Как настроить ведение журнала Forefront TMG в центральной базе данных Microsoft SQL Server

Опубликовано: 8 Апреля, 2023

Давайте начнем

Параметры журнала по умолчанию для Forefront TMG заданы для локальной базы данных Microsoft SQL Server Express 2008 с пакетом обновления 1 (SP1). Во время установки Forefront TMG будет установлена локальная база данных Microsoft SQL Server Express. Если вы хотите изменить этот локальный SQL Server на экземпляр центральной базы данных SQL, вам необходимо заранее выполнить несколько задач. Ступени высокого уровня:

  1. Создайте базы данных Forefront TMG на центральном сервере SQL Server.
  2. Выполните сценарии Forefront TMG SQL, чтобы создать необходимые таблицы SQL в базе данных.
  3. Настройте разрешения для сервера TMG для доступа к базе данных SQL.
  4. Измените ведение журнала SQL в Forefront TMG.
  5. Необязательно: принудительное шифрование данных между TMG и SQL Server.
  6. Проверить соединение


Получите вашу копию «Microsoft ISA Server 2006 — Das Handbuch» на немецком языке.

В качестве первого шага нам нужно найти сценарии SQL, которые создают необходимые поля, таблицы, представления и другие элементы SQL. Вы можете найти сценарии SQL в каталоге установки Forefront TMG. Скопируйте сценарии на свой SQL Server.


Рисунок 1: Найдите сценарии TMG.SQL

Примечание:
 Файл FWSRV.SQL предназначен для ведения журнала брандмауэра, а файл W3PROXY.SQL — для ведения журнала веб-прокси.

На следующем снимке экрана показано содержимое файла W3PROXY.SQL.


Рисунок 2: Содержимое скрипта TMG SQL

Затем запустите приложение SQL Server Management Studio, чтобы создать базы данных для ведения журнала брандмауэра и веб-прокси.


Рисунок 3: Создайте новую базу данных для ведения журнала SQL

Имя базы данных по умолчанию для ведения журнала брандмауэра — TMG-FWLOG. Если вы хотите изменить имя, вы также должны изменить имя базы данных в сценарии SQL.


Рисунок 4: Укажите местоположение и другие параметры для новой базы данных

Сделайте то же самое для базы данных Forefront TMG Web Proxy.

Затем мы должны выполнить сценарий SQL из Forefront TMG, чтобы создать необходимые таблицы, представления и поля для базы данных SQL Server. Запустите приложение SQL Server Management Studio и запустите новый запрос. Вставьте весь сценарий SQL в редактор запросов и выполните запрос. Сделайте то же самое для базы данных веб-прокси TMG.


Рисунок 5. Выполнение сценария SQL для создания таблиц и т. д.

После выполнения запроса проверьте результаты. Например, перейдите на вкладку «Столбцы» и убедитесь, что есть новые записи, как показано на следующем снимке экрана.


Рисунок 6: База данных после выполнения скрипта

Затем мы должны разрешить учетной записи компьютера TMG Server доступ к SQL Server и созданным базам данных. Поскольку мы используем встроенную аутентификацию Windows на SQL Server, мы создаем новый логин на основе учетных записей пользователей Windows, в данном случае учетной записи компьютера сервера TMG. Поскольку вы не можете просматривать объекты компьютеров в средстве выбора объектов SQL Server, вы должны вручную ввести учетную запись компьютера сервера TMG с обозначением DOMAINComputername$, как показано на следующем снимке экрана. Установите базу данных по умолчанию, например, базу данных TMG-FWLOG (необязательно).


Рисунок 7: Новый вход в Windows для учетной записи компьютера Forefront TMG

В свойствах входа в систему для нового входа в SQL мы должны настроить сопоставление пользователей, чтобы учетная запись компьютера сервера TMG имела необходимые разрешения для доступа к базе данных SQL.


Рисунок 8. Настройка разрешений для учетной записи

После настройки всех требований к SQL Server мы можем изменить ведение журнала Forefront TMG с локального SQL Server Express на централизованное ведение журнала SQL Server. Запустите MMC Forefront TMG и перейдите к узлу Журналы и отчеты и на панели задач Настройте ведение журнала брандмауэра или Настройте ведение журнала веб-прокси.

Щелкните переключатель База данных SQL и щелкните кнопку параметров.


Рисунок 9: Измените ведение журнала TMG на централизованное ведение журнала SQL

Введите полное доменное имя SQL Server и порт для использования (по умолчанию 1433).

Внимание:
Убедитесь, что SQL Server прослушивает порт 1433 из удаленных подключений.

Введите имя базы данных, ранее созданной на сервере SQL, и имя таблицы SQL (созданной скриптом SQL). Для дополнительной безопасности также можно включить опцию принудительного шифрования данных, но для этого требуются дополнительные настройки. Я обращусь к нему позже.


Рисунок 10: Укажите SQL Server и дополнительные параметры

После завершения настройки вы можете нажать кнопку «Тест», чтобы проверить соединение SQL. После того, как вы нажмете кнопку OK, Forefront TMG сообщит вам, что будет активирована системная политика Forefront TMG, которая разрешает подключение SQL с ЛОКАЛЬНОГО ХОСТА к внутренней сети. Из соображений безопасности вы должны ограничить системную политику, чтобы разрешить доступ только к SQL Server.


Рисунок 11: Предупреждающее сообщение о том, что правила системной политики TMG должны быть активированы

Одним из ограничений централизованного ведения журналов SQL Server является то, что теперь вы не можете создавать отчеты Forefront TMG, поэтому вам придется создавать свои собственные отчеты с помощью утилит SQL Server.


Рисунок 12: Предупреждающее сообщение о том, что отчеты не могут быть созданы при использовании централизованного ведения журнала SQL

Как было сказано ранее, можно зашифровать соединение для передачи данных между SQL Server и сервером TMG с помощью соответствующей опции.


Рисунок 13: Необязательно: можно включить шифрование данных между TMG и SQL Server

Если вы хотите применить шифрование между SQL Server и сервером TMG (и всеми другими серверами, имеющими доступ к SQL Server), вы должны принудительно использовать шифрование в свойствах экземпляра SQL Server в студии управления SQL Server. Если вы не хотите применять шифрование для всех подключений, вы можете оставить значение по умолчанию без изменений, чтобы SQL Server согласовывал шифрование только с теми клиентами, которые запрашивают шифрование.


Рисунок 14: Принудительное шифрование на SQL Server

Вы должны использовать сертификат компьютера на SQL Server, который используется для создания безопасного канала между SQL Server и TMG Server. Сертификат должен быть выдан доверенным центром сертификации (ЦС), которому доверяют TMG и SQL Server. Дополнительные сведения о настройке SQL Server для SSL-шифрования см. в следующей статье.


Рисунок 15: Выберите соответствующий сертификат

Вывод

В этой статье я рассказал, как перенастроить локальное ведение журналов Forefront TMG SQL на центральный Microsoft SQL Server. Центральное ведение журналов SQL имеет некоторые плюсы, такие как централизованное управление, резервное копирование и восстановление, но также и некоторые минусы, такие как невозможность использования возможностей создания отчетов в Forefront TMG, поэтому вам придется создавать собственные отчеты с помощью Microsoft SQL Server или сторонних инструментов.

Ссылки по теме

  • Настройка журналов Forefront TMG
  • Microsoft Forefront TMG — параметры ведения журнала в Forefront TMG
  • Как просматривать журналы TMG при использовании SQL Server Express для ведения журналов
  • Перемещение файлов базы данных SQL в Forefront TMG 2010
  • Ведение журнала брандмауэра с использованием базы данных Microsoft SQL
  • Конфигурация шифрования SQL Server
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023