設定 SecureNAT 用戶端

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

Forefront TMG SecureNAT 用戶端 是執行任何使用 TCP/IP 網路功能之作業系統的電腦。 Forefront TMG 除了用戶端要求內所用的 IP 位址及通訊協定,沒有其他有關 SecureNAT 用戶端的資訊。 SecureNAT 用戶端顯示下列特性:

  • 在簡單網路實例中 (用戶端與 Forefront TMG 之間沒有路由器),用戶端的預設閘道會指向用戶端所在之 Forefront TMG 網路 (通常是內部網路) 的 IP 位址。 在具有路由器以橋接用戶端與 Forefront TMG 間之子網路的複雜網路中,鏈結之最後一個路由器上的預設閘道設定應該指向 Forefront TMG。 最佳狀況是,路由器應該使用可循最短路徑路由至 Forefront TMG 伺服器的預設閘道。

  • SecureNAT 用戶端可以使用 Forefront TMG 中定義的任何簡易通訊協定。 如果具有通訊協定的 Forefront TMG 應用程式篩選器,SecureNAT 用戶端可以使用需要次要連線的複雜通訊協定。

  • SecureNAT 用戶端不能向 Forefront TMG 驗證。 如果要求需要驗證,用戶端會收到驗證快顯視窗,或是要求被拒絕。

  • 在 SecureNAT 用戶端電腦中執行的網頁 Proxy 應用程式,可以使用自動偵測 Proxy 設定。 如需詳細資訊,請參閱設定自動偵測

若要設定 SecureNAT 用戶端,請將預設閘道指向 Forefront TMG 或是路由器。 請確定 Forefront TMG 伺服器是用戶端到達網際網路的預設路由。

設定名稱解析

SecureNAT 用戶端可以向本機網路及網際網路中的電腦要求物件,而且它們必須可以解析外部與內部電腦的名稱。 Forefront TMG 不能代表 SecureNAT 用戶端進行名稱解析。 下面是建議的動作:

  • 若為僅限網際網路存取,則應該設定用戶端的 TCP/IP 設定,以使用網際網路上的網域名稱系統 (DNS) 伺服器。 建立存取規則,允許 SecureNAT 用戶端使用 DNS 通訊協定,並為 SecureNAT 用戶端設定 DNS 篩選器。

  • 如果 SecureNAT 用戶端同時向網際網路與內部資源要求資料,用戶端應該使用內部網路上的 DNS 伺服器。 您應該設定 DNS 伺服器以解析內部位址及網際網路位址。

避免要求內部資源的 SecureNAT 用戶端透過 Forefront TMG 造成迴圈。 例如,如果用戶端對外部網路 Forefront TMG 發行的內部資源提出要求,名稱解析不應該將要求解析為外部網路的公開 IP 位址。 如果它這樣做,而 SecureNAT 用戶端傳送要求到外部 IP 位址,則發行伺服器可能會直接回應 SecureNAT 用戶端,造成回應被捨棄。 將用戶端的來源 IP 位址替換為 Forefront TMG 內部網路介面卡的 IP 位址,發行伺服器會認定該介面卡為內部。 伺服器可能會因此直接回應 SecureNAT 用戶端,導致某個方向的封包通過不包含 Forefront TMG 的路由,而另一個方向的封包則通過 Forefront TMG。 因此,Forefront TMG 會視回應無效,並將之捨棄。

相關主題

顯示: