Новый механизм автообнаружения в Forefront TMG Beta 2
Наверняка многим из вас известен весьма полезный механизм автоматического обнаружения ISA Server клиентами Web Proxy и Firewall Clients. Он позволяет избежать ручной настройки браузеров и приложений клиента брандмауэра (FwcClient) на пользовательских системах.
Данный метод основан на публикации так называемой записи Web Proxy Automatic Discovery (WPAD). WPAD-запись публикуется на WPAD-сервере (в нашем случае в роли этого сервера выступает ISA Server) и содержит всю необходимую информацию для настройки клиентских приложений на работу с ISA Server. Примечательно, что компьютеры пользователей обнаруживают местонахождение WPAD-сервера посредством специализированной записи в службе DHCP и/или DNS.
В последней версии Forefront TMG Beta 2, о которой я уже рассказывал на страницах этого блога, механизм автообнаружения получил своё развитие. Теперь клиенты брандмауэра могут обнаружить серверы Forefront TMG посредством специальной записи в каталоге Active Directory (AD). Этот механизм именуется Active Directory Marker. Постараюсь описать работу данного механизма более подробно.
Новые версии клиента брандмауэра Forefront TMG в первую очередь пытаются найти маркер сервера Forefront TMG в каталоге AD. Если клиенты брандмауэра получают доступ к AD и оказывается, что маркера в AD нет, происходит откат к старому механизму обнаружения посредством обращения к службам DHCP и DNS. Необходимо отметить, что откат к старому механизму будет иметь место только в том случае, если клиентское приложение сможет успешно выполнить запрос к AD и получить корректный ответ об отсутствии маркера сервера Forefront TMG. В остальных случаях клиенты брандмауэра не смогут автоматически обнаружить сервер, и обращения к службам DHCP и DNS не произойдёт. Это объясняется защитой от попыток злоумышленников принудить клиентов использовать менее безопасный механизм обнаружения через службы DHCP и DNS.
Отмечу также, что функцией обнаружения через маркер AD обладают только новые клиенты брандмауэра Forefront TMG. Старые версии клиентов брандмауэра (Firewall Client for ISA Server) продолжают обращаться исключительно к службам DHCP и DNS, даже если в службе каталога AD присутствует маркер. Ну и, конечно же, функция маркера AD не поддерживается в окружении рабочей группы :)
От себя отмечу, что новая функция выглядит очень многообещающе. AD предоставляет нам мощный и гибкий механизм управления доступом к маркеру автоматического обнаружения, как к объекту каталога. Поэтому с точки зрения безопасности сценарий размещения маркера сервера Forefront TMG в AD является более выгодным по сравнению с областями DHCP и зонами DNS.
Таким образом мы с вами сделали ещё один шаг навстречу будущему средств защиты сетевого периметра, друзья. На подходе подробное описание новой функции Forefront TMG ISP Redundancy. Держите руку на пульсе, а я, в свою очередь, постараюсь держать Вас в курсе самых актуальных новостей, посвященных Forefront TMG.
Хорошо бы еще иметь шаблон ГП для управления Firewall Client.
P.S. c 3-го раза мне IE показал капчу.
Для централизованной конфигурации Firewall Client можно использовать специальные конфигурационные файлы. Распространять эти файлы можно с помощью объетов групповой политики. Подробнее можно почитать в этой статье.