規劃自動網頁 Proxy 偵測

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

網路中受到 Forefront TMG 保護的內部電腦,可以自動偵測應該做為網頁 Proxy 的 Forefront TMG 伺服器位置。

本主題的設計是為了協助您規劃自動的網頁 Proxy 偵測。它提供以下資訊:

偵測方法

Forefront TMG 支援數種自動偵測方法:

  • 執行 Forefront TMG 用戶端的用戶端電腦,可以連線到 Active Directory 網域服務 (AD DS) 以擷取網頁 Proxy 設定。這是建議的偵測方法。

  • 執行舊版防火牆用戶端的用戶端電腦或是網頁 Proxy 用戶端,可以存取動態主機設定通訊協定 (DHCP) 或網域名稱系統 (DNS) 伺服器,以擷取網頁 Proxy 設定。此方法也可用於未以自動偵測資訊更新 AD 的部署中。這些設定是儲存在設定檔中,通常是在 Forefront TMG 伺服器上;如需相關資訊,請參閱主控設定檔的考量

    note附註:
    基於安全性考量,在以網頁 Proxy 資訊設定 AD DS 的部署中,不會使用 DHCP 或 DNS 做為備份。在這些部署中,如果無法從 AD DS 取得設定檔的位置 (例如,如果在 AD DS 查詢期間發生意外錯誤),存取將會失敗。

  • 自動設定指令碼:用戶端電腦會連線至指令碼中所指定的位置,以擷取網頁 Proxy 設定。這個方法可做為從 AD DS、DHCP 或 DNS 擷取網頁 Proxy 設定失敗時的後援。

選取偵測方法的考量

選取要使用的一個或多個偵測方法時,應該考慮下列各點:

  • 對於在網路間移動的用戶端電腦 (例如,行動裝置),建議使用從 DHCP 或 DNS 的自動偵測。

  • 使用 AD DS 實作自動偵測時,具有下列限制:

    • 只有在 Forefront TMG 用戶端上才支援;在舊版的防火牆用戶端、網頁 Proxy 用戶端或 SecureNAT 用戶端上並不支援。

    • 在 Forefront TMG 工作群組部署中不支援。

  • 對於執行 Forefront TMG 用戶端或舊版防火牆用戶端的用戶端電腦,您可以透過 [Forefront TMG 管理] 主控台,套用選取的一個或多個方法。以下狀況會套用設定:

    • 每次 Forefront TMG 用戶端或防火牆用戶端重新啟動時。

    • 每次使用者在 [Forefront TMG 用戶端] 對話方塊中的 [設定] 索引標籤上,按一下 [立即偵測][測試伺服器] 時。

    • 每隔六小時。

  • 對於執行網頁 Proxy 用戶端與 Forefront TMG 用戶端或是舊版防火牆用戶端的用戶端電腦,您可以透過 Forefront TMG 用戶端或防火牆用戶端,將選取的一個或多個方法套用到網頁 Proxy 用戶端。

  • 對於執行網頁 Proxy 但未執行 Forefront TMG 用戶端或舊版防火牆用戶端的用戶端電腦,以及對於 SecureNAT 用戶端,您可能需要自行套用選取的一個或多個方法,如下所示:

    • 如果您選擇使用 DHCP 或 DNS,預設會將 Internet Explorer 瀏覽器設定成自動偵測設定,因此不需要進一步的用戶端設定。對於其他瀏覽器,請參閱相關的產品文件。

    • 如果您選擇使用自動設定指令碼,必須將設定套用到所有的用戶端電腦。

    您可以使用群組原則將設定值套用到不同的用戶端電腦。

主控設定檔的考量

當您實作 DHCP 或 DNS 的自動偵測時,會在設定檔中儲存網頁 Proxy 設定。您可以在 Forefront TMG 或在替代網頁伺服器上主控設定檔,例如執行 Internet Information Services (IIS) 的電腦。規劃設定檔的位置時,請考慮下列各點:

  • 在 Forefront TMG 主控檔案的主要優點是,於 [Forefront TMG 管理] 主控台中修改網頁 Proxy 設定時,會自動更新該檔案,不需要手動加以更新。將檔案放在不同的伺服器則需要手動更新檔案內容。

  • 在執行 IIS 的電腦上主控設定檔,可以提供部分容錯移轉功能。您可以在 IIS 中設定多個網頁伺服器,並在每個網頁伺服器中放置不同的設定檔。使用中的網頁伺服器將是包含目前使用中 Forefront TMG 電腦之網頁 Proxy 設定的伺服器。

  • 如果您不是在 Forefront TMG 上主控檔案,則不需要發行自動探索資訊,因為 Forefront TMG 不需要接聽自動探索要求。當 IIS 也位在 Forefront TMG 電腦上,而可能發生連接埠衝突時,這將可能成為優點。

搭配 DHCP 與 DNS 實作偵測的考量

搭配 DHCP、DNS 或兩者實作自動偵測時,請考慮下列各點:

  • 在 DHCP 與 DNS 實作中,必須在連接埠 80 上發行設定檔。

  • 只有設定成解析 DNS 名稱的用戶端電腦才能使用 DNS 中的項目。

  • 與 DNS 一起實作偵測時,每個含有已啟用自動探索之用戶端電腦的網域都必須設定項目。

  • 若要實作 DHCP,必須在與用戶端電腦相同的網路上安裝有效的 DHCP 伺服器。

  • DHCP 限於某些用戶端電腦作業系統上的特定使用者群組才能使用。如需詳細資訊,請參閱在 Internet Explorer 中搭配 DHCP 的自動 Proxy 探索需要特定的權限 (http://go.microsoft.com/fwlink/?LinkID=69274) (機器翻譯)。

  • 如果您在執行 Windows Server 2008 的伺服器佈署 DNS 伺服器角色之後,設定或移除自動偵測,則必須在所有主控變更所影響區域的 DNS 伺服器上,更新封鎖清單。受影響的區域就是您已登錄伺服器的區域。

  • 通常,將 DHCP 伺服器與自動偵測搭配使用是區域網路 (LAN) 用戶端的最佳選擇,而 DNS 伺服器會在使用 LAN 及撥號連線的電腦上啟用自動偵測。雖然 DNS 伺服器可以處理網路及撥號連線,但 DHCP 伺服器能夠更快地存取 LAN 使用者並具有更大的彈性。如果您同時設定 DHCP 及 DNS,則用戶端會先嘗試查詢 DHCP 的自動探索功能,然後再查詢 DNS。

相關主題

顯示: