Contents
I. Yêu cầu cài đặt TMG 2010 ... 2
II. Cài đặt TMG 2010 ... 4
III. Network Load Balancing trên TMG 2010... 14
1/ Giới thiệu Network Load Balancing trên TMG 2010. ... 14
2/ Mô hình triển khai Network Load Balancing TMG 2010 ... 16
3/ Triển khai Network Load Balancing trên TMG 2010 ... 18
4/ Update service pack cho TMG ... 24
5/ Cấu hình Service Principle Names cho Intra-Array communications ... 27
6/ Chuẩn bị trước khi cấu hình Network Load balancing TMG 2010 ... 29
7/ Join Array Standalone TMG 2010 ... 36
8/ Tạo Rule để enable Network Load Balancing giao tiếp trên Intra-Array. ... 47
9/ Enable Load balancing TMG 2010 ... 58
I. Yêu cầu cài đặt TMG 2010
- Forefront Threat Management Gateway (TMG) 2010 là phiên bản
"Firewall" mới của Microsoft thay thế cho sản phẩm ISA Server 2006. Với những tính năng bảo mật hệ thống được nâng cao đáng kể.
- Yêu cầu tối thiếu đối với hệ thống:
Hệ điều hành hỗ trợ: Windows Server 2008 SP2 or Windows Server 2008 R2
II. Cài đặt TMG 2010
- Nhấn Next để tiến hành cài đặt TMG 2010.
- Các bạn chọn “Run Windows Update” để kích hoạt Windows Update.
- Nhấn “Install” để tiến hành cài đặt các gói update mà windows update đã
- Sau khi cài đặt các update xong, chúng ta tiến hành chạy “Run preparation
- Check vào “I accept the terms of the License Agreements” và nhấn “Next”
- Chọn “Forefront TMG Services and Management” để cài đặt các
Preparation tool cho TMG service và management console để quản lý và cấu
Last edited: Jun 18, 2016 root, Jun 18, 2016
#1
2.
III. Network Load Balancing trên TMG 2010
1/ Giới thiệu Network Load Balancing trên TMG 2010.
Các PC trong Lan của chúng ta sẽ sử dụng default
gateway là Virtual IP. Traffic trong mạng LAN có thể load balancing chạy qua 2 Firewall để ra bên ngoài.
Các traffic đi ra bên ngoài và từ bên ngoài vô hệ
thống cũng sẽ được load blancing trên 2 TMG 2010.
Khi có 1 TMG server bị lỗi hoặc down thì vẫn còn 1
TMG khác đảm nhiệm để hệ thống vẫn hoạt động bình thư ng.
Network Load Balancing TMG 2010 sử dụng Array để các TMG thành viên join vào Array này. Traffic sẽ được load balancing trên các TMG thành viên nằm trong Array.
TMG 2010 lưu các dữ liệu cấu hình của nó thông qua 2 kỹ thuật mới được sử dụng trong Forefront TMG.
- EMS (Enterprise Management Server)
Enterprise Management Server (EMS) là một server
dùng để quản lý TMG Enterprise Array hoặc là một
standalone server để quản lý các TMG Firewall.
EMS phải được cài đặt trên một server domain
member và không có các dịch vụ Forefront TMG khác được cài đặt trên đó. có thể nâng cấp phiên bản Forefront TMG Standard thành Forefront TMG Enterprise mà không cần cài đặt lại.
- CSS (Configuration Storage Server)
Configuration Storage Server (CSS) có thể được cài
Mỗi TMG đều có một CSS local.
Chúng ta có thể cho một TMG join server vào một
TMG Array khác, TMG Server local sẽ dùng
Enterprise CSS (EMS). Khi Enterprise CSS (EMS)
được áp dụng, CSS local sẽ bị vô hiệu hóa.
2/ Mô hình triển khai Netwo
rk Load Balancing TMG 2010
- Để cấu hình NLB trên 2 TMG. Chung ta cần chuẩn bị 2 server TMG01 và
TMG02 đã join domain svuit.vn
- Domain Controller: đã nâng cấp domain svuit.vn
- Trước khi cài đặt Network Load Balancing TMG 2010, các bạn phải cấu hình chính xác các Network Adapter của TMG.
- Cấu hình IP trên TMG01
- Cấu hình IP trên TMG02
Last edited: Jun 18, 2016 root, Jun 18, 2016
2.
3/
Triển khai Network Load Balancing trên TMG 2010
1/ Cấu hình TMG 01:
- Cấu hình IP cho 3 interface trên TMG01 như sau:
Inside: 192.168.10.251 (dùng cho các PC bên trong
mạng LAN)
Intra-Array: 172.16.10.11 ( Dùng để giao tiếp giữa 2
Firewall TMG 2010)
Outside: 10.123.10.131 (Dùng để kết nối ra bên
- Các bạn vào phần “Networking của TMG01” và add đúng các Network cho
- Các bạn vào mục “System” sẽ thấy hiện tại chỉ có 1 TMG01 được quản lý
2/ Cấu hình TMG 02
Tương tự các bạn kiểm tra cấu hình IP trên các interface của TMG02 xem đúng chưa
Inside: 192.168.10.252 (dùng cho các PC bên trong
mạng LAN)
Intra-Array: 172.16.10.12 ( Dùng để giao tiếp giữa 2
Firewall TMG 2010)
Outside: 10.123.10.132 (Dùng để kết nối ra bên
- Các bạn vào phần “Networking” của TMG02 và add đúng các Network cho
TMG01 như hình dưới đây. Nếu chưa có đủ các interface thì các bạn add
root, Jun 18, 2016
#2
3.
4/ Update service pack cho TMG
- Các bạn cần đảm bảo cả 2 TMG đều được update lên phiên bản SP (Service Pack)
Nếu TMG của bạn đã được update service Pack 1 (hoặc cao hơn) thì có thể bỏ qua bước này. Tuy nhiên, nếu TMG của bạn có version thấp hơn thì bạn
nên update lên Service Pack 1 là tối thiểu. Nếu không khi bạn cấu hình
- Chọn server TMG mà bạn muốn update service pack và nhâp thông tin
Sau khi update xong thì bạn restart lại server TMG
Các bạn thực hiện update service pack tương tự trên TMG02 nhé
5
/ Cấu hình Service Principle Names cho Intra
-Array
communications
- Đảm bảo trên Activce Directory các bạn đã phân giải được domain name
Các CSS (Configuration Storage Server) của các TMG giao tiếp với nhau
thông qua card “Intra-Array” thì yêu cầuKerberos để yêu cầu các SPNs của
các TMG.
Code:
setspn -a ldap/[Intra-array DNS Name] [NETBIOS Name] setspn -a ldap/[Intra-array DNS Name] :2171 [NETBIOS Name]
Ví dụ Code:
setspn –a ldap/TMG01.svuit.vn TMG01
setspn –a ldap/TMG01.svuit.vn:2171 TMG01
- Để kiểm tra xem các SPN đã cấu hình chính xác chưa, chúng ta sử dụng
lệnh Code:
“setspn –L [NETBIOS Name]”
Notes: Chúng ta cần cấu hình SPN trên các TMG array member.
6
/ Chuẩn bị trước khi cấu hình Network Load balancing
TMG 2010
- Trên TMG01 các bạn vào “Firewall Policy > Toolbox” các bạn add TMG01
- Tương tự các bạn cũng thực hiện add TMG01 và TMG02 vào group
“Remote management Console”
- Sau khi cấu hình xong các bạn nhấn “Apply” để áp phê các cấu hình chúng
1.
7/ Join Array Standalone TMG 2010
- Trên TMG01 chúng ta tiến hành “Join Array” của TMG02. Sauk hi join
Array thành công chúng ta có thể sử dụng TMG02 để quản lý và cấu hình cho cả 2 TMG01 và TMG02.
- Các bạn điền IP hoặc domain name của TMG01 và nhập thông tin username
- Trong menu “System” các bạn chọn server TMG01 và click vào
“Configure Selected Server”. đây bạn sẽ thấy “Intra-Array
Communication” sử dụng card “Intra-Array” có IP 172.16.10.11 để giao
- Tương tự các bạn kiểm tra giao tiếp trên TMG02 đảm bảo TMG02 sử dụng
Vào “Configure Array Properties” để kiểm tra Roles của TMG Array. Hiện
- Các bạn vào tab “monitoring” để kiểm tra việc đ ng bộ cấu hình giữa 2
Last edited: Jun 18, 2016 root, Jun 18, 2016
#1
2.
8
/ Tạo Rule để enable Network Load Balancing giao tiếp
trên Intra-Array.
- Dưới menu “Firewall policy” bên tay phải tab “Toolbox”. Các bạn chọn
- Nhấn Finish để hoàn thành việc tạo giao thức mới.
-Rule chúng ta tạo sẽ được apply cho tất cả các user
1.
9/ Enable Load balancing TMG 2010
- Để enable Network load balancing trên TMG 2010. Các bạn vào menu
“Networking” bên phải màn hình các bạn chọn “Tasks → Enable Network
Load Balancing Integration” để enable load balancing trên TMG.
- Các bạn chọn card Internal để cấu hình load balancing cho 2 card internal
của 2 TMG. Trên interface Internal của TMG01 có IP 192.168.10.251 và TMG02 có IP 192.168.10.252. Chúng ta sẽ tạo 1 Virtual IP 192.168.10.250.
- Các PC trong mạng Lan sẽ trỏ default gateway về virtual IP
- Tương tự chúng ta cấu hình Load balancing cho interface External. Đảm
- Sau khi cấu hình xong các bạn vào mục “monitoring” và tab “Services” để
- các bạn vào TMG01 kiểm tra sẽ thấy 2 interface Inside và External của
TMG01 đều có 1 Private IP 192.168.10.251 và 10.123.10.251. Ngoài ra trên 2 interface Inside và External của TMG01 đều có Virtual IP 192.168.10.254
Last edited: Jun 18, 2016 root, Jun 18, 2016
#1
IV. Testing Network Load Balancing trên TMG 2010
- Các bạn sử dụng PC đặt IP thuộc LAN 192.168.10.0/24 và trỏ default
gateway về Virtual IP mà chúng ta đã cấu hình Network Load Balancing trên card Inside của 2 TMG01 và TMG 02.
- Các bạn thử dùng PC trên để ping tới
Virtual IP inside của 2 TMG:
Virtual IP outside của 2 TMG:
10.123.10.130
- bây gi trên PC các bạn thử dùng tracert để kiểm tra xem traffic của PC
- Như hình chúng ta thấy
traffic của PC đi đến google.com thì
- Trên PC các bạn vẫn có thể ping được đến virtual gateway, inside của
TMG02. Nhưng PC không thể ping đến card inside 192.168.10.251 của
TMG01.