Forefront TMG 2010 RTM 版本資訊

發佈時間: 2009年11月

更新日期: 2010年6月

適用於: Forefront Threat Management Gateway (TMG)

下列版本資訊將說明安裝、部署、設定及操作 Microsoft Forefront Threat Management Gateway (Forefront TMG) 的最新問題和相關資訊。在您安裝 Forefront TMG 之前,請務必先閱讀本文件包含的資訊,並檢閱 Forefront TMG 的系統需求

以下各節描述下列各項的相關問題:

移轉、安裝和部署

下列問題與移轉、安裝和部署 Forefront TMG 有關:

從 Forefront TMG RC 移轉至 RTM

您必須先解除安裝 Forefront TMG 發行候選版本 (RC) 任何現有的安裝,然後才能安裝 Forefront TMG 發行製造版本 (RTM)。如需相關資訊,請參閱從 Forefront TMG RC 移轉至 RTM

從 Forefront TMG 的評估版本 (從資料夾共用安裝) 升級至 Forefront TMG RTM 的授權版本

如果您已從共用資料夾安裝 Forefront TMG 評估版本,您不能直接從 Forefront TMG DVD 媒體升級到 Forefront TMG RTM 的授權版本。在此情況下,若要升級到 Forefront TMG RTM 的授權版本,您必須將 RTM 版本複製到共用資料夾,然後從該資料夾執行升級。

從網路共用執行 Forefront TMG 安裝

從網路共用執行 Forefront TMG 安裝可能會因為無法順利解壓縮 SQL Express 2008 SP1 套件而造成失敗。

如果發生這種情況,請執行下列動作:

  1. 在錯誤訊息上,按一下 [確定]

  2. 在 Forefront TMG 復原之後,重新執行安裝。

  3. 如果安裝再度失敗,請將安裝檔案複製到 Forefront TMG 伺服器,然後在本機執行安裝,或是從安裝 DVD 執行。

在 Windows Server 2008 SP2 上安裝 Microsoft .NET Framework 3.5 SP1

這個注意事項只適用於將 Forefront TMG 安裝到執行 Windows Server® 2008 SP2 的電腦。在這項安裝中,為了讓 Forefront TMG 準備工具可以在安裝必要條件軟體的程序中安裝 .NET Framework 3.5 SP1,您必須設定網際網路連線,使得 Proxy 不需要驗證。例如,為 Forefront TMG Proxy 或 Internet Security and Acceleration Server 2006 Proxy 新增存取規則,以允許執行準備工具的電腦 IP 進行存取。請注意,您必須先新增這個規則,再新增需要驗證的規則。如需相關資訊,請參閱建立存取規則

電腦或 Forefront TMG 服務重新啟動之後出現的 Windows 篩選平台錯誤訊息

在您重新啟動 Forefront TMG 電腦或服務之後,可能會顯示下列錯誤訊息:

“Forefront TMG 偵測到可能會在伺服器上造成原則衝突的 Windows 篩選平台篩選器。下列提供者所定義的篩選器可能會與 Forefront TMG 防火牆原則發生衝突:Microsoft Corporation。」

如果顯示此訊息,並不表示有實際的衝突,請停用這項警示以免再次出現。

安裝管理主控台

Windows® XP 不支援安裝 Forefront TMG 管理主控台。Windows Vista®、Windows Server 2008、Windows Server® 2008 R2 和 Windows 7 作業系統可支援安裝主控台。

Forefront TMG 陣列

  • 當您在有任何由 DHCP 指派之 Forefront TMG 電腦網路介面位址的電腦上安裝 Forefront TMG 時,安裝程序會自動在 DHCP 規則來源內容中,將相關的網路物件新增至系統原則的 [網路服務] 群組。如果您接著將獨立伺服器加入 Forefront TMG 陣列,則伺服器的本機原則會由陣列的原則集取代。除非陣列系統原則包含的 DHCP 原則和獨立伺服器原則中定義的相同,否則加入陣列的伺服器最後都可能遺失 DHCP 指派的 IP 位址,而與這些網路相互進行的通訊也終將失敗。

    若要避免這個問題,請先在陣列系統原則中複製獨立伺服器的 DHCP 系統原則設定,然後再將獨立伺服器加入陣列。

  • 這個版本不支援企業管理伺服器對 ISA Server 設定存放區伺服器進行複寫。

  • 當您從陣列移除伺服器 (退出作業) 時,如果出現警示「IsaManagedCtrl 服務無法重新載入設定」,您不需要解除警示或採取任何其他動作。退出作業將繼續進行,而不會中斷。

從 Forefront TMG RC 升級之後的更新中心設定

從 Forefront TMG RC 升級至 Forefront TMG RTM 時,不會移轉 Forefront TMG 更新中心的組態設定。完成升級之後,您必須重新設定這些設定。如需相關資訊,請參閱管理 Forefront TMG 的定義更新

在先前已安裝 Windows 更新的電腦上安裝 Forefront TMG

如果您要安裝 Forefront TMG 的電腦上已經安裝 Windows 更新,請先重新啟動電腦,再執行任何 Forefront TMG 安裝工具 (也就是執行準備工具或安裝精靈)。

解除安裝

解除安裝 Forefront TMG 之前,請注意下列事項:

  • 您必須關閉電腦上執行的所有應用程式,然後才能啟動解除安裝程序。

  • 啟動解除安裝後,請勿嘗試取消作業。如果在進行解除安裝時取消解除安裝,則將來嘗試解除安裝產品時可能會失敗,而且可能必須重新安裝作業系統。

設定和作業

下列問題與 Forefront TMG 的設定和作業有關:

新增和刪除 IP 位址

當您嘗試新增或刪除 IP 位址時,IP 位址變更作業可能會停止回應。在這種情況下,您必須重新啟動 Forefront TMG 伺服器。為避免這種情況,建議您安裝 Microsoft 提供的 Hotfix。如需詳細資訊,請參閱重新啟動執行 Windows Vista 或 Windows Server 2008 的電腦之前,在該電腦上進行的 IP 位址變更作業會停止回應 (機器翻譯) (http://go.microsoft.com/fwlink/?LinkId=165829)。

伺服器驗證憑證

您無法使用以 Type Minimum Windows 2008 Supported CA 範本核發的憑證,建立如 Web 應用程式發行或安全通訊端通道通訊協定 (SSTP) VPN 存取等用途所需的 Forefront TMG Web 接聽程式。

惡意程式碼防護

  • 惡意程式碼防護功能可以阻擋 SHOUTcast 串流 (ICY) 通訊協定。相依於這個通訊協定的用戶端應用程式 (例如 Nullsoft Winamp) 將無法在 Forefront TMG 後面運作。您可以從惡意程式碼防護中免除串流媒體的 URL,來修正這個問題。

  • 執行惡意程式碼防護時,某些線上視訊播放程式可能無法運作。這可能與伺服器傳送的 Content-Type 標頭有關聯。如果要解決這個問題,請嘗試指定 audio/mp4 做為使用快速傳送方法的內容類型。如需相關資訊,請參閱設定惡意程式碼檢查內容傳送

虛擬私人網路

  • 這個注意事項適用在使用網路負載平衡 (NLB) 之 Forefront TMG 陣列上的網際網路通訊協定安全性 (IPsec) 網站間虛擬私人網路 (VPN)。在這項安裝中,如果做為通道擁有者的 Forefront TMG 伺服器失敗 (例如,因為沒有網路連線),而由後援的 Forefront TMG 伺服器承接通道的擁有權,則無法恢復下列流量:

    • 從發生失敗的本機網站到遠端網站的 Web 流量。若要避免 Web 流量遺失,請在網站之間停用 Web 流量的 Web Proxy。

    • 從本機網站到具有網路位址轉譯 (NAT) 關聯之遠端網站的任何流量。若要避免 NATed 流量遺失,請設定遠端網站之間的路由關聯。

  • 在將網路原則伺服器 (NPS) 安裝於 Windows Server 2008 R2 的部署中,RADIUS 或 VPN 驗證可能對當地語系化的使用者名稱沒有作用。這是因為 Windows Server 2008 R2 上的 NPS 預設會在所有驗證方法中使用 Unicode,而可延伸的驗證通訊協定以外的舊版用戶端或驗證方法則使用 ANSI。若要避免這個問題,請將 NPS 伺服器和所連接用戶端支援 Unicode 的設定同時改為支援 ANSI。如需詳細資訊,請參閱當使用者名稱包含 Unicode 字元時,我無法連線 (英文) (http://go.microsoft.com/fwlink/?LinkId=165830)。

  • 在安裝於執行 Windows Server 2008 SP2 之電腦的 Forefront TMG 伺服器上,同時建立多個連線時,路由及遠端存取伺服器服務 (RRAS) 可能會當機。這項服務當機時,會結束所有現有的虛擬私人網路 (VPN) 連線,而且無法建立任何新的 VPN 連線。若要進行復原,您必須手動重新啟動 Forefront TMG 伺服器。為避免這個問題,建議您安裝 Microsoft 提供的 Hotfix。如需詳細資訊,請參閱當有數個連線在執行 Windows Server 2008 的電腦上同時建立時,路由及遠端存取服務可能會損毀 (機器翻譯) (http://go.microsoft.com/fwlink/?LinkId=165831)。

VoIP/SIP 篩選

  • Forefront TMG 不支援下列各項:

    • Packet8 VoIP 服務。

    • 使用搭配 CallCentric ITSP 網際網路電話語音服務提供者的 Linksys PAPT2 電話。

  • 內部 IP 位址同時呼叫及註冊的配額也會影響外部 IP,也就是說,預設只能從 ITSP 同時接收 10 個呼叫。您可以依下列方式來變更這個設定:

    1. 在 [防火牆原則] 節點的 [工作] 窗格中,按一下 [設定 VoIP 設定]

    2. 按一下 [設定 SIP 配額]

    3. 編輯 [特定 IP 位址的最大註冊數目][特定 IP 位址的最大呼叫數目] 以指定適當大小的數目。

  • 只有當內部 SIP 元件 (電話、IPPBX 和 SIP 閘道) 之間存在路由或相同網路關聯時,才應該使用 VoIP 精靈。

  • 如果內部 PBX 位於未啟用 NLB 的網路,但電話是在啟用 NLB 的網路內,則呼叫將會失敗。

  • 在透過 SIP 中繼服務 (SIP Trunk) 將內部 PBX 連線到 PSTN 的部署中,不會處理 SIP 訊息 (例如,內部 PBX 透過 5060 以外通訊埠所傳送的呼叫)。

  • 在使用工作階段邊緣控制器 (Session Border Controller,SBC) 的部署中,SBC 必須置於外部網路。例如,不可以放在周邊網路。

  • 停用 IP 路由時,媒體可用於往返端點之間的時間預設只有 15 分鐘。若要延長媒體可用的時間,請執行下列動作:

    1. 存取下列登錄機碼:

      HKLM\SOFTWARE\Microsoft\RAT\Stingray\Debug\SIP\DIALOG_IDLE_TIMEOUT

    2. 將機碼數值變更為所需的時間。請注意,時間以毫秒為單位來定義,例如預設的 15 分鐘,其值為 9000000。

網路檢查系統

Forefront TMG Beta 3 不再支援網路檢查系統 (NIS) 定義更新,若要確保定期更新,請將您的系統升級至 Forefront TMG 發行製造版本 (RTM)。

網際網路通訊協定安全性 (IPsec)

預設的 IPsec 通道模式設定不適合 Forefront TMG 電腦與 Internet Security and Acceleration (ISA) Server 2006 電腦之間的網站間虛擬私人網路 (VPN) 連線,因為這兩個伺服器具有不同的預設 IPsec 設定。嘗試使用預設設定建立網站之間的 VPN 連線,將不會成功。

在這類部署中,請確定您已將 Forefront TMG 伺服器的 IPsec 設定修改為符合 ISA Server 2006 電腦的設定。

加密

在 ISA Server 2006 和 2004 中,系統管理員可以設定選項,要求在 HTTPS 流量中使用 128 位元加密。由於 Windows Server 2008 的 Secure Sockets Layer 連線至少需要這個等級的加密,因而在 Forefront TMG 中也是必要的,所以已經從所有 Forefront TMG 版本中移除這個選項。

協力廠商增益集

如果您正在執行協力廠商為舊版 ISA Server 所開發的增益集,請連絡提供者確認是否已提供適用於 Forefront TMG 的更新版本。

記錄和報告

  • 當您將報告發行至 Forefront TMG 伺服器上的目錄時,您必須將 SYSTEM 帳戶新增至目錄的檔案共用權限,確保 Forefront TMG 能夠將報告發行至該目錄。

  • 如果您的 Forefront TMG 部署會處理高流量,您可能必須將 Forefront TMG 週期性報告工作的預設時間從 1:00 變更為更晚的時間如 3:00,才能提供足夠的時間來為排定於 00:30 開始的報告摘要產生報告摘要資料。

  • Forefront TMG 預設的記錄維護原則會將系統開始刪除舊記錄前所能儲存的記錄檔總計大小定義為 8GB。對大部分組織來說,這個值足以應付下列記錄儲存格式的需求:

    • SQL Server Express 資料庫

    • 檔案

    若要為這些記錄提供足夠的儲存空間,請同時針對防火牆記錄和 Web Proxy 記錄,執行下列其中一個動作:

    • 停用 [限制記錄檔案大小的總和] 選項。

    • 停用 [限制記錄檔案大小的總和] 選項、評估一週期間所需的儲存區,然後重新啟用這個選項,並將儲存區設定必要的大小。

    如需詳細資料,請參閱設定 Forefront TMG 記錄

  • TCP 通訊埠 8008 使用於報告目的,如果將這個通訊埠指派為任何其他用途,則會妨礙 Forefront TMG 報告服務。

協助工具

朗讀程式不會讀取 Forefront TMG 管理主控台中間和右側窗格上的文字。

著作權資訊

本文件的資訊 (包括 URL 及網際網路網站參照) 僅供參考之用,若有變更,恕不另行通知。因使用本文件而產生的所有風險或結果均由使用者承擔,Microsoft Corporation 不提供任何明示或默示的瑕疵責任擔保。除非特別註明,否則本文件中所述,用來舉例之公司、組織、產品、網域名稱、電子郵件地址、標誌、人物、場所和事件皆為虛構,沒有意圖或不應該推斷為與任何真實存在的公司、組織、產品、網域名稱、電子郵件地址、標誌、人物、場所或事件有所關聯。遵守所有適用的著作權法是使用者的責任。未經 Microsoft Corporation 書面許可,在不影響著作權所授與之權利之下,貴用戶不得為任何目的而使用任何形式或方法 (電子、機械、影印、錄音或其他方式) 複製、儲存於可供人擷取的系統或傳送本文件的任何部分。

對於本文件所涵蓋之主要內容,Microsoft 可能擁有此文件所提及內容中所含之專利權、專利優先權、商標、著作權,或其他智慧財產權。除 Microsoft 書面授權合約明示規定者外,提供本文件並不授予 貴用戶上述專利權、商標、著作權或其他智慧財產權。

© 2009 Microsoft Corporation.All rights reserved.

Microsoft、Forefront、SQL Server、Windows、Windows XP 和 Windows Vista 係 Microsoft Corporation 在美國及 (或) 其他國家/地區的註冊商標或商標。

所有其他商標皆為個別擁有者的財產。

相關主題

顯示: