Microsoft Forefront TMG — концепции удаленного администрирования

Опубликовано: 8 Апреля, 2023

Давайте начнем

В больших средах с разными администраторами Forefront TMG может быть полезно разрешить администраторам удаленный доступ к консоли управления Forefront TMG через RDP или TMG MMC, установленную локально на клиентском компьютере.

RDP-доступ к серверу TMG

Если вы хотите использовать протокол удаленного рабочего стола (RDP), необходимо сначала включить RDP на сервере Forefront TMG и указать уровень шифрования. Из соображений безопасности вам также следует включить NLA (аутентификацию на уровне сети). В идеале следует использовать сертификат, выданный внутренним центром сертификации, чтобы избежать предупреждений об имени сертификата и доверии, как показано ниже.

Рисунок 1: Свойства RDP
Рисунок 1: Свойства RDP

Проблемы с публикацией RDP

Некоторые администраторы хотят опубликовать внутренний сервер RDP на сервере TMG. Если вы хотите сделать это, вы должны перенастроить соединение RDP, чтобы прослушивать только внутренний сетевой адаптер сервера TMG. Прослушиватель, созданный правилом публикации сервера, будет прослушивать внешний адаптер, и если вы не измените настройки RDP, вы получите конфликт пула сокетов. Чтобы изменить настройки, перейдите к настройкам сетевого адаптера в свойствах RDP-TCP и измените прослушиватель RDP на внутренний сетевой адаптер.

Рисунок 2: Свойства RDP — сетевой адаптер
Рисунок 2: Свойства RDP — сетевой адаптер

Затем вы должны разрешить администратору или другим пользователям доступ к серверу TMG через RDP. Лучший способ — поместить пользователей/группы пользователей в локальную группу пользователей удаленного рабочего стола в локальной базе данных учетных записей на сервере TMG.

Рисунок 3: Разрешить пользователям доступ к серверу TMG через RDP
Рисунок 3: Разрешить пользователям доступ к серверу TMG через RDP

Теперь, когда у пользователей есть доступ к компьютеру с сервером TMG, вы должны предоставить пользователям необходимые права для администрирования сервера TMG. Forefront TMG Standard и Enterprise поставляются с простой концепцией роли, которая предоставляет пользователям разные права на конфигурацию Forefront TMG, как показано на следующем снимке экрана.

Рисунок 4: Концепции на основе ролей TMG
Рисунок 4: Концепции на основе ролей TMG

Последним шагом является изменение параметров правила системной политики, чтобы разрешить компьютерам доступ к серверу Forefront TMG. Forefront TMG Server защищает систему от доступа из внутренней сети. Чтобы разрешить компьютерам доступ к серверу TMG, запустите сервер TMG и перейдите к узлу «Политика брандмауэра» — «Все задачи» — «Системная политика» — «Редактировать системную политику» и поместите компьютеры в набор «Компьютеры удаленного управления».

Рисунок 5: Правила системной политики
Рисунок 5: Правила системной политики

WMI-доступ

Если вы хотите получить удаленный доступ к серверу Forefront TMG через WMI (инструментарий управления Windows), необходимо настроить некоторые дополнительные параметры на сервере Forefront TMG. Сначала вы должны отключить параметр «Принудительное строгое соответствие RPC» в наборе правил системной политики для доступа к Active Directory или, если вы создали специальный набор правил политики брандмауэра, который разрешает протокол RPC от клиентских машин к LocalHost, вы должны отключить «Принудительно Строгое соответствие RPC» в правиле политики брандмауэра. Для этого щелкните правой кнопкой мыши правило политики брандмауэра и выберите параметр RPC.

Рисунок 6. Отключите строгое соответствие RPC
Рисунок 6. Отключите строгое соответствие RPC

Во многих сценариях отключения строгого соответствия RPC недостаточно. На следующем снимке экрана я создал правило политики брандмауэра для доступа к WMI через порт 10002, чтобы получить доступ к серверу TMG с помощью удаленного инструмента WMI под названием PRTG со специальной реализацией от компании Paessler.

Пожалуйста, обрати внимание:
 Для различных приложений, обращающихся к серверу Forefront TMG через WMI, может потребоваться создание правил политики брандмауэра с разными портами или диапазонами портов.

Рисунок 7: Разрешить доступ к WMI
Рисунок 7: Разрешить доступ к WMI

Удаленная установка TMG MMC

Можно установить TMG MMC на локальный клиентский компьютер Windows для удаленного доступа к серверу TMG. Вставьте DVD-диск TMG на локальный компьютер и установите только компонент консоли управления Forefront TMG.

Рисунок 8: Локальная установка TMG MMC
Рисунок 8: Локальная установка TMG MMC

Имейте в виду, что на клиентах, установленных на сервере Forefront TMG, необходимо применять одни и те же пакеты обновления и накопительные пакеты TMG.

Вывод

В этой статье мы говорили о различных концепциях доступа к серверу Forefront TMG с удаленной рабочей станции через подключение к удаленному рабочему столу или через локальную установленную консоль управления Microsoft Forefront TMG.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023