三、将Forefront安全网关加入到域中的典型配置

　　要将Forefront安全网关与微软的域环境集成，有不少的方法。笔者举一个典型的配置方法。如笔者在给一个客户配置的时候，采用了两个Forefront安全网关服务器。其中一个服务器部署在企业网络的边缘，另一台服务器安装在后端。注意两台服务器并不是负载均衡，而是需要用来分别完成不同的工作。如前端(边缘)安全网关服务器是以工作组模式来安装，而后端服务器则以域成员身份来安装。这种配置方式可以将工作组的限制减少到最低。如可以以域成员身份安装后端服务器来完成身份验证工作，而不要在工作组模式下完成。笔者前面分析后，如果在工作组模式下来进行身份验证的话，在配置的时候比较麻烦。而使用域成员身份来完成这项工作，就相对简单许多，只需要将他们加入到同一个域中即可。这个方案另外带来的一个好处就是能够使用组策略来强化内部计算机的安全，也提供另一个统一的平台便于管理。

　　除了这种配置方式外，据笔者了解，还可以为Forefront安全网关加一个单独的网络适配器。在有Web应用的环境中，其可以起到缓存的作用，提高访问的性能。不过这个方案笔者到没有用过。具体效果如何，还需要各位读者去考证。另外一个常见的配置是使用单独一个Forefront安全网关，将其放置在边缘。同时一个网络适配器连接内网，另外一个网络适配器连接外网。这个方案虽然硬件成本省下许多，但是在配置上，特别是身份验证上，会遇到不少的麻烦。故笔者并不推荐这么做。