■ 河北 李林茹 王春海

Forefront TMG提供了一个在TMG服务器端自动检测客户端的新功能。同先前版本的防火墙客户端不同，TMG客户端可以使用活动目录中的一个标记查找相应的TMG服务器。在活动目录中，TMG客户端使用轻量目录访问协 议（LDAP，Lightweight Directory Access Protocol)查找所需的信息。在安装Forefront TMG客户端之后，在“设置”选项卡中，可以查看Forefront TMG的客户端自动检测到Forefront TMG服务器的两种方法：“使用Active Directory（推荐）”和“使用其他基于DHCP和DNS的自动检测方法”（如图1）。

说明：在Active Directory的网络中（即工作站加入Active Directory），如果 TMG 客户端不能查找到活动目录标记，出于安全考虑，也不会通过DHCP和DNS进行自动检测。这样做是为了减少攻击者将系统强行恢复到一个不安全状态的风险。如果建立了活动目录连接而无法查找到活动目录标记，TMG客户端将自动切换到DHCP和DNS。

在TMG服务器上配置活动目录标记

但是，在默认的情况下，Forefront TMG服务器并不会在Active Directory中自动配置这一功能，需要使用Microsoft提供的一个工具TmgAdConfig.exe进行配置。

本文介绍配置Active Directory标记的方法。

要配置活动目录标记，可以从微软下载中心下载TMG活动目录配置工具AdConfigPack.EXE，然后在Forefront TMG 2010服务器计算机上安装该软件。该工具的安装比较简单，如图2所示。

如 果 要 在 Active Directory中存储标记密钥，请在命令提示符下键入：

TmgAdConfig.exe add -default -type winsock -url [-f]

其中 ：service-url 项的格式应为 http://:8080/wspad.dat。

在这些命令中可以用到下列参数：

1.如 果 要 从 Active Directory删除密钥，请在命令行提示符处键入：

TmgAdConfig.exe del-default -type winsock

2.如果要配置特定站点的Active Directory标记，请使用-site命令行参数。

TmgAdConfig工 具 在Active Directory中创建以下注册表项：

LDAP://Configuration/Services/Internet Gateway("Container") /Winsock Proxy("ServiceConnection Point")

密钥的服务器绑定信息将设置为 。该密钥将由Forefront TMG客户端检索，并将用于下载wspad配置文件。

下面通过具体的实例进行介绍。下载并安装TmgAdConfig后，进入命令提示符，进入程序安装位置，执行下列命令行进行注册，如图3所示。

在工作站上启用Active Directory发现

在配置了Active Directory标记之后，在加入到域的工作站上，在安装了Forefront TMG客户端之后，即可以使用“Active Directory” 发 现TMG 2010服务器，如图4所示。

如果不使用活动目录标记支持，也可以使用TMG活动目录配置工具清除该标记，命令格式为：

tmgadconfig del -default-type winsock

如图5所示。

此时，你可以在DHCP服务器上，配置名为WPAD的Forefront TMG选项，如图6所示。