Instalando e Configurando o ForeFront TMG.pdf



Comments



Description

Instalando e Configurando o ForeFront TMG 2010Depois de muito tempo sem postar artigos “como fazer” vou retomar com o produto Microsoft que sou especialista o ForeFront TMG 2010, sucessor do nosso querido ISA Server que por muito tempo atendeu nossas necessidades no que diz respeito a Firewall de Borda e Web Proxy, o avanço se faz necessário e sem mudança não há avanço então vamos mudar e começar a trabalhar com o ForeFront TMG 2010. Vou fazer uma serie de artigos e irei demonstrar como instalar e configurar o ForeFront TMG 2010 Standard Edition, além é claro de mostrar as novas funcionalidades do produto. Nesse primeiro vou abordar instalação e configuração do TMG como Firewall de Borda (Edge Firewall) abaixo segue um diagrama da nossa rede que é composta por um controlador de domínio que também é servidor DNS e DHCP. O ForeFront TMG está com duas placas de redes, uma dedicada para a rede interna e outra para a rede externa (Internet) esta por sua vez ligada em um roteador fornecido pelo ISP (Internet Service Provider) nosso provedor de acesso a internet. Temos também outros servidores e dispositivos, como em qualquer rede de uma empresa. Requisitos de Hardware para a instalação do ForeFront TMG 2010 O diagrama abaixo representa a infraestrutura de rede comum na maioria das empresas. Um servidor controlador de domínio, DNS e DHCP. O TMG irá trabalhar como default gateway e proxy dessa rede, ele está conectado a um modem ADSL que faz a conexão com a internet. Temos também clientes de rede e demais servidores. Primeiro passo é identificar as nossas placas de rede, renomeando corretamente, qual placa será dedicada para rede interna e para a rede externa. Agora configure a ordem que as placas serão acessadas pelos serviços de rede, clique em avançado e depois em configurações avançadas. Altere se for necessário, deixando a rede interna em primeiro. Agora configure o endereço IPv4 da placa de rede interna. E o endereço IPv4 da placa de rede externa. Após configurar corretamente as placas de rede você já esta pronto para instalar o ForeFront TMG 2010, porem é recomendável que você efetue testes de conectividade de rede, verifique por exemplo se você consegue “pingar” endereços IP da rede interna e da rede externa a internet. Bom agora você já pode colocar o CD do ForeFront TMG 2010 e efetuar a instalação. Na tela de boas vidas clique em Executar o Windows Update e instale as atualizações necessárias. Só avance para a etapa seguinte quando todas as atualizações estiverem instaladas Agora clique em Executar a Ferramenta de Preparação ela instalará os requisitos de software necessários para o ForeFront TMG 2010. Na tela de Bem-vindo… Clique em Avançar. Aceite o Contrato de Licença e clique em Avançar. Na tela Tipo de Instalação selecione Serviços e Gerenciamento do ForeFront TM e clique em Avançar. O assistente de preparação do sistema será executado. Após algum tempo a tarefa é finalizada cerifique-se que a opção Iniciar o Assistente de Instalação do Forefront TMG e clique em Concluir. O Assistente de Instalação do ForeFront TMG 2010 será iniciado. Na tela de Bem-vindo… Clique em Avançar. Aceite o Contrato de Licença e clique em Avançar. Informe os dados necessários como Nome de Usuário, Organização e Número de Série do Produto, após clique em Avançar. Na tela Cenários de Instalação selecione Serviços e Gerenciamento do ForeFront TMG e clique em Avançar. Na tela Caminho de Instalação informe o local da instalação do ForeFront TMG 2010 e clique em Avançar. Na tela Definir Rede Interna clique em Adicionar… . Clique em OK até retornar a tela Definir rede Interna depois clique em Avançar. Leia os Avisos de Serviços e clique em Avançar.Na tela Endereços clique em Adicionar Adaptador. Na tela Selecionar Adaptadores de Rede selecione a placa de rede da REDE INTERNA e clique em OK. Na tela Pronto para Instalar o Programa clique em Instalar. . A instalação será iniciada. Decorridos alguns minutos a instalação é finalizada com êxito. marque a opção Iniciar o Gerenciamento do ForeFront TMG quando o assistente fechar e clique em Concluir. Na tela Assistente para instalação Concluído. Na tela Assistente para Introdução clique em Definir configurações de rede. Revise todas as configurações e certifique-se que estão corretas. Na tela Configurações de Internet confirme as configurações da sua placa de REDE EXTERNA e clique em Avançar.Na tela Bem-vindo… Clique em Avançar. . Na tela Seleção do Modelo de Rede selecione Firewall de borda e clique em Avançar. Na tela Configurações de LAN (Rede Local) selecione sua placa de REDE INTERNA e clique em Avançar. depois clique em Concluir. De volta à tela Assistente para Introdução clique em Definir opções de implantação. Cerifique-se de que todas as configurações referentes ao seu domínio estão corretas e clique em Avançar. Na tela Concluindo… Clique em Concluir. Na tela de Bem-Vindo… Clique em Avançar.De volta à tela Assistente para Introdução clique em Definir configurações do sistema. . Na tela Bem-vindo… Clique em Avançar. Na tela Instalação de Atualizações da Microsoft selecione Use o serviço de Atualizações da Microsoft para verificar atualizações (recomendado) e clique em Avançar. Clique em Avançar. Na tela Comentários de Cliente selecione Sim. desejo participar… e clique em Avançar. Fique tranquilo seus dados particulares não são enviados. Na tela Serviço de Relatório de Telemetria da Microsoft selecione Avançado. selecione todas as opções recomendadas para usufruir (mesmo que temporariamente) de todos os novos recursos de proteção do TMG 2010 e clique em Avançar. . Na tela Configurações de Atualizações de Assinaturas NIS selecione todas as opções recomendadas para usufruir do novo recurso de proteção conta Malware e clique em Avançar.Na tela Configurações de Recurso de Proteção do ForeFront TMG. clique em Monitorando e depois em Serviços. está desmarcada e clique em Fechar.Na tela Concluindo o Assistente… Certifique-se de que todas as opções estão corretas e clique em Concluir. Pronto a instalação e configuração inicial do ForeFront TMG está completa. Iremos configura-la mais adiante. Expanda o Nó do seu servidor TMG. no próximo post vamos configurar o cache do Forefront TMG 2010 . De volta a tela Assistente para Introdução cerifique-se que a opção Executar o Assistente para Acesso à Web. verifique se todos os serviços estão em execução. sem ser o disco do sistema operacional e onde o Forefront TMG está instalado. 3. é criado no local: unidade:\urlcache. selecione Diretiva de Acesso à Web. Além do espaço em disco o TMG reserva 10% da memoria RAM para armazenar objetos e “entrega-los” de forma mais rápida. Na guia Unidades de Cache. Você pode habilitar o cache ao executar o assistente para Acesso à Web ou pode habilitá-lo usando as instruções neste post. Em implantações grandes. 2. um arquivo de conteúdo de cache. Quando você configura uma unidade de cache. 4. É recomendável colocar o arquivo em um disco físico. 1. . Você pode ter mais arquivos de cache porem terá que armazena-lo em outra unidade. clique em Configurar Cache da Web. Você deve usar uma partição formatada do sistema de arquivos NTFS para o cache. Por padrão. O tamanho máximo de um arquivo de cache em uma única unidade é de 64 GB. Alguns pontos que devemos levar em consideração para habilitarmos o cache. após a instalação. e a unidade do cache deve ser local. Configurando o cache. Dir1. selecione a entrada do servidor e clique em Configurar. é recomendado que um disco rígido de alto desempenho seja usado. Isso reduz a contenção no sistema e no disco de inicialização. e em Tarefas Relacionadas. nenhum espaço é definido para o cache. como por exemplo a unidade E:\ e assim por diante.cdat. Na árvore do console de Gerenciamento do Forefront TMG. Mais RAM fornece desempenho mais rápido para atender ao conteúdo em cache. Nesse post vamos usar a unidade D:\.Configurando Cache Forefront TMG 2010 O TMG usa o cache de objetos solicitados frequentemente para aprimorar a velocidade do acesso à Web e o desempenho da rede. clique em OK para finalizar a configuração e em Fechar para encerrar o assistente. no nosso caso a unidade D:\ e. Clique em Aplicar.Selecione a unidade necessária. em Tamanho máximo do cache. O cache é configurado com sucesso. Clique em Definir para salvar a configuração. Na tela de Aviso do Forefront TMG selecione Salvar as alterações e reiniciar os serviços e clique em OK. Para confirmar as alterações clique em OK. especifique o tamanho máximo em megabytes que vamos configurar com 1024 MB = 1GB. . no próximo post vamos criar nossa primeira Regra de Firewall. Finalizamos a configuração do cache do Forefront TMG 2010. O arquivo de cache Dir1.cdat é criado com sucesso. .O Serviço Firewall do Microsoft Forefront TMG será reiniciado. clique no nó Diretiva de Firewall. após a instalação do TMG e configuração do Cache você já pode criar a sua Diretiva de Firewall que é liberar o trafego DNS para consultas externas assim seus clientes poderão acessar sites da internet. como na imagem abaixo: Reparem que ao efetuarmos um teste de consulta recursiva ele falha: Vamos solucionar esta questão criando uma Diretiva de Firewall que libera trafego DNS. .Liberando Tráfego DNS Forefront TMG 2010 Seguindo a configuração do ForeFront TMG 2010. Na árvore do console de Gerenciamento do Forefront TMG. Considerando que você já tenha um Encaminhador (Foward) configurado no seu servidor DNS. Primeiro passo é criar um objeto computador que representa os nossos servidores DNS interno e externo. Clique em Procurar… Informe o nome de host do seu servidor e clique em Localizar. Clique novamente em Novo e selecione Computador.No painel Ferramentas. Será retornado o endereço IP do seu servidor DNS Clique em OK e em OK novamente para confirmar a criação do objeto computador. selecione Objetos de Rede clique em Novo e selecione Computador. . Informe o nome e o endereço IP do seu servidor DNS Externo (Encaminhador) e clique em OK. Os objetos Computadores são criados com sucesso. . Para confirmar as alterações clique em OK. Clique em Aplicar. Em Ação da Regra selecione Permitir e clique em Avançar.Selecione Tarefas e clique em Criar Regra de Acesso. Informe um nome amigável para sua regra e clique em Avançar. Em Protocolos clique em Adicionar. . clique em Adicionar e depois em Fechar. Em Origens da Regra de Acesso clique em Adicionar… Expanda Computadores e selecione o objeto Computador BABOODC criado anteriormente.Expanda Protocolos Comuns e selecione DNS. . clique em Adicionar e depois em Fechar. Em Protocolos clique em Avançar. clique em Adicionar e depois em Fechar.Em Origens da Regra de Acesso clique em Avançar. Em Destinos da Regra de Acesso clique em Avançar. Em Destinos da Regra de Acesso clique em Adicionar… Expanda Computadores e selecione o objeto Computador DNS Externo criado anteriormente. . Em Conjuntos de Usuários clique em Avançar. . Para confirmar as alterações clique em OK. Clique em Aplicar. Vejam como fica a Regra de Acesso. Agora vá até as propriedades do seu servidor DNS na aba Monitoramento verifique novamente o status de uma consulta recursiva é Aprovado. Verifique as configurações da Diretiva e clique em Concluir. .É isso pessoal nossa próxima regra será uma regra de acesso web utilizando a categorização de url. o Forefront TMG consulta o MRS para determinar a categorização do site. Se o site tiver sido categorizado como uma categoria ou um conjunto de categorias de URL bloqueadas. Aprimoramento da produtividade da sua organização. A categorização padrão de um site específico é determinada pelo MRS (Serviço de Reputação da Microsoft) e pode ser editada pelo administrador de sistema do Forefront TMG. que podem ser usados para simplificar a configuração de diretivas do Forefront TMG. atividades criminosas ou pornográficos. selecione Diretiva de Acesso à Web. As categorias são agrupadas por conjuntos de categorias. ódio ou compras). Acesse o portal do MRS (Serviço de Reputação da Microsoft) Benefícios da aplicação da filtragem de URL Os benefícios da aplicação da filtragem de URL incluem: 1. exclusão de sites financeiros de inspeção HTTPS devido a considerações de privacidade. Exclusão de sites de inspeção pelos HTTPS e mecanismos de inspeção de malware. Aprimoramento da sua segurança impedindo o acesso a sites mal-intencionados. e em Tarefas. O Forefront TMG tem mais de 70 categorias de URL. . A filtragem de URLs concede ou nega acesso a sites de acordo com categorias de URL (como pornografia. Quando uma solicitação para acessar um site é recebida. como jogos ou mensagens instantâneas. Redução dos riscos de responsabilidade impedindo o acesso a sites que exibem materiais impróprios. por exemplo. por exemplo. Vamos a nossa regra: Na árvore do console de Gerenciamento do Forefront TMG. impedindo o acesso a sites não produtivos. 5. 2. como sites de phishing.Filtragem de URL no ForeFront TMG 2010 Nesse post vamos conhecer o novo recurso do ForeFront TMG 2010 que é a filtragem de URLs. clique em Criar Regra de Acesso. mal-intencionado. como as categorias de URL mais procuradas. 4. 3. como sites de racismo. Uso de relatórios relacionados à filtragem de URL e entradas de log para conhecer o uso da Web na sua organização. anonimato ou drogas ilegais. Uma categoria de URL é uma coleção de URLs que correspondem a um critério predefinido. o Forefront TMG bloqueará a solicitação. drogas. pois iremos explorar este novo do FroFront TMG 2010 mais adiante. Em Ação da Regra selecione Permitir e clique em Avançar. .Informe um nome amigável para a sua Regra de Acesso e clique em Avançar. selecione Não Habilitar a inspeção de malware para esta regra e clique em Avançar. Em Protocolos verifique se estão adicionados os protocolos HTTP e HTTPS e clique em Avançar. Em Inspeção de Malware vamos deixar desabilitado para o momento. selecione o objeto Interno clique em Adicionar e em Fechar. clique em Avançar. De volta à Origens de Regra de Acesso. Em Destinos de Regra de Acesso clique em Adicionar… .Em Origens de Regra de Acesso clique em Adicionar… Expanda Redes. Expanda Redes. selecione o objeto Externo. De volta à Origens de Regra de Acesso clique em Avançar. Em Conjuntos de Usuários clique em Adicionar… . clique em Adicionar e em Fechar. Em Conjuntos de Usuários selecione Todos os Usuários e clique em Remover. clique em Adicionar e em Fechar. Antes de aplicar as alterações clique com o botão direito na Diretiva de Acesso recém-criada e selecione Propriedades. . De volta à Conjuntos de Usuários.Selecione o objeto Todos os Usuários Autenticados. Revise as configurações da Diretiva de Acesso e clique em Concluir. clique em Avançar. Nas Propriedades de Acesso Web (Nome da Regra) selecione a tab Para e clique em Adicionar… Expanda Categorias de URL. . no nosso caso vamos bloquear as categorias Chat. De volta à Propriedade de Acesso Web clique em OK. e adicione as categorias que deverão ser bloqueadas de acordo com a sua necessidade. Clique em Adicionar e ao termino em Fechar. Nudez e Pornografia. Resultado da Diretiva de Acesso. Para confirmar as alterações clique em OK.Clique em Aplicar. . Clique em Consultar Categoria de URL. . Nudez e Pornografia baseado na categorização de URL feita pelo MRS (Serviço de Reputação da Microsoft).Ela está permitindo os protocolos HTTP e HTTPS da rede Interna para a rede Externa (Internet) para todos os usuários que são autenticados. Digite a URL que deseja consultar e clique em Consulta. Você pode consultar uma URL para saber em qual categoria ela se encaixa. porém está bloqueando sites de Chat. br que é categorizada como Blogs/Wiki.Porem pode haver raríssimos casos em que a categoria não corresponde ao critério desejado.com. como é o caso da URL batepapo.uol. . Clique em Configurar Substituições de Categoria de URL. clique em Adicionar… . Na tab Substituições de Categoria de URL.Para estes casos específicos você pode substituir a categoria de URL. Digite a URL a ser substituída seguida de * selecione a Categoria de URL. Verifique se a URL foi substituída e clique em OK. . nesse caso Chat e clique em OK. .com.Clique em Aplicar.br.uol. verificamos que ela se encontra na categoria Chat que foi substituída pelo Administrador do ForeFront TMG 2010. Após alguns minutos se fizermos a Consulta de Categoria novamente da URL batepapo. Para confirmar as alterações clique em OK. Nudez ou Pornografia o usuário receberá a pagina de bloqueio erro 502.Ao tentar acessar qualquer URL categorizada como Chat. . ou seja.Vejam como ficou a Diretiva de Acesso. . reparem que as categorias ficaram “cortadas” isso significa que elas estao nas excessões de acessso. estão sendo usada para bloqueio. . sites de noticias. Inspeção de Malware no ForeFront TMG 2010 Olá Pessoal. como por exemplo. veja como ficaria a Diretiva. fico devendo a Inspeção de Malware que será abordada no próximo post. vimos como controlar o acesso Web usando o novo recurso de Filtragem de URL do ForeFront TMG 2010 e também vimos como consultar e substituir uma categoria de URL. Então é isso pessoal.Você pode usar as categorias para liberar acesso somente a determinados conteúdos. Todo administrador de sistemas sabe que o trafego Web pode trazer alguns malefícios como spywares, vírus e malwares. O Forefront TMG usa definições de vírus conhecidos, worms e outros malwares que baixa do Microsoft Update ou WSUS (Windows Server Update Services), para inspeção de malware. O Filtro de Inspeção de Malware do Forefront TMG verifica páginas da Web e arquivos solicitados por computadores cliente, e limpa o conteúdo HTTP prejudicial ou bloqueia sua entrada na rede interna. Ao habilitar a inspeção de malware em regras de acesso à Web, o Filtro de Inspeção de Malware examina páginas da Web e arquivos solicitados por computadores cliente, e limpa o conteúdo HTTP prejudicial ou bloqueia sua entrada. Embora seja recomendável que você mantenha as configurações padrão, você poderá definir opções de inspeção de malware para uma regra que sejam diferentes daquelas definidas globalmente. Vamos definir a inspeção de Malware para a regra Acesso Web Na árvore do console de Gerenciamento do Forefront TMG, selecione Diretiva de Acesso à Web a qual deseja habilitar a inspeção de malware clique com o botão direito e selecione Propriedades. Selecione a tab Inspeção de Malware e marque a box Inspecionar conteúdo baixado de servidores Web para clientes, e clique em OK. Clique em Aplicar. Para confirmar as alterações clique em OK. Pronto a inspeção de Malware já está habilitada, quando um cliente fizer download de arquivo da internet, o arquivo será recuperado como na imagem abaixo. Inspecionado, baseado nas definições baixadas do Microsoft Update ou WSUS (Windows Server Update Services). Ao termino da verificação o arquivo será liberado para download. É possível habilitar a inspeção de Malware no momento de criação de uma Diretiva de Acesso à Web, basta selecionar Habilitar inspeção de malware para esta regra no Assistente de criação. Também é possível configurar exceções tanto de Destino como de Origem que não irão passar pela inspeção de Malware. Na Central de Atualizações é possível verificar o status de atualização das definições de inspeção de Malware. combatendo pragas e ameaças online de forma eficaz. Bom nesse post vimos como funciona o novo recurso de inspeção de Malware do ForeFront TMG 2010 que traz maior segurança ao ambiente corporativo . Criando Grupos de Acesso no ForeFront TMG 2010 Olá pessoal! . vamos “importar” o grupo ACESSO LIBERADO para o Conjunto de Usuários do ForeFront TMG 2010. Informe o nome que deseja dar ao objeto. recomendo que seja o mesmo usado no Active Directory.Um dos grandes benefícios do ISA Server e agora do ForeFront TMG 2010 é a capacidade de integração com o Active Directory. . esse recurso permite que você gerencie melhor o acesso web baseado nos grupos de segurança ou contas de usuários do AD por exemplo. Na árvore do console de Gerenciamento do Forefront TMG. Na imagem abaixo temos dois grupos de segurança do AD. expanda Usuários e clique em Novo. selecione Ferramentas. selecione Diretiva de Firewall. Em Usuários clique em Adicionar… Selecione Usuários e grupos do Windows… . .Em Selecionar Usuários ou Grupos clique em Locais… Altere o local para a árvore do seu domínio e clique em OK. após o nome ser retornado corretamente clique em OK. De volta a Usuarios clique em Avançar. .Informe o nome do seu grupo de segurança e clique me verificar nomes. . Clique em Aplicar.Revise se as configurações estão corretas e clique em Concluir. Para confirmar as alterações clique em OK. O grupo será adicionado aos Usuários do ForeFront TMG 2010. . E você poderá usa-lo nas suas Diretivas de Acesso Web para gerenciar de maneira simplificada os acessos à internet da sua rede corporativa. você pode importar também contas de usuários diretamente no lugar de grupos de segurança Configurando VPN no ForeFront TMG 2010 Olá pessoal! .Nesse post vimos como importar grupos de segurança do Active Directory para o ForeFront TMG 2010. .Nesse post vamos ver como configurar o acesso VPN no ForeFront TMG 2010. veja o exemplo no diagrama abaixo: Primeiro passo é criar a conta de usuário e o grupo de segurança que serão usados para acesso VPN. No nosso cenário um cliente externo irá se conectar a rede corporativa de forma segura através do ForeFront TMG 2010. como na imagem abaixo: A conta de usuário deve ter o Acesso de discagem permitido. E ser membro do Grupo de segurança que terá direito de acesso no ForeFront TMG. . selecione Diretiva de Acesso Remoto (VPN) clique em Configurar o Método de Atribuição de Endereço. .Na árvore do console de Gerenciamento do Forefront TMG. De volta a Console de Gerenciamento clique em Habilitar Acesso a Cliente VPN.Selecione Protocolo DHCP e clique em OK. . .De volta a Console de Gerenciamento clique em Especifique Usuários do Windows. Na tab Grupos clique em Adicionar… . .Em Selecionar Usuários ou Grupos clique em Locais… Altere o local para a árvore do seu domínio e clique em OK. Informe o nome do grupo de segurança e clique em OK. De volta a tab Grupos clique em Aplicar. . . clique em OK.Na tab Geral você pode definir o numero máximo de conexões VPN simultâneas que o ForeFront TMG 2010 irá aceitar. Clique em Aplicar. Para confirmar as alterações clique em OK. você deve criar uma Diretiva de Firewall que permita esse tipo de acesso tome como exemplo a regra criada no post anterior alterando as opções para que fique igual à imagem abaixo: . selecione Monitorando e clique em Serviços. aguarde o Serviço de Acesso Remoto iniciar. Na árvore do console de Gerenciamento do Forefront TMG. Para que os clientes VPN tenham acesso a recursos da sua rede interna como compartilhamentos de rede. . Em Escolher uma opção de conexão clique em Conectar a um local de trabalho e clique em Avançar.. Em Como deseja se conectar? Clique em Usar minha conexão com Internet (VPN).Configurando VPN no Windows 7 Abra a Central de redes e compartilhamento e clique em Configurar uma nova conexão ou rede. Em Digite o seu nome de usuário e a senha forneça os dados necessários e clique em conectar. .Em Digite o endereço da Internet com o qual se conectar informe os dados públicos da sua infraestrutura de rede e clique em Avançar. .O assistente irá iniciar a conexão VPN. E a conexão VPN será estabelecida com sucesso. Defina o Local de rede como Rede Corporativa. . Edite o filtro com o Tipo de Sessão igual a Cliente VPN e clique em Adicionar à Lista.Para verificar as conexões VPN no ForeFront TMG clique em Monitorando. . selecione Sessões e clique em Editar Filtro. . Serão exibidas as conexões VPN ativas.E clique em Iniciar Consulta. Nesse post vimos como liberar o acesso VPN de clientes externos para a rede interna de forma segura com o ForeFront TMG 2010 Erro 502/12156 ISA Server e ForeFront TMG 2010 Olá Pessoal! Para quem administra um servidor ISA ou TMG e os clientes estão recebendo a seguinte mensagem: Error Code: 502 Proxy Error. (12156) . (12156) Código de erro: erro 502 de proxy: A mensagem HTTP inclui um cabeçalho sem suporte ou uma combinação sem suporte de cabeçalhos. The HTTP message includes an unsupported header or an unsupported combination of headers. execute no servidor ISA/TMG e reinicie a maquina: Windows Registry Editor Version 5.com/kb/935693 Limpando Cache no ForeFront TMG 2010 Olá pessoal. . no painel central selecione Serviços. Vamos ver duas maneiras de executar esse procedimento. selecione Monitorando. Na árvore do console de Gerenciamento do Forefront TMG. selecione o serviço Firewall do Microsoft Forefront TMG e no painel direito clique em Parar o Serviço Selecionado. O Forefront TMG fornece cache de objetos solicitados frequentemente para aprimorar a velocidade do acesso à Web e o desempenho da rede. Para resolver esse problema salve o código abaixo como um arquivo .cdat.Esse problema ocorre se uma resposta do servidor da Web contém um cabeçalho HTTP que começa com um espaço ou com um caractere TAB. Limpando todo Cache Este procedimento é bastante simples e consiste em parar o serviço de Firewall do TMG. excluir o arquivo Dir1. mas em alguns casos pode ser necessário “limpar” ou “excluir” o cache para atualizar o conteúdo.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\Web Filters] “DROP_CONTINUATION_LINES”=dword:00000001 Maiores detalhes você encontra em http://support.reg.microsoft. Se você for solicitado para excluir o arquivo . Localize a pasta Urlcache. Na pasta Urlcache.Certifique-se de que o serviço é parado com sucesso.cdat.cdat e. clique em Sim . Retorne a Console do Forefront TMG e selecione o serviço Firewall do Microsoft Forefront TMG e clique em Iniciar Serviço Selecionado.cdat porque ele é muito grande para a Lixeira. em seguida. Quando você for solicitado para confirmar a remoção do arquivo . clique em Sim. localize o arquivo que possui a extensão de nome de arquivo .cdat. . clique em Excluir . Clique com o botão direito no arquivo . esse processo irá extrair o arquivo CacheDir. Execute a ferramenta CacheDir. localize a URL que deseja remover do cache . Você deve copiar o arquivo CacheDir.exe. é necessário utilizar a ferramenta Cachedir. faça download do pacote CacheDirPack.exe para a pasta C:\Program Files\Microsoft Forefront Threat Management Gateway.exe execute a instalação.Com esse procedimento todo o cache do Forefront TMG é excluído. Limpando cache especifico Para limpar um cache especifico como de um único site.exe por padrão na pasta C:\Program Files (x86)\Microsoft Forefront TMG Tools\CacheDir. por exemplo. Clique com o botão direito sobre a URL e selecione Mark as Obsolete. A URL será removida do cache do Forefront TMG 2010. Nesse post vimos duas maneiras para excluir conteúdos do cache do Forefront TMG 2010 . Para confirmar clique em Sim. dat e Wspad. Na guia Tarefas. clique em Editar Rede Selecionada. clique na guia Redes e selecione a rede na qual você deseja escutar as solicitações WPAD dos clientes (geralmente a rede interna padrão). clique em Sistema de Rede. Para configurar o servidor de WPAD Na árvore do console de Gerenciamento do Forefront TMG. Neste post vamos configurar a rede na qual os clientes estão localizados para publicar informações de descoberta automática e como especificar a porta na qual o computador do Forefront TMG deve disponibilizar as informações de descoberta automática.dat estão localizados. .Habilitando o WPAD Forefront TMG 2010 Você pode usar o servidor do Forefront TMG como o servidor de WPAD no qual os arquivos de configuração Wpad. No painel de detalhes. Na guia Descoberta Automática. Em Usar esta porta para solicitações de descoberta automática. especifique a porta na qual o servidor de WPAD do Forefront TMG deverá escutar as solicitações WPAD dos clientes. Clique em Aplicar. selecione Publicar informações de descoberta automática desta rede. . . Bom. no próximo post vamos ver como configurar a entrada WPAD no servidor DNS.Para confirmar as alterações clique em OK. agora o Forefront TMG já está com o WPAD habilitado. da qual as solicitações de descoberta automáticas dos clientes serão recebidas (geralmente a rede interna) dessa maneira ao efetuar uma consulta DNS os clientes conseguiram acessar automaticamente o script de configuração do WPAD.msc e abra a snap-in de gerenciamento do servidor DNS. digite dnsmgmt. Para configurar um alias para a entrada WPAD Clique em Iniciar. . Na árvore de console.Configurando entrada WPAD no DNS É possível configurar uma entrada DNS no servidor DNS do controlador de domínio da rede. clique com o botão direito do mouse na zona de pesquisa direta do domínio e clique em Novo Alias (CNAME). Em Nome do alias. digite WPAD. . Clique em OK e o resultado deve ser o seguinte: Clique em OK e verifique o se o registro foi criado com sucesso. . clique em Procurar para pesquisar o namespace DNS do nome do servidor do Forefront TMG.Em Nome totalmente qualificado para host de destino. A função Servidor DNS no Windows Server 2008 apresenta uma lista global de consultas não autorizadas para reduzir a vulnerabilidade associada às atualizações do DNS. executando o comando “nslookup wpad” a resposta deve ser a seguinte: É extremamente importante que esta consulta funcione corretamente. Para corrigir esse problema abra o editor de registro. . descrito em 962238. Nesse caso pode haver problemas de resolução de nomes do WPAD.Verifique se o servidor está respondendo as consultas corretamente. Isso pode afetar a implantação WPAD. Navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters . Primeiro de tudo. Clique em OK. é possível habilitar o suporte ao cliente TMG para a definição da rede interna no servidor TMG como você pode ver na imagem seguinte. recomendo não remove-lo. Existem apenas algumas configurações no servidor Forefront TMG. que são responsáveis por configurar o comportamento do cliente Forefront TMG. neste post veremos como distribuir e instalar o software Cliente do Forefront TMG nos computadores clientes do Forefront TMG. nas edições Standard e Enterprise.msi do Windows Installer e está disponível no DVD do Forefront TMG. nesse post vimos configurar corretamente a entrada WPAD no servidor DNS Instalando o Cliente TMG via GPO Olá Pessoal. O software Cliente do Forefront TMG inclui o arquivo ms_fwc. A boa noticia é que se você já possuía a entrada WPAD no DNS antes de instalar o 2008 server esse problema não ocorre. Pode ser necessário reiniciar o servidor após esse procedimento. Então é isso pessoal. Repare que há um caractere após a entrada isatap.Abra o valor GlobalQueryBlockList e remova a entrada wpad. Nos dois últimos post vimos como configurar a descoberta automática do Forefront TMG na nossa infraestrutura de rede. A instalação do Cliente do Forefront TMG é permitida em sistemas operacionais de 32 e 64 bits. . msi.Abra o DVD de instalação do Forefront TMG 2010 navegue até a pasta \client e copie o arquivo MS_FWC. . msc Editor de Objeto de Diretiva de Grupo. Com permissão de leitura para o grupo Todos. .Cole em um compartilhamento de rede. Abra o gpmc. Expanda Configurações do Computador / Diretivas / Configurações de Software / Instalação de Software clique com o botão direito.Crie ou edite uma GPO que afete as contas de computadores que deverão ter o TMG Client instalado. Novo e selecione Pacote… . msi foi copiado. . selecione o pacote e clique em Abrir. Na tela Implantar Software.Localize o compartilhamento de rede em que o pacote MS_FWC. selecione Atribuído e clique em OK. Feche o Editor de diretiva de grupo.O resultado deve ser semelhante: Na mesma GPO configure o Windows Installer para “Sempre instalar com alto privilegio“. . Após a aplicação da GPO nos estações o TMG Client será instalado na próxima inicialização. Verifique se a GPO foi aplicada executando o comando “gpresult /Z” na estação cliente. O ícone do TMG Client.Verificando o Visualizador de eventos da estação é possível encontrar o log de instalação do TMG Cliente. irá aparecer na systray. . Clicando em Avançado… você pode observar que o Client TMG primeiro consulta o registro do AD Marker para depois consultar o DNS e DHCP no processo de descoberta automática. .Para verificar as configurações do Client TMG. clique com o botão direito no ícone. selecione propriedades e clique em Configurações. pois você pode remover o Client TMG usando essa GPO. . No próximo post vamos explorar os benefícios do Client TMG e desmistifica-lo. Desmistificando o Cliente TMG Olá Pessoal. esta é uma excelente pratica.Nesse post vimos como distribuir o Client TMG via Group Policy. essa não é a função do Cliente TMG. mas apenas com base no tráfego TCP e UDP. Dessa forma eu posso definir uma regra de acesso RDP somente para usuários autenticados. o pedido é direcionado para o servidor Forefront TMG 2010 para processamento. suporte a aplicativos e controle de acesso para computadores cliente. a descoberta automática. segurança avançada. Nenhum encaminhamento infraestrutura específica é necessária devido ao processo de Winsock.XXX. Perceba que em todo momento o trafego é autenticado.XXX.XXX). Tenho visto em muitos cenários que os administradores de sistemas não implantam o Cliente TMG por temerem que ele funcione como o Firewall do Windows ou que ele possa fechar/bloquear portas na maquina cliente. Quando um computador cliente executando o Cliente TMG faz uma requisição de Firewall. Sem o Cliente TMG instalado isso não seria possível. O Cliente TMG envia as credenciais do usuário de forma transparente com cada solicitação.Neste post eu vou tentar esclarecer para vocês o que realmente é o Cliente TMG ou nas versões do ISA Server o Cliente de Firewall. permitindo que você crie uma política de firewall no TMG Forefront 2010 computador com as regras que usam as credenciais de autenticação fornecidas pelo cliente. O cliente do Forefront TMG fornece notificações da inspeção HTTPS. Na imagem abaixo temos o log de uma maquina que executa o Cliente TMG e está fazendo uma conexão com cliente RDP (mstsc) em um servidor da internet (201. . certo? . Acho que agora não existem mais motivos para continuar com maquinas sem o Client TMG/Firewall instalado. o acesso será negado. pois não é autenticado.Caso o Cliente TMG seja removido ou não esteja em execução na maquina.
Copyright © 2024 DOKUMEN.SITE Inc.