Гру 1 2020
Порядок установки TMG on Server 2008 R2 Std

Моя задача: Разобрать как пошаговые заметки все моменты как у меня сейчас настроен корпоративный шлюз на базе Forefront TMG 2010 с целью понимания, как и что дабы в последствии уйти от него в пользу pfSense. Я придерживаюсь позиции, что сперва нужно узнать, как сейчас настроено дабы если что-то пойдет не так в процессе переноса я мог вернуться обратно, плюс упорядочу правила, может какие не используются или настроено не правило. Что же такое Forefront TMG 2010 — это ПО организации периметра локальной сети с целью обеспечения VPN доступа, предотвращение вторжения, проверка наличия вредоносных программ и фильтрация URL-адресов.

Что понадобится:

1) Инфраструктура домена

srv-dc.polygon.com (AD, DNS, DHCP)

2) Виртуальная машина под Forefront TMG 2010

Характеристики:

CPU 1 (2 cores)

RAM: 6Gb

HDD: 70Gb

2) Наличии двух сетевых карт на VM: srv-gw.polygon.com

WAN (vmbr0)

LAN (vmbr1) (10.90.90.2/24)

На своем тестовом полигоне создаю VM с осью Windows Server 2008 R2 Std SP1 English

Именую ее, как srv-gw.polygon.com

Шаг №1: Авторизуюсь в системе как администратор домена (Login: ekzorchik Group: Domain Admins)

Шаг №2: В системе которая будет являться шлюзом для локальной сети выключаю брандмауэр для всех профилей:

Start - All programs - Accessories — и через правый клик на Command Prompt запускаю консоль командной строки с правами администратора "Run as administrator"

123456789c:\Windows\system32> netsh advfirewall set allprofiles state off rem Disable Last Access Time (Увеличивает производительность) c:\Windows\system32> fsutil behavior set disablelastaccess 0 rem Отправляем систему в перезагрузку c:\Windows\system32> shutdown /r /t 3

Шаг №3: Произвожу настройку сетевых интерфейсов:

Start - Control Panel - View by: Category - Small icons - Network and Sharing Center - Change adapter settings

  • Local Area Connection (переименовываю в WAN) и открываю свойства адаптера где обозначаю

This connection uses the following items:

Internet Protocol Version 4 (TCP/IPv4): отмечаю галочкой

со всех остальных настроек галочки снимаю

IP address: 172.33.33.105

Subnet mask: 255.255.255.0

Default gateway: 172.33.33.100

  • Local Area Connection 2 (переименовываю в LAN) и открываю свойства адаптера где обозначаю

This connection uses the following items:

Client for Microsoft Networks: отмечаю галочкой

QoS Packet Scheduler: отмечаю галочкой

File and Printer Sharing for Microsoft Networks: снимаю галочку

Internet Protocol Version 4 (TCP/IPv4): отмечаю галочкой

Link-Layer Topology Discovery Mapper I/O Driver: отмечаю галочкой

Link-Layer Topology Discovery Responder: отмечаю галочкой

На заметку: Отключение ‘File and Print Sharing for Microsoft Networks’ на внутреннем интерфейсе TMG сервера не позволит подключаться к общим папкам (шарам) этого TMG сервера, независимо от системной политики или каких-то других правил доступа. Это рекомендуется для лучшей безопасности, т.к. общим папкам совершенно не место на фаерволе.

  • IP address: 10.90.90.2
  • Subnet mask: 255.255.255.0
  • Preferred DNS server: 10.90.90.3
  • Alternate DNS server: 10.90.90.3

Шаг №4: После авторизуюсь на домен контроллере и в оснастке DNS указываю в свойствах во вкладке Forwarders указываю DNS, к примеру, обычно указываю DNS WAN адреса который предоставляем Вам Ваш провайдер, либо 8.8.8.8 и 8.8.4.4

Шаг №5: Перехожу в каталог C:\Soft\TMG\ куда у меня распакован дистрибутив и запускаю средство подготовки чтобы убедиться, что на компьютере установлены приложения, необходимые для успешной установки Forefront TMG 2010.

C:\Soft\TMG\2010\Forefront TMG 2010 x64 Ent\autorun.html (экран приветствия)

нажимаю на Run Preparation Tool (это запускается мастер: "C:\Soft\TMG\2010\Forefront TMG 2010 x64 Ent\FPC\PrerequisiteInstaller.exe"

Запускаю мастер Preparation Tool

после нажимаю Next

  • I accept the terms of the License Agreements: отмечаю и нажимаю Next
  • Forefront TMG services and Management: отмечаю и нажимаю Next

На заметку:

  • Forefront TMG services and Management — установка одного сервера Forefront TMG на компьютере, включая установку всех служб Forefront TMG и консоли управления Forefront TMG, предназначенной для локального управления Forefront TMG.
  • Enterprise Management Server (EMS) for centralized array management — этот параметр установки доступен только в выпуске Forefront TMG Enterprise Edition (в версии Forefront TMG Standard Edition данный параметр установки отсутствует). Сервер Enterprise Management Server позволяет централизованно управлять несколькими массивами Forefront TMG.

Происходит подготовка (ожидаю)

Ожидаю

Затем мастер сообщает, что все подготовительные компоненты установлены и настроены, нажимаю Finish в следствии чего запускается мастер "Launch Forefront TMG Installation Wizard"

Мастер сообщает, что все подготовительные компоненты установлены и настроены

Нажимаю Next

  • I accept the terms in the license agreement: отмечаю и нажимаю Next

указываю

  • User Name: Windows User
  • Organization: polygon
  • Product Serial Number: V3K2P-BCYDT-QCBPP-868CM-V2KPF

и нажимаю Next

  • путь установки оставляю по умолчанию: Installation path for Forefront TMG: C:\Program Files\Microsoft Forefront Threat Management Gateway\

и нажимаю Next

затем предопределяю внутренний интерфейс

нажимаю Add

Предопределяю внутренний интерфейс

нажимаю Add Adapter...

нажимаю Add Adapter...

и отмечаю галочкой интерфейс, который я переименовал ранее, как LAN (локальная сеть) и нажимаю OK

Отмечаю сетевой адаптер LAN

после нажимаю OK окна Addresses где нажимал Add Adapter..., затем нажимаю Next этапа мастера где предопределил внутреннюю сеть

Двигаюсь дальше

затем нажимаю Next — этот шаг, когда в систему будут установлены роли:

  • SNMP Service
  • IIS Admin Service
  • World Wide Web Publishing Service
  • Microsoft Operations Manager Service
Этот шаг, когда в систему будут установлены роли

а после нажимаю Install, ожидаю…

Ожидаю...
Ожидаю...
Ожидаю...

Процесс установки завершен и теперь кликаем Launch Forefront TMG Management when wizard closes — запуск консоли управления TMG 2010 для начальной конфигурации:

Установка Forefront TMG завершена, запускаю мастер базовой настройки

Но вот тут у меня не все так гладко как хотелось бы, вижу ошибку запуска скрипта на этой странице:

Ошибка работы скриптов при запуске Forefront TMG Management

Щелкаем Yes:

Решение по этой ошибке:

Зайдите по пути C:\Program Files\Microsoft Forefront Threat Management Gateway\UI_HTMLs\TabsHandler\TabsHandler.htc. После открываем свойства и переходим на вкладку Security и раз я установку произвожу не под локальным администратором (SRV-GW\Administrators), а под Polygon\ekzorchik (Group: Domain Admins) мне нужно дать себе полный права на данный файл:

Даю себе полные права на файл TabsHandler.htc

Открываем его (файл TabsHandler.htc) с помощью текстового редактора Notepad++ или обычного Notepad.exe и через поиск по слову "paddingTop" находим совпадения и перед каждой строкой ставим символ комментария "//". После сохраняем внесенные изменения.

После этого изменения Forefront Threat Management Gateway (TMG) открывается без ошибки:

Start - All Programs - Microsoft Forefront TMG - Forefront TMG Management и запускается процесс инсталляции состоящий из трех шагов:

Процесс базовой настройки состоит из трех шагов

Шаг №1: Configure network settings

нажимаю Next

  • Edge firewall: выбираю

нажимаю Next

  • Network adapter connected to the LAN: выбираю LAN

нажимаю Next

  • Network adapter connected to the Internet: выбираю WAN

нажимаю Next, затем Finish

Шаг №2: Configure System settings

нажимаю Next

  • идентификацию хоста - оставляю по умолчанию
Идентификацию хоста - оставляю по умолчанию

и нажимаю Next, затем Finish

Шаг №3: Define deployment options

нажимаю Next

  • I do not want to use the Microsoft Update service: отмечаю

и нажимаю Next, Yes

выводится какая лицензия установки TMG

Страница используемой лицензии

и нажимаю Next

  • No, I don't want to participate: отмечаю

и нажимаю Next

  • Select your level of participation: выбираю None. No information is sent to Microsoft

и нажимаю Next, затем Finish

итак, все три шага мастера я прошел, отмечаю галочкой Run the Web Access wizard

Итак, все три шага мастера я прошел, отмечаю галочкой Run the Web Access wizard

и нажимаю Close.

Запускается мастер Welcome to the Web Access Policy Wizard

нажимаю Next

  • Do you want the wizard to create a default rule that blocks access to potentially malicious URL categories? выбираю No, do not create the rule for me

и нажимаю Next

  • Block access to these Web destinations: пропускаю и нажимаю Next
  • Do you want to apply malware inspection to the rules created by the Web Access Policy Wizard? No, do not inspect Web content requested from the Internet

и нажимаю Next

  • Allow users to establish HTTPS connections to Web sites: отмечаю
  • Do not inspect HTTPs traffic and do not validate HTTPS site certificates. Allow all HTTPS traffic

и нажимаю Next

  • Enable the default Web caching rule: снимаю галочку (Кэш не буду использовать)

и нажимаю Next, затем Finish

после перехожу в Firewall Policy и нажимаю Apply

Нажимаю Apply

Далее предупреждение о рестарте сервисов во время установки:

Do not show this prompt again: отмечаю галочкой дабы не указывать комментарий после каждого нажатия на Apply когда я буду применять какие либо настройки

и нажимаю Apply

Применяются изменения, изменения применились:

Изменения в TMG применились

На заметку: Как обновить TMG до версии, как у меня на работе см заметку.

Итого первичная установка завершена. Далее я заметка к заметке буду настраивать с учетом имеющегося у меня от и до на данном виртуальном стенде со всеми нюансами. А пока я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

a.boyko 0 Коментарі