Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn về cách sử dụng các công cụ Forefront TMG SDK để mở rộng các chức năng của Forefront TMG và một số thông tin mà SDK cung cấp về cách làm việc của Forefront TMG.
Forefront TMG 2010 SDK gồm có các thư viện, công cụ, các mẫu và tài liệu để trợ giúp các chuyên gia phát triển và các quản trị viên hệ thống triển khai, cấu hình, tùy chỉnh, mở rộng môi trường Forefront TMG của họ. Bạn có thể download Forefront TMG SDK miễn phí từ đây.
Có rất nhiều công cụ mà bạn có thể download tuy nhiên chúng ta sẽ xem xét qua một số công cụ quan trọng. Hãy bắt đầu với ADAM Sites cho Forefront TMG Enterprise.
Công cụ ADAM Sites cho Forefront TMG Enterprise
Công cụ ADAM Sites được sử dụng để định nghĩa các site AD-LDS (Active Directory Lightweight Directory Service) với mục đích điều khiển lưu lượng giữa các máy chủ Forefront TMG Enterprise Management Server (EMS). Enterprise Management Server là máy chủ được sử dụng để quản lý TMG Enterprise Array hoặc thậm chí có thể là một máy chủ độc lập (standalone). Các Forefront TMG sử dụng EMS sẽ nhận cấu hình từ máy chủ EMS này. Mặc định, máy chủ EMS không có nhận thức về site, vì vậy nếu bạn có nhiều máy chủ EMS ở nhiều vị trí thì sẽ không có cách nào để điều khiển khoảng thời gian tạo bản sao và các chi phí được sử dụng bởi liên kết này. Công cụ ADAM Sites cho phép bạn có thể định nghĩa các liên kết site AD-LDS, kết hợp các chi phí và khoảng thời gian tạo bản sao giữa các liên kết này. Trước khi có thể sử dụng công cụ ADAM Sites, bạn cần copy file ADAMSITES.EXE vào thư mục cài đặt Forefront TMG. Hình dưới đây hiển thị các tùy chọn dòng lệnh của ADAM Sites.
Hình 1: Công cụ ADAMSITES
Auto Discovery Configuration
Auto-Discovery Configuration có thể được sử dụng để cấu hình Active Directory với một khóa marker trỏ đến máy chủ Forefront TMG của bạn. Khóa marker này được sử dụng bởi máy khách TMG (trước đây là máy khách Firewall) để định vị máy chủ Forefront TMG và kết nối với nó. Đây là một phương pháp hoàn toàn khác và an toàn hơn so với phương pháp sử dụng DHCP/DNS trong việc tìm kiếm máy chủ Forefront TMG. Nếu không tìm thấy khóa marker cho Active Directory nào, máy khách Forefront TMG sẽ quay trở lại sử dụng DHCP/DNS để tìm máy chủ Forefront TMG.
Hình 2: TMG Auto-Discover Tool
Cache Directory
Sử dụng Cache Directory có thể xem được các nội dung cache theo thời gian thực, lưu các thông tin về cache hiện hành vào file và đánh dấu các mục đã bị lỗi thời không nên lưu trong cache nữa. Tiện ích Cachedir theo quan điểm của chúng tôi chính là tiện ích đáng mong muốn nhất từ Forefront TMG SDK và cũng có sẵn trong phiên bản ISA Server trước. Trước khi có thể sử dụng công cụ Cachedir này, bạn cần copy file CACHEDIR.EXE vào thư mục cài đặt Forefront TMG.
Hình 3: Công cụ CacheDir
CertTool
Certtool cho TMG chỉ được yêu cầu khi bạn sử dụng Forefront TMG Enterprise trong môi trường workgroup. Trong môi trường workgroup, các máy chủ TMG truyền thông với nhau bằng cách sử dụng các chứng chỉ. Certtool giúp bạn dễ dàng thực thi cài đặt hoặc thay thế các chứng chỉ trong Forefront TMG. Trước khi sử dụng Certtool cho TMG, bạn cần copy file ISACERTTOOL.EXE vào thư mục cài đặt Forefront TMG.
Hình 4: ISACerttool
DNS Cache
Sử dụng DNS Cache trên máy chủ Forefront TMG có thể hiển thị các nội dung của Domain Name System (DNS) cache và xóa các entry trong DNS cache. Cho ví dụ, các máy khách Forefront TMG sử dụng các thiết lập Forefront TMG DNS để phân giải tên, còn máy khách Secure NAT sử dụng các thiết lập DNS cục bộ để phân giải tên. Trong một số trường hợp nào có thể cần phải xóa các thiết lập DNS Cache trên Forefront TMG.
Lưu ý: Xóa DNS cache trên TMG server bằng lệnh IPCONFIG /FLUSHDNS sẽ chỉ xóa DNS Cache khỏi bộ phân giải máy khách DNS.
Để có thể sử dụng công cụ DNS Cache, hãy copy file DNSTOOLS.EXE vào thư mục cài đặt Forefront TMG.
Hình 5: Công cụ TMG DNSCache
EE Single Server Conversion
Sử dụng công cụ này (EESingleServerConversion.exe) có thể giúp bạn chuyển từ một máy chủ độc lập đang chạy ISA Server 2004 Enterprise Edition hoặc ISA Server 2006 Enterprise Edition sang Forefront TMG cũng trong chế độ độc lập. Trước khi import cấu hình của ISA Server Enterprise vào Forefront TMG Enterprise trong chế độ độc lập, Standalone Mode, bạn phải chuyển đổi các thiết lập XML khác từ định dạng export của ISA Server thành định dạng có thể đọc để import cấu hình vào Forefront TMG Enterprise. Sau khi cài đặt công cụ chuyển đổi này và copy file cấu hình ISA Enterprise vào máy chủ Forefront TMG, mở nhắc lệnh và nhập vào lệnh với file XML nguồn và đích như được thể hiện trong hình bên dưới.
Hình 6: Công cụ ISA to TMG Single Server conversion
Lệnh này sẽ chuyển đổi file cấu hình ISA Server Enterprise sang định dạng được hỗ trợ trên Forefront TMG Enterprise hoạt động độc lập.
MSDEToText
Công cụ MSDEtoText có thể được sử dụng để chuyển đổi các bản ghi Forefront TMG SQL Express Server vào một file văn bản, hoặc để hiển thị các nội dung của chúng nên màn hình. Bạn có thể sử dụng tiện ích MSDEtoText với ISA Server 200x và Forefront TMG. Hình dưới đây hiển thị cú pháp của công cụ MSDEtoText.
Hình 7: Công cụ MSDE to Text conversion
Hình dưới cho bạn thấy một ví dụ về việc export file bản ghi Firewall.
Hình 8: Một ví dụ của công cụ chuyển đổi MSDE to Text
Remote Access Quarantine
Forefront TMG cũng hỗ trợ dịch vụ Remote Access Quarantine, dịch vụ được sử dụng trong ISA Server 200x, để cách ly các máy khách VPN kết nối với ISA Server. Các bạn nên sử dụng NAP (Network Access Protection) của Windows Server 2008 kết hợp với Forefront TMG, điều này cho phép bạn dễ dàng hơn và linh hoạt hơn trong việc cấu hình các thành phần RQS từ TMG SDK.
Hình 9: Công cụ RQS
RSA Test Authentication
Tiện ích RSA Test Authentication có thể được sử dụng để thẩm định một máy tính đang chạy Forefront TMG có thể xác thực cho một máy tính đang chạy RSA Authentication Manager. Để sử dụng tiện ích RSA Test Authentication, cần copy các file SDTEST.EXE và SDUI.DLL vào thư mục cài đặt Forefront TMG.
Hình 10: Công cụ RSA SecurID Authentication
Nâng cấp Security Configuration Wizard (SCW) cho Forefront TMG phiên bản Standard và Enterprise
Windows Server 2008 và Windows Server 2008R2 đã tích hợp một công cụ có tên gọi Security Configuration Wizard (SCW). Công cụ này có thể được sử dụng để đơn giản hóa nhiệm vụ làm “rắn chắn” hệ điều hành nằm bên dưới trong quá trình chuẩn bị triển khai Forefront TMG. SCW sẽ tạo một chính sách cấu hình các dịch vụ, thiết lập registry, chính sách thẩm định và,… dựa trên các role và các tính năng được cài đặt. Mặc định, SCW không biết rằng Forefront TMG được cài đặt. Forefront TMG SDK đi kèm với một mở rộng của SCW.
Có hai file cần được copy vào thư mục Windows\Security\Msscw\kbs:
- SCW_TMG_W2K8R2_SP0.XML
- SCW_TMGEMS_W2K8R2_SP0.XML
Sau đó mở nhắc lệnh và nhập vào lệnh sau: scwcmd register /kbname:TMG /kbfile:SCW_TMG_W2K8R2_SP0.xml
Hình 11: Công cụ TMG SCW
Sau đó tạo một chính sách Security mới và SCW sẽ thấy các role được cài đặt trên máy chủ Forefront TMG.
Hình 12: SCW với TMG role
Forefront TMG 2010 SDK
Forefront TMG SDK có một file ISASDK.CHM rất hữu dụng, đây là file chứa rất nhiều thông tin kỹ thuật chuyên sâu về Forefront TMG và một số ví dụ để phát triển các bộ lọc Application và Web trong Forefront TMG.
ISASDK.CHM
File ISASADK.CHM gồm các thông tin về kiến trúc của Forefront TMG và các hệ thống con của nó, cũng như một số đoạn code ví dụ giúp cấu hình và mở rộng khả năng lập trình cho Forefront TMG.
Hình 13: Tài liệu hỗ trợ của TMG SDK
Thư mục Samples/Admin
Có rất nhiều kịch bản VBS hữu dụng trong thư mục samples/Admin được cài đặt bởi thường trình cài đặt Forefront TMG SDK. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn hai ví dụ. Kịch bản đầu tiên là HTTPFilteconfig.vbs, kịch bản có thể được sử dụng để import hoặc export các thiết lập của HTTP filter từ rule chính sách của một tường lửa nào đó.
Hình 14: Kịch bản mẫu TMG SDK để export HTTP Filter
Một kịch bản khác có tên ActiveSession.vbs, đây là kịch bản sẽ cho bạn thấy một cách tổng quan về các session kết nối hiện hành trên Forefront TMG.
Hình 15: Kịch bản mẫu TMG SDK để hiển thị các Active Session