첫번째 방법은 ISA 제품군에서 사용해왔던 기술로, TMG 서버에서는 하나 더 추가되었다는 점을 손쉽게 알 수 있습니다.
참고로, 포어프론트 TMG 제품의 가장 큰 특징은 바로 "AD를 이용하여 자동 탐색"하는 기능과 "SSL 트래픽을 검사"할 수 있다는 것입니다.
TMG 클라이언트가 TMG 서버를 자동으로 찾는 과정은 다음과 같습니다.
1. 액티브 디렉터리가 구현된 환경인 경우 TMG 클라이언트는 LDAP 쿼리를 통해 AD에 있는 정보를 조회합니다.
2. TMG 클라이언트가 연결이나 어떤 이유로 인해 정보를 가져오지 못하는 경우에는 DNS/DHCP 자동 탐색 기능을 사용합니다.
3. 액티브 디렉터리에 조회를 하였지만 정보가 없는 경우에는 DHCP에서 정보를 가져오기 위해 시도하고 그 이후에는 DNS에서 시도합니다.
액티브 디렉터리에 TMG 서버의 정보를 입력하기 위해서는 TMG 자동 탐색 구성 도구(TmgAdConfig.exe)가 필요합니다. 이 도구는 TMG 서버의 위치를 알려주는 표시(마커, marker) 정보를 액티브 디렉터리에 저장합니다. TMG 클라이언트는 마커 정보를 이용하여 TMG 서버를 찾아 연결합니다.
주의: AD를 이용하는 자동 탐색 기능은 액티브 디렉터리 환경에서만 사용할 수 있습니다. 단독 실행형이나 워크그룹 형태의 네트워크에서는 사용할 수 없으며, 그 대신 DNS/DHCP를 이용해야 합니다.
TmgAdConfig 프로그램은 아래 링크에서 AdConfigPack.exe를 다운로드할 수 있습니다.
이제 AD 마커 키를 등록하기 위해 명령 프롬프트를 실행하여 다음과 같이 입력합니다.
위의 예에서 강조 표시한 부분은 TMG 서버의 FQDN과 사용하는 포트 번호를 나타냅니다.
이제 정상적으로 설치되어 있는지 확인하기 위해 FWCTool 이라는 프로그램을 이용합니다. 이 프로그램은 TMG 클라이언트 PC의 %Programfiles%\Forefront TMG Client 폴더에 저장되어 있습니다.
1. 명령 프롬프트를 엽니다.
2. 해당 경로로 이동합니다.
3. 아래와 같이 입력합니다.
FwcTool version 7.0.7733.100
Forefront TMG Client support tool
Copyright (c) Microsoft Corporation. All rights reserved.
Action: Test the auto detection mechanism
Type: Default
Detection details:
Timeout is set to 60 seconds
Locating WSPAD URL on the Active Directory server
WSPAD object was found in the global Active Directory container
WSPAD URL found on the Active Directory server:
http://ftmgfw.contoso.com:8080/wspad.dat
Initializing Web server connection
Resolving IP addresses for ftmgfw.contoso.com
Resolved 1 address(es):
10.10.10.69
Connecting to address #1: 10.10.10.69:8080
Waiting for address #1 to connect
Address #1 successfully connected
Requesting wspad.dat file
Web server is connected and ready to send WSPAD file
Downloading WSPAD file
WSPAD file was downloaded successfully
Detected Forefront TMG: FTMGFW:1745
Result: The command completed successfully.
포어프론트 TMG의 서버 라이선스는 CPU의 개수에 따라 결정됩니다. 또한, 가상화 사용시에도 동일하게 결정됩니다.
또한, 25 CPU를 위한 특별 가격으로도 제공됩니다.
출처: http://www.microsoft.com/forefront/threat-management-gateway/en/us/pricing-licensing.aspx
알림: MS 상의 라이선스 정책은 아주 복잡하므로, 기업이나 조직의 상황에 맞도록 꼼꼼하게 파악하시는 것이 좋습니다.
감사합니다.
감사합니다.
최신 버전의 TMG 클라이언트 프로그램은 마이크로소프트웹사이트에서 다운로드받을 수 있습니다.
예를 들어, 한글판 32비트 버전(TMGClient_KOR_x86.exe)을 다운로드한 후에는 설치 프로그램을 실행합니다.
그림 3: TMG 클라이언트 설치
아래와 같이 TMG 서버의 위치를 직접 지정할 수도 있지만, 보통 TMG 클라이언트를 설치하는 과정 중에 자동으로 인식합니다. 이에 대한 사항은 앞서 설명한 AD 마커 부분을 먼저 완료해야 합니다. 설치가 완료된 후에는 TMG 클라이언트가 TMG 서버를 찾는 방식을 변경할 수 있습니다.
그림4: TMG 클라이언트에서 TMG 서버 설정
그외의 설치과정은 평이하므로 생략합니다.
고급 자동 탐색
TMG 클라이언트가 TMG 서버를 자동으로 탐색하는 방식을 변경하려면 아래와 같이 Advanced Automatic Detection 항목에서 지정할 수 있습니다.
그림5: 고급 자동 탐색
ISA 제품군에서 방화벽 클라이언트가 ISA 서버를 인식하기 위해서는 DHCP와 DNS에 해당 정보를 게시하는 형태로 지원했습니다. TMG 서버에서는 방화벽 클라이언트가 TMG 서버의 위치를 자동으로 탐색할 수 있는 방법으로 AD 마커(Marker)를 지원합니다.
AD Marker
기존의 방화벽 클라이언트 버전과는 달리 TMG 클라이언트는 TMG 서버의 위치를 찾기 위해 AD(액티브 디렉터리)에 있는 마커를 이용할 수 있습니다. 즉, TMG 클라이언트는 AD에 있는 정보를 찾기 위해 LDAP을 사용합니다.
알림: 액티브 디렉터리가 없는 단독실행형(Standalone) 서버에서는 AD 마커를 사용할 수 없습니다. 만약 AD 환경에서 TMG 클라이언트가 AD 마커를 찾을 수 없는 경우에는 기존의 방법인 DHCP와 DNS를 이용하여 자동으로 탐색합니다. 이는 상대적으로 보안상 다소 약한 방법입니다만, 하위 호환성과 AD의 장애 발생시에 유용하게 사용할 수 있는 방법입니다.
TMGADConfig 툴
AD에서 AD 마커를 구성하기 위해서는 TMG AD 구성 툴 프로그램을 다운로드해야 합니다.
TMG 서버에 프로그램(AdConfigPack.exe)을 설치하고 난 후에는 명령 프롬프트를 열고 다음과 같이 입력하여 AD 마커를 등록합니다.
Tmgadconfig add –default –type winsock –url http://nameoftmgserver.domain.tld:8080/wspad.dat
또한, 이 프로그램을 이용하여 기존의 AD 마커 설정을 제거할 수도 있습니다.
|
이올린에 북마크하기
이올린에 추천하기
