虽然在部署ForeFront各个组件的时候，如安全网关，域并不是必要的条件。但是为了安全与性能方面的考虑，笔者还是建议将Forefront加入到微软的域或者工作组中去。虽然在前提部署的时候，需要多花一点时间与精力。但是对于后续的维护、安全等等都是非常有利的。在这里笔者就以Forefront安全网关为例，谈谈集成的相关注意事项。

　　一、将安全网关加入到域或者工作组之前必须要了解的内容

　　如果将Forefront安全网关加入到域或者工作组中，某些功能会受到影响。如某项功能可能会不能使用或者功能有所加强。在继续后面的操作之前，工程师必须对这方面有详细的了解。否则的话，在后续配置与管理的时候很容易碰壁。具体的来说，以下这些内容要在心中刻下烙印。

　　一是如果将Forefront安全网关加入到工作组中，则一些功能会受到限制。如在微软工作组环境中，不支持EMS复制(这对于超大型的网络有比较大的影响);而且在工作组环境中并不支持自动检测Web代理。在部署Forefront安全网关的时候，还需要在Forefront所在的计算机上安装服务器证书，否则的话，就无法加入到工作组中。

　　二是在域环境中，需要使用组策略来锁定安全网关服务器。注意不加入域环境的情况下，只需要通过本地策略来锁定即可。但是在域环境中，为了安全性考虑，本地策略锁定功能将会失效。

　　三是如果在Forefront安全网关上配置VPN客户端映射的时候，也有限制。如需要将非Windows操作系统的用户映射到域用户帐户。也就是说，如果有一台客户端是Linux操作系统。此时就需要将Linux操作系统的帐户(在登陆VPN的时候需要用到的帐户)映射到域用户帐户中去。

　　四是需要注意安全方面的考虑。在域环境中，活动目录、防火墙、Forefront安全网关等等都是一体的。如果某个设备遭到了破坏，那么其它设备也在所难免。这主要是因为主要取得了一台服务器的管理员权限，那么也就具有了其他服务器的管理员权限。为此在部署中，往往需要进行合理的规划，设计一个比较好的安全措施。

　　笔者最后强调一次，域环境并不是Forefront安全网关的必要条件。在实际工作中，往往是出于管理的方便以及安全性方面的考虑，才会将他们集成在一起。作为企业Forefront管理员来说，需要根据自己企业的实际情况来对待。笔者的建议是，企业必须先要有一个安全的、稳定的域环境，然后再考虑是否将Forefront安全网关加入其中。如域环境刚刚组建完成，还不怎么稳定的时候，那么最好不要急着将Forefront加入到域环境中去。