-
先日 Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 日本語版の提供が開始されました。 Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 Release Notes for Forefront TMG 2010 SP1 この SP1 ですが、以下のサイトで紹介がされている方法でスリップストリームインストールが可能となっているようです。 How to Slipstream Service Pack 1 for TMG TechNet...
-
証明書が作成できたのでスタンドアロン アレイを構築していきたいと思います。 今回はこの環境を作りたいと思います。 アレイ マネージャーにはサーバー認証証明書と、ルート証明書。 アレイメンバーにはルート証明書 が必要となりますので先ほどエクスポートしたファイルをコピーしておきます。 また、今回はサーバーの IP を DNS に登録していませんので、HOSTS で解決できるよう以下の設定をしています。 # IP は塗りつぶしています。 [アレイ マネージャーにルート証明書をインポート] まずはアレイマネージャーにルート証明書をインポートします。 ファイル名を指定して実行で [mmc] を実行します...
-
ワークグループ環境の TMG のアレイ構成の構築方法が大体わかってきましたのでまとめてみたいと思います。 ワークグループ環境でも [スタンドアロン アレイ] / [エンタープライズ アレイ] を構築することが可能です。 ただし、ドメイン環境と異なり [証明書] が必要となります。 証明書は サーバー認証証明書 ルート証明書 (サーバー認証証明書に署名した証明機関の証明書) の 2 種類が必要となります。 サーバー認証証明書はアレイ マネージャーに、ルート証明書はアレイに参加するメンバーサーバーに導入します。 # ルート証明書はアレイ マネージャーにもインストールする必要があります。 これらの証明書は...
-
続いて作成した EMS に TMG サーバーをアレイを作成して参加させます。 現在は、以下のような環境になっているので、まずは、[TMG-01] をアレイに参加させたいと思います。 [アレイに参加] TMG-01 に EMS サーバーの [ローカル Administrators グループ] に登録されているドメインユーザーでログオンした状態で 作業を開始しています。 [Forefront TMG の管理] を実行します。 [Forefornt TMG (<サーバー名>)] を右クリックして、[アレイへの参加 ]をクリックします。 [次へ] をクリックします。 [EMS サーバーによって管理されるアレイに参加します...
-
続いてはエンタープライズ アレイの構築になります。 エンタープライズ アレイの場合、[ E nterprise M anagement S erver] (EMS) という役割のサーバーが必要となります。 この EMS ですが、TMG サーバー (TMG の F/W 機能を持つサーバー) と共存することができません。 そのため、エンタープライズ アレイを構築する場合は、別途 EMS 用のサーバーを準備する必要があります。 エンタープライズ アレイの構築としてまずは、EMS のインストールについてまとめていきたいと思います。 [環境の概要] 今回の環境ですが最初の環境は以下の図のようになっています...
-
TMG (Threat Management Gateway) 2010 で冗長構成をとるためには、TMG でアレイを構成する必要があります TMG のアレイには以下の 2 種類があります。 スタンドアロン アレイ エンタープライズ アレイ ドメイン環境とワークグループ環境では構築の方法が異なるようなのですが、今回は非武装 AD に参加している TMG が 2 台ある状態で、 スタンドアロン アレイ を構築する手順をまとめてみたいと思います。 # ワークグループ環境の場合は、サーバー認証証明書とそのサーバー認証証明書のルート証明書が必要となります。 [環境の概要] 今回の環境ですが、最初は以下のような状態で構築しています...
-
TMG 2010 ではネットワーク検査システム ( N etwork I nspection S ystem) という機能が追加されています。 バーチャルパッチといわれるような機能に相当し、TMG で既知の脆弱性の検査をし脆弱性を狙った攻撃をブロックする機能になります。 検査される内容に関しては、以下のように管理されており基本的には MS のセキュリティ情報と対応付けられており、 それぞれのセキュリティの問題に対して、署名という形でブロックする情報が管理されています。 この情報は Microsoft Update 経由で更新ができるようになっており、定期的に更新ができるようになっています。 検査の内容に関しては署名セットという形でパックされた形で管理されており...
-
先週の頭まで、MCP 70-659 の勉強で検証環境に VDI や RemoteApp を構築していました。 VDI と RemoteApp は RD (リモートデスクトップ) Web アクセスで公開することができます。 私の使っている検証環境には TMG 2010 があるので、リバースプロキシ越しで使うことができるのかな? と思って RD Web アクセス用のルールを作って試してみました。 ■TMG 2010 のファイアウォールポリシー リバースプロキシはファイアウォールポリシーで設定をすることになります。 パスの変換ルールとして [RDWeb] を許可するルールを作る必要があります...
-
ISA 2006 でも同じだと思います。 検証環境の Exchange Server 2010 の OWA は TMG 2010 の後ろに配置しています。 帰宅の電車の中で時間があったので、Outlook Anywhere を設定しようとしていたのですが、プロファイル設定時に サーバーに接続することができませんでした。 TMG 2010 のログを確認していたところ、OWA 用のアクセスルールで賄えていないパスに対してアクセスされていました。 そういえば、Outlook Anywhere は [ /rpc ] に対してアクセスできる必要がありましたね。 Outlook Anywhere での ISA...
-
TMG 2010 には Exchange 用のアクセスルールとして、Exchange 2010 に対応したものが含まれています。 作成されたルールでは、パスが以下のように設定されます。 TMG 2010 で作成した Exchange 2007 用のルールが下になります。 ISA 2006 で作成した Exchange 2007 のルールが下になります。 Exchange 2007 のルールは TMG も ISA も同じですね。 Exchange 2010 と Exchange 2007 の違いは、[ecp] と [Exchweb] になるようですね。 [Exchweb] は予定表やアドレス帳の制御機能を提供していたディレクトリになるようです...
-
ISA 2006 の設定が終了したので、開始ウィザードの内容を実行していきたいと思います。 [Forefront TMG の管理] を実行します。 以前に自動的に起動するを無効にしていなかった場合は、管理コンソール起動時に開始ウィザードが起動します。 手動で起動する場合には、サーバーを選択した状態のタスクから [開始ウィザードの起動] をクリックします。 [ネットワーク設定の構成] をクリックします。 [次へ] をクリックします。 ネットワークテンプレートの種類を選択して、[次へ] をクリックします。 今回は NIC が一枚だけですので、[単一ネットワーク アダプター] しか選択ができない状態となっています...
-
ISA 2006 の設定を TMG 2010 に移行できるかを検証してみました。 ISA 2006 から設定をエクスポート ISA 2006 で [ISA Server の管理] を起動します。 [エクスポート (バックアップ)] をクリックします。 [次へ] をクリックします。 [機密の情報をエクスポートする] と [ユーザーアクセス許可設定をエクスポートする] を有効にして、 [次へ] をクリックします。 ファイルの出力場所を選択して、[次へ] をクリックします。 [完了] をクリックします。 [OK] をクリックします。 エクスポートしたファイルを TMG 2010 に移します...
-
Forefront Threat Management Gateway 2010 RTM が TechNet サブスクリプションでダウンロードできるようになったので、 さっそくインストールしてみました。 [準備ツールの実行] をクリックします。 [次へ] をクリックします。 [ライセンス条項に同意します] を有効にして、[次へ] をクリックします。 [Forefront TMG のサービスと管理] を選択し、[次へ] をクリックします。 [Forefront TMG インストール ウィザードの起動] を有効にして、[完了] をクリックします。 [次へ] をクリックします。 [使用許諾契約書に同意します...
-
TMG 2010 RC のインストールをまとめてみたいと思います。 今回は Windows Server 2008 R2 + TMG 2010 RC の環境を構築しています。 インストーラーで役割までインストールできるのでかなり簡単に導入できます。 ISA 2006 は CSS をインストールしてから、ISA をインストールするパターンで構築しましたが、 今回は両方を一度にインストールする方法でインストールしてみたいと思います。 [役割 / 機能のインストール] サーバーマネージャで必要となる役割をインストールしなくても、インストーラーから必要なものを 一括でインストールすることができます。 インストーラーを起動します...
-
ISA 2006 には Windows Update 用のルールがデフォルトで作成されていますが、現在の Windows Update で 必要となるドメイン名セットがいくつか入っていません。 # 投稿を書く前に設定をしてしまったので、具体的にどのドメイン名が抜けていたのかが記載できません…。 必要となるドメイン名は以下の KB に記載されています。 ISA Server を実行するサーバーを経由して Windows Update Version 6 の Web サイトにアクセスするときにエラーが発生する Windows Update の設定ですが、既定のポリシーでは設定されている個所が 2 個所ありそうです...