FOREFRONT TMG 2010: 03. WPAD & FIREWALL CLIENT

Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là Secure NAT Client, Web Proxy Client & Forefront TMG Client với các đặc điểm được so sánh trong bảng sau:

Với các đặc điểm trong bảng so sánh trên, chúng ta thấy rõ ưu điểm của Forefront TMG Client là vừa hỗ trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thống Forefront TMG 2010 chúng ta nên cấu hình cho các máy Clients truy cập Internet bằng cơ chế Forefront TMG Client. Và để TMG Client tự động dò & kết nối đến TMG Server, trong tôi sẽ trình bày cách thức cấu hình chức năng Auto Discovery trên Forefront TMG 2010

1. Bật chức năng Auto Discovery trên Forefront TMG Server

– Trên TMG Server, logon MSOPENLAB\Administrator, mở Forefront TMG Management, vào Networking

– Trong cửa sổ giữa, qua tab Network, chuột phải Internal chọn Properties

– Trong hộp thoại Internal Properties, qua tab Auto Discovery, đánh dấu chọn vào ô Publish automatic discovery information for this network, chọn OK

– Trong cửa sổ Forefront TMG, chọn Apply

-Trong hộp thoại Saving Configuration Changes, chọn OK

2. Cấu hình Auto Discovery

Có 3 cách cấu hình Auto Discovery:

– Cấu hình Auto Discovery bằng Alias record trên DNS Server

– Cấu hình Auto Discovery bằng DHCP Option

– Cấu hình Auto Discovery bằng Active Directory

Cách 1: Cấu hình Auto Discovery bằng Alias record trên DNS Server

– Trên DNS Server, mở DNS Management, bung Forward Lookup Zones, chuột phải trên zone msopenlab.com chọn New Alias (CNAME)

-Trong hộp thoại New Resource Record, khai báo các thông tin như trong hình bên dưới, chọn OK (HIEU-TMG.MSOPENLAB.COM là tên của máy TMG Server)

Vì trên Windows Server 2008 R2, trong danh sách Global Query Block List cấm phân giải tên WPAD nên chúng ta phải làm hành động xóa danh sách Global Query Block List hiện thời.

– Để kiểm tra danh sách Global Query Block List hiện thời các bạn sử dụng lệnh: dnscmd /info /globalqueryblocklist

– Để xóa danh sách Global Query Block List hiện thời các bạn sử dụng lệnh: dnscmd /config /globalqueryblocklist

– Sử dụng lệnh nslookup kiểm tra phân giải thành công alias WPAD.MSOPENLAB.COM

Cách 2: Cấu hình Auto Discovery bằng DHCP Option

Thực hiện tại DHCP Server

– Mở công cụ quản lý DHCP, chuột phải IPv4 chọn Set Predefined Options

-Trong hộp thoại Predefined Options and Values, chọn Add để tạo 1 DHCP Option mới

-Trong hộp thoại Option Type, khai báo các giá trị như trong hình bên dưới, chọn OK

-Trong hộp thoại Predefined Options and Values, nhập http://hieu-tmg.msopenlab.com:8080/wpad.dat vào ô String, chọn OK

(HIEU-TMG.MSOPENLAB.COM là tên của máy TMG Server)

-Trong cửa sổ DHCP,bung Scope LAN, chuột phải Server Options chọn Configure Options

-Trong hộp thoại Server Option, đánh dấu chọn ô 252 WPAD, chọn OK

– Trong Server Option, kiểm tra có option 252 WPAD

Cách 3: Cấu hình Auto Discovery bằng Active Directory

Thực hiện tại TMG Server

– Download AdConfigPack.exe , chạy file AdConfigPack.exe để cài đặt

-Trong hộp thoại Welcome, chọn Next

-Trong hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next

– Hộp thoại Location to Save Files, để đường dẫn mặc định, chọn Next, chọn Finish

– Mở Command Line, chuyển qua đường dẫn C:\Program Files (x86)\Microsoft TMG\AdConfig, gõ lệnh

TMGAdConfig.exe add -default -type winsock -url http://HIEU-TMG.MSOPENLAB.COM:8080/wspad.dat -f

(HIEU-TMG.MSOPENLAB.COM là tên của máy TMG Server)

3. Cài đặt Forefront TMG Client

Đề triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máy Clients, trong hệ thống thực tế các bạn có thể sử dụng chức năng Deploy Software của GPO hoặc SCCM. Trong bài viết này, để hiểu rõ vấn đề cài đặt Forefront TMG Client nên tôi sẽ cài bằng tay.

– Trên các máy Client, mở source cài đặt Forefront TMG 2010, vào thư mục client, chạy file MS_FWC.msi để cài đặt