포어프론트 TMG에서는 방화벽 클라이언트를 TMG 클라이언트라고 부릅니다. 이는 기존 ISA 제품군과 구별하기 위한 것으로 생각됩니다.

하여튼, TMG 클라이언트를 자동으로 구성하는 방법은 보통 2가지로 나눌 수 있습니다.
  • DNS/DHCP를 이용하여 자동 탐색
  • AD를 이용하여 자동 탐색

첫번째 방법은 ISA 제품군에서 사용해왔던 기술로, TMG 서버에서는 하나 더 추가되었다는 점을 손쉽게 알 수 있습니다.

참고로, 포어프론트 TMG 제품의 가장 큰 특징은 바로 "AD를 이용하여 자동 탐색"하는 기능과 "SSL 트래픽을 검사"할 수 있다는 것입니다.

TMG 클라이언트가 TMG 서버를 자동으로 찾는 과정은 다음과 같습니다.

1. 액티브 디렉터리가 구현된 환경인 경우 TMG 클라이언트는 LDAP 쿼리를 통해 AD에 있는 정보를 조회합니다.

2. TMG 클라이언트가 연결이나 어떤 이유로 인해 정보를 가져오지 못하는 경우에는 DNS/DHCP 자동 탐색 기능을 사용합니다.

3. 액티브 디렉터리에 조회를 하였지만 정보가 없는 경우에는 DHCP에서 정보를 가져오기 위해 시도하고 그 이후에는 DNS에서 시도합니다.


액티브 디렉터리에 TMG 서버의 정보를 입력하기 위해서는 TMG 자동 탐색 구성 도구(TmgAdConfig.exe)가 필요합니다. 이 도구는 TMG 서버의 위치를 알려주는 표시(마커, marker) 정보를 액티브 디렉터리에 저장합니다.  TMG 클라이언트는 마커 정보를 이용하여 TMG 서버를 찾아 연결합니다.

주의: AD를 이용하는 자동 탐색 기능은 액티브 디렉터리 환경에서만 사용할 수 있습니다. 단독 실행형이나 워크그룹 형태의 네트워크에서는 사용할 수 없으며, 그 대신 DNS/DHCP를 이용해야 합니다.


TmgAdConfig 프로그램은 아래 링크에서 AdConfigPack.exe를 다운로드할 수 있습니다.

이제 AD 마커 키를 등록하기 위해 명령 프롬프트를 실행하여 다음과 같이 입력합니다.

tmgadconfig add -default -type winsock -url http://ftmgfw.contoso.com:8080/wspad.dat

Forefront TMG Auto-Discovery Configuration Tool
New Winsock default marker successfully registered.

위의 예에서 강조 표시한 부분은 TMG 서버의 FQDN과 사용하는 포트 번호를 나타냅니다.
 

이제 정상적으로 설치되어 있는지 확인하기 위해 FWCTool 이라는 프로그램을 이용합니다. 이 프로그램은 TMG 클라이언트 PC의 %Programfiles%\Forefront TMG Client 폴더에 저장되어 있습니다.

1. 명령 프롬프트를 엽니다.

2. 해당 경로로 이동합니다.

3. 아래와 같이 입력합니다.

fwctool TestAutoDetect

그러면 아래와 비슷한 결과가 화면에 나타나게 됩니다.

FwcTool version 7.0.7733.100

Forefront TMG Client support tool

Copyright (c) Microsoft Corporation. All rights reserved.

 

Action:         Test the auto detection mechanism

Type:           Default

 

Detection details:

 

    Timeout is set to 60 seconds

    Locating WSPAD URL on the Active Directory server

    WSPAD object was found in the global Active Directory container

    WSPAD URL found on the Active Directory server:

    http://ftmgfw.contoso.com:8080/wspad.dat

    Initializing Web server connection

    Resolving IP addresses for ftmgfw.contoso.com

    Resolved 1 address(es):

    10.10.10.69

    Connecting to address #1: 10.10.10.69:8080

    Waiting for address #1 to connect

    Address #1 successfully connected

    Requesting wspad.dat file

    Web server is connected and ready to send WSPAD file

    Downloading WSPAD file

    WSPAD file was downloaded successfully

    Detected Forefront TMG: FTMGFW:1745

 

Result:         The command completed successfully.


노란색으로 표시된 부분이 앞서 TmgAdConfig 프로그램에서 등록한 내용과 일치하는지 확인합니다.

감사합니다.

참고문서: http://blogs.technet.com/isablog/archive/2009/10/23/tmg-client-introduces-automatic-detection-using-active-directory.aspx
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    기업은 나름대로의 목적과 필요에 의해서 고유한 네트워크 환경을 가지게 됩니다. 이러한 환경에 포어프론트 TMG 서버를 구현하기 위해서는 어느정도 일관된 구현 방식을 이해할 필요가 있습니다.

    포어프론트 TMG는 기존 ISA 제품과 마찬가지로 모두 4가지 형태로 구현할 수 있습니다. 이에 대해 간략히 정리해 봅니다. 방화벽의 형태로는 모두 3가지로 표현할 수 있으며 웹프록시/캐시 용도가 나머지 하나입니다.


    • Edge Firewall(경계면 방화벽) - 하드웨어 방화벽과 마찬가지로 외부(인터넷)에서 내부 네트워크로 들어오는 트래픽을 전면에서 방어하는 형태입니다. 보통 내부는 사설망(Private Network)이 위치합니다. 아래 그림에서 VPN 클라이언트 네트워크는 PPTP나 IPSec을 통해 외부에 위치한 사용자가 TMG 서버를 통해 내부 네트워크로 들어올 수 있다는 것을 나타냅니다.

    • 3-Leg Perimeter(3발 경계) - Tri-homed Perimeter라고도 합니다. Edge Firewall 구조에 DMZ 네트워크가 추가되는 형태입니다. DMZ에서는 웹서버와 같이 외부에 노출해야 하는 서버들이 위치하게 됩니다.

    • Back Firewall(후방 방화벽) - 일반적으로 기업 네트워크 환경에서는 이미 하드웨어 기반의 방화벽을 사용하는 경우가 많습니다. 이러한 경우에 포어프론트 TMG 서버를 각 지사와 같이 내부 네트워크를 개별적으로 분리하여 관리할 때에 사용할 수 있습니다. TMG 서버를 Back Firewall로 사용할 때에는 외부에서 접근할 수 있도록 하는 정책을 수립할 때에는 TMG 서버가 사용하는 포트를 열어야 하는 작업이 필요합니다.

    • Single Network Adapter(단일 네트워크 어댑터) - 방화벽으로 동작하기 위해서는 적어도 2개 이상의 랜카드(네트워크 어댑터)가 필요합니다. 하지만, 웹 프록시/가속(캐시) 모드로만 사용할 경우에는 하나의 랜카드로도 충분히 동작합니다. 다만, 일부 기능을 사용할 수 없기 때문에 "웹 프록시/가속" 용도로 사용한다고 이해하면 편리합니다.


    지금까지 포어프론트 TMG로 구현할 수 있는 네트워크 토폴로지에 대해서 설명했습니다. 참고로, Back Firewall 방식에서 포어프론트 TMG 서버는 앞단에 위치(Edge Firewall)할 수도 있고, 뒷단에 위치(Back Firewall)할 수도 있으며, 양 쪽 모두 사용할 수도 있으며 이를 Back-to-Back Firewall(또는 네트워크) 이라고 합니다. 

    감사합니다.

    출처: http://technet.microsoft.com/en-us/library/ee869545.aspx

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory