientem serwera (usługi WSUS).
W przypadku gdy na serwer TMG jest nałożona polisa GPO definiująca wykorzystanie serwera WSUS, okno wyświetli dodatkową uwagę informacyjną, przedstawioną na rysunku 4.19.
.jpg "Okno wyboru opcji w przypadku, gdy serwer TMG jest klientem serwera (usługi WSUS)")
Rysunek 4.19. Okno wyboru opcji w przypadku, gdy serwer TMG jest klientem serwera (usługi WSUS).
W kolejnym oknie Forefront TMG Protection Features Settings, przedstawionym na rysunku 4.20, definiujemy zagadnienia licencji dla subskrypcji sygnatur mechanizmów (NIS) Network Inspection System oraz Web Protection. Pobieranie definicji sygnatur NIS jest bezpłatne i nie wymaga żadnej licencji. Mechanizmy ochronne Web Protection (antimalware oraz URL Filtering) są już objęte dodatkową licencją i są dodatkowo płatne. Jednakże jest to jedna licencja, w której skład wchodzi obsługa obu mechanizmów. Okno pozwala określić, które z mechanizmów będą na serwerze TMG wykorzystywane.
.jpg "Okno definiowania ustawień dla subskrypcji sygnatur dla mechanizmu NIS i Web Protection")
Rysunek 4.20. Okno definiowania ustawień dla subskrypcji sygnatur dla mechanizmu NIS i Web Protection.
Opcje licencyjne związane z mechanizmem NIS przedstawiono na rysunku 4.21. W ramach obsługi mechanizmu inspekcji NIS dostępna jest opcja włączająca lub wyłączająca ten mechanizm.
.jpg "Opcje licencyjne związane z mechanizmem NIS")
Rysunek 4.21. Opcje licencyjne związane z mechanizmem NIS.
Opcje licencyjne związane z mechanizmem Web Protection przedstawiono na rysunku 4.22. Serwer TMG dostarczany jest z ewaluacyjną licencją na ochronę przeciw szkodliwemu oprogramowaniu. Jest to licencja 120-dniowa.
.jpg "Opcje licencyjne związane z mechanizmem Web Protection")
Rysunek 4.22. Opcje licencyjne związane z mechanizmem Web Protection.
Uwaga informacyjna:
Więcej informacji o licencjonowaniu tej funkcjonalności można przeczytać na blogu grupy projektowej Forefront TMG pod następującym adresem internetowym:
Okno konfiguracji aktualizacji mechanizmu NIS – NIS Signature Update Settings – przedstawiono na rysunku 4.23. Na rysunku 4.24 przedstawiono opcje wyboru akcji związanych z pobieraniem definicji sygnatur mechanizmu NIS. Zaś na rysunku 4.25 zaprezentowano okno określania częstotliwości pobierania sygnatur NIS. Na rysunku 4.26 przedstawiono opcje wyboru akcji związanych z pojawieniem się nowych sygnatur mechanizmu NIS.
.jpg "Okno konfiguracji aktualizacji mechanizmu NIS")
Rysunek 4.23. Okno konfiguracji aktualizacji mechanizmu NIS.
** .jpg "Opcje wyboru akcji związanych z pobieraniem definicji sygnatur mechanizmu NIS")
**
Rysunek 4.24. Opcje wyboru akcji związanych z pobieraniem definicji sygnatur mechanizmu NIS.
.jpg "Okno określania częstotliwości pobierania sygnatur NIS")
Rysunek 4.25. Okno określania częstotliwości pobierania sygnatur NIS.
.jpg "Opcje wyboru akcji związanych z pojawieniem się nowych sygnatur mechanizmu NIS")
Rysunek 4.26. Opcje wyboru akcji związanych z pojawieniem się nowych sygnatur mechanizmu NIS.
Na rysunku 4.27 przedstawiono okno Customer Feedback – określenia uczestnictwa w programie poprawiania jakości produktu. W środowisku produkcyjnym zaleca się wyłączenie tej opcji.
.jpg "Okno określenia uczestnictwa w programie poprawiania jakości produktu")
Rysunek 4.27. Okno określenia uczestnictwa w programie poprawiania jakości produktu.
Okno Microsoft Telemetry Reporting Service, przedstawione na rysunku 4.28, określa poziom uczestnictwa w programie Microsoft Telemetry Reporting. Program ten polega na przesyłaniu do Microsoftu informacji o nowych wirusach czy zagrożeniach, aby możliwe było przygotowanie ochrony na wykryte zagrożenia, podatności czy inne szkodliwe oprogramowanie.
.jpg "Okno określania uczestnictwa w programie Microsoft Telemetry Reporting")
Rysunek 4.28. Okno określania uczestnictwa w programie Microsoft Telemetry Reporting.
Kolejny rysunek 4.29 przedstawia okno podsumowania fazy 3. kreatora Getting Started Wizard.
.jpg "Okno podsumowania fazy 3. kreatoraGetting Started Wizard")
Rysunek 4.29. Okno podsumowania fazy 3. kreatoraGetting Started Wizard.
Na rysunku 4.30 przedstawiono okno prezentujące ukończone wszystkie fazy kreatora Getting Started Wizard.
.jpg "Okno prezentujące ukończone wszystkie fazy kreatoraGetting Started Wizard")
Rysunek 4.30. Okno prezentujące ukończone wszystkie fazy kreatoraGetting Started Wizard.
Po zakończeniu działania kreatora Getting Started Wizard można uznać, iż procedura instalacji i konfiguracji wstępnej serwera TMG 2010 została zakończona. Pozostaje teraz dokonać konfiguracji reguł i innych ustawień już wewnątrz działającego serwera TMG 2010.
Podsumowanie
W tym artykule przedstawiliśmy działanie kreatora Getting Started Wizard serweraTMG 2010 Standard Edition. W kolejnej części omówimy pokrótce wszystkie gałęzie konfiguracyjne konsoli zarządzania.