在 RODC 上安裝 Forefront TMG

這項程序說明如何在唯讀網域控制站 (RODC) 上安裝及設定 Forefront TMG SP1。

  1. 從提高權限的命令提示字元執行下列命令:

    ServerManagerCmd.exe -inputpath ^<DVD_path^>\FPC\PreRequisiteInstallerFiles\WinRolesInstallSA_Win7.xml -logPath C:\Windows\TEMP\TMG-Prerequisites.log

  2. 按照下列步驟,準備 Forefront TMG SP1 匯集 DVD:

    1. 將 Forefront TMG DVD 和 Forefront TMG SP1 MSP 檔案複製到目標電腦上的本機磁碟中。 在本範例中,我們假設這個本機磁碟的位置是 c:\temp\TMG

    2. 在命令提示字元中輸入下列命令,然後按 ENTER。

      msiexec /a c:\temp\TMG\FPC\MS_FPC_SERVER.msi /p TMG-KB981324-amd64-ENU.msp /qb /L*v c:\tmg\log.txt

      上述作業完成後,您便擁有已升級為 Service Pack 1 的完整 Forefront TMG 安裝。

  3. 在命令提示字元中輸入 c:\temp\TMG\FPC\setup.exe,然後按 ENTER,以便執行升級後的安裝程式。

  4. 定義內部網路以加入分公司子網路遮罩,然後完成安裝。 Forefront TMG 安裝作業會自動識別自己已在 DC 上執行並啟用系統原則,允許內部網路和 HQ DC (如果不在內部網路中的話) 的 DC 流量流往 Forefront TMG 伺服器。 如需允許的通訊協定清單,請參閱下表。

  5. 內部網路電腦需要與 HQ DC 的連線能力。 如果要讓 Forefront TMG 成為內部網路和 HQ DC 之間的網路閘道,請建立原則存取規則以允許下列動作:

    • 名稱: 允許從內部到 HQ DC 的目錄服務存取

    • 來源: 內部網路

    • 目的地: 網域控制站電腦組 (安裝時自動建立)

    • 通訊協定: 下表中的所有通訊協定

       

      通訊協定

      連接埠

      功能

      LDAP

      389

      AD 查詢的 LDAP

      規則名稱: 允許存取 Forefront TMG 上的目錄服務

      LDAP (UDP)

      389

      LDAPS

      636

      LDAP GC

      3268

      LDAPS GC

      3269

      Kerberos-Sec (TCP)

      88

      驗證

      規則名稱: 允許對 Forefront TMG 執行 Kerberos 驗證

      Kerberos-Sec (UDP)

      88

      Kerberos Password v5

      464

      Microsoft CIFS (TCP)

      Microsoft CIFS (UDP)

      445

      為分公司電腦下載的群組原則

      規則名稱: 驗證服務: 允許 Microsoft CIFS 連往 Forefront TMG

      RPC

      135

      Netlogon

      規則名稱: 驗證服務: 允許 RPC 連往 Forefront TMG

      DNS

      53

      分公司電腦的 DNS

      規則名稱: 允許 DNS 連往 Forefront TMG

    • 使用者: 所有使用者

    Important重要事項:
    請確定用戶端電腦的預設閘道是 Forefront TMG 伺服器。

  6. 加入網域的每個分公司帳戶 (使用者或帳戶) 都需將其密碼複寫到 RODC,以供驗證之用。 若要複寫密碼,請在 HQ DC 上完成下列步驟:

    1. [Active Directory 使用者和電腦] 中選取 [網域控制站] 子目錄,然後以滑鼠右鍵按一下 RODC 並選取 [內容]

    2. 按一下 [密碼複寫原則] 索引標籤,然後按一下 [新增]

    3. 選取 [允許將此帳戶的密碼複寫至此 RODC],接著選取此分公司所有相關的本機使用者,然後按一下 [確定]

    4. 在 RODC 的「內容」頁上按一下 [進階],確認您新增的使用者帳戶顯示在 [密碼儲存在這部唯讀網域控制站的帳戶] 清單中。

    5. 當 Active Directory 將使用者資訊全都複寫到 RODC 之後,您才能登入這些帳戶。

顯示: