导言

　　微软Forefront TMG 2010有两个版本：标准版和企业版。利用企业版，管理员能够创建作为单一逻辑防火墙使用的TMG防火墙群集阵列。该阵列提供冗余、高可用性和可扩展性。在TMG中，目前有两种不同类型的阵列：独立阵列(TMG新增的功能)和企业管理服务器管理(Enterprise Management Server-managed，EMS-managed)阵列。本文将分别介绍两种阵列的配置方法，剖析两者之间的差异并讨论这两种部署方案。本文还将介绍如何使用TMG企业版管理TMG标准版防火墙。

　　EMS管理的阵列

　　EMS管理的阵列与微软ISA Server 2006中的配置存储服务器(Configuration Storage Server ，CSS)基本相同，仅有几个细微差别。利用TMG的企业管理服务器(EMS)，可以在安装TMG软件后加入到一个阵列，同样地，也可以选择断开一个阵列。这使得企业管理员可以更加灵活地将防火墙从一个阵列迁移到另一个阵列，而无需卸载并重装TMG软件。与ISA的配置存储服务器可以驻留在阵列成员中不同，TMG EMS必须安装在阵列之外一个独立的系统之中。

　　注：本文假定已经在一个系统上成功安装了TMG EMS服务，在另一个系统安装了TMG防火墙服务，并加入到一个域。

　　向EMS中加入一个TMG企业版防火墙，首先在TMG防火墙系统中打开管理控制台，导航至根节点，在右侧“任务”窗格选择“加入阵列”(Join Array)。

　　图1

　　这时将出现“Forefront TMG加入阵列向导”。

　　图2

　　选择“加入一个EMS服务器管理的阵列”(Join an array managed by an EMS server)。

　　图3

　　输入EMS系统的完全合格域名(FQDN)。如果使用具有管理权限的帐号登录，选择“使用登录用户的证书连接” (Connect using the credentials of the logged on user)选项;否则，选择“使用此帐户连接”(Connect using this account:)选项。接下来，需要指定具有管理权限的用户名和密码。

　　图4

　　如果要加入一个现有阵列，选择“加入一个现有的EMS管理的阵列”(推荐使用该选项)，然后从下拉列表中选择想要加入的阵列。必须确保使用具有阵列或阵列所属企业管理权限的用户帐号。

　　图5

　　如果已经对即将加入阵列的TMG防火墙配置了访问规则，选择“在新建EMS管理的阵列使用当前配置”(Use the current configuration at the new EMS-managed array)选项。如果未选择该选项，现有配置将被新阵列的默认配置所取代。

　　输入名称及关于阵列的描述。提供阵列的DNS名称，最好是FQDN格式。选择适用于新建阵列的企业策略。

　　图6

　　重新检查配置细节并完成安装。

　　独立阵列

　　独立阵列是TMG的一个新增功能。在企业级部署方案中，管理员可以配置由非外部企业管理服务器管理的TMG防火墙阵列。利用独立阵列，可以指定某个阵列成员为“阵列管理者”(array manager)。该阵列的其他成员从指定的阵列管理者恢复配置。

　　要创建一个独立阵列，在TMG防火墙系统打开管理控制台，导航至左侧的根节点，在右侧任务窗格选择“加入阵列”。

　　图7

　　如前所述，这时也会出现“加入Forefront TMG阵列向导”。

　　选择“加入由指定的阵列管理者管理的独立阵列”(Join a standalone array mamged by a designated array member)。

　　输入TMG防火墙的IP地址或完全合格域名。

　　图8

　　完成安装过程。

　　断开阵列成员

　　将TMG防火墙从阵列中移除是TMG 2010一个非常受欢迎的新功能。借助这个功能，管理员可能有选择性地在企业阵列之间迁移防火墙系统。

　　如同向EMS中添加TMG防火墙一样，断开阵列同样简便易行：在TMG防火墙系统中打开管理控制台，导航至左侧的根节点，在右侧的任务窗格选择“断开阵列”(Disjoin Array)。

　　这时将出现“从阵列中断开服务器”(Disjoin Server From Array)向导。

　　图9

　　依次完成操作，结束该过程，将阵列成员从阵列中成功分离。

　　使用TMG企业管理TMG标准版

　　TMG企业版一项鲜为人知的功能是管理TMG标准版防火墙。这将大大简化部署TMG标准版和企业版防火墙组合环境的管理。

　　把TMG标准版防火墙加入到EMS中的过程与企业版基于相同，但有一点例外：不能加入现有的阵列。唯一可用的选择是创建一个新的EMS-managed阵列。

　　将TMG标准版防火墙成功加入EMS之后，就可以同管理企业版防火墙一样对标准版防火墙进行管理。唯一的限制就是阵列仅能包含一个标准版防火墙。

　　阵列的选择

　　部署独立阵列还是EMS管理的阵列取决于用户的需求。如果用户环境中有多个网络出口，用EMS配置TMG是非常好的选择。在这种情况下，可以使用EMS管理的阵列配置企业级访问规则。由于一个单一的策略适用于整个企业的所有阵列，因此管理成本将大大降低。在只有一个网络出口的环境中，高可用性是主要考虑因素，这时，独立阵列不失为一种方便的选择，而且整个环境中也没有其他TMG防火墙需要管理。

　　结语

　　利用微软Forefront TMG 2010企业版，能够创建群集化的防火墙阵列，以提供冗余和高可用性。通过向企业阵列中添加成员，大大提高了效率。管理TMG标准版防火墙这项新功能，将大大简化大型和复杂环境中TMG的管理。