二、Forefront安全网关集成的核心是身份验证的配置

　　笔者在给用户做这方面的集成工作中，遇到的问题比较多的是“身份验证配置”相关的内容。也就是说，如何让Forefront安全网关服务器与域或者工作组中的帐户能够相互识别。其实这也不是大问题，主要是在配置的时候没有考虑全面。具体的说，在配制身份验证相关内容的时候，需要在多个地方都进行相关的配置。

　　一是在Radius服务器上进行设置。如果企业有专门的RADIUS服务器用来进行身份验证的话，那么需要在这台服务器上进行设置。如企业有内部Web服务器的入站请求或者有VPN需求的话，在工作组环境中就需要在Radius服务器上进行设置，让这个服务器用于身份的验证。而如果是在域环境中的话，则只需要满足一个条件，即将Forefront安全网关服务器与这些相关的服务同属于一个域中即可。一般的情况下，笔者建议将相关的服务器，都放置在一个独立的域中。不仅可以提高安全性，性能方面也会有所改善。

　　二是如果在部署了安全网关的同时，也实现了防火墙。那么在配置身份验证机制的时候，需要注意防火墙客户端会请求自动包括用户的相关凭据。此时Forefront安全网关就需要验证这个请求是否合法。如果是在工作组环境中，稍微麻烦一点。通常情况下是是使用镜像到Forefront安全网关服务器上本地安全帐户管理器中存储的帐户的用户帐户来验证。不过需要注意的是，在使用这个方法来验证的话，在性能上可能会受到一定的负面影响。因为如此进行验证的话，会消耗比较多的资源。而如果是在域环境中，则配置相对简单多了。只需要将防火墙与安全网关部署在同一个域中即可。

　　总结一下，如果是在域环境中，身份验证一般不是大问题，只需要将相关的服务器放置在同一个域中就可以了。但是如果是在工作组环境中，则需要根据不同的情况，分别在防火墙或者Radius服务器上进行配置。笔者在日常工作中，比较喜欢将Forefront加入到域中，而不喜欢使用工作组。这个也是其中的原因之一。