大家好,Cantgis又和大家見面了,我們這次來對TMG 進行每日的定義更新在 WinHTTP 代理設定上,您需要為 WinHTTP 用戶端進行代理的配置,允許 WinHTTP 靈活決定使用哪個代理。WinHTTP 在對代理支援的能力上略低于 Internet Explorer;具體而言,您不能指定 WinHTTP 使用某個特定的代理腳本 (proxy script)。預設情況下,WinHTTP 使用 WinHTTP 網絡代理自動發現服務 (Web Proxy Auto-Discovery Service) 實作代理的自動發現,或者使用靜态的代理伺服器并指定一些 bypass 的表項。這種方式的優點在于無需建立自定義的流量政策。缺點在于将對其它的 WinHTTP 使用者産生不利影響,并且當您需要重建伺服器時,WinHTTP 代理設定不能與 TMG 政策一同導出。
首先建立自定義的 WSUS 流量政策。這種方式需要您為 WSUS 自定義協定,進而在通路規則 (access rule) 中使用該協定。優點就是您無需更改 WinHTTP 的代理設定,也就不會影響到 Windows Update 之外的機制。利用基于 HTTP 的證書撤銷請求也需要 WinHTTP。首要的缺點就是自定義政策的方法沒有利用到網絡代理或者相關的 Filters (NIS, EMP, URL Filtering)。
更新中心(Update Center)配置
為 使 TMG 從 WSUS 伺服器上接收到 NIS 或 EMP 更新,您必須選擇支援這個過程的配置。是以,第一步就是要保證 TMG 的配置正确。如果您運作 Getting Started Wizard (啟動向導),使用下面的步驟即可十分簡單地驗證配置是否正确。
1. 在 TMG Management console (管理控制台) 左側面闆選擇Update Center (更新中心)
2. 在 TMG 管理控制台右側面闆
a. 選擇Tasks (任務) 标簽
b. 點選 Configure Settings (配置設定)
3. 在 Update Center Properties (更新中心屬性) 頁面
a. 選擇 Microsoft Update(微軟更新) 标簽
b. 確定 “Use the Microsoft Updates service…(使用微軟更新服務…)” 選中,如下圖所示
<a target="_blank" href="http://blog.51cto.com/attachment/201306/144954689.jpg"></a>
圖1 Microsoft Update 标簽
c. 選擇 Update Service(更新服務) 标簽
d. 選擇 “Use the computer default service only…(僅使用計算機預設服務…)”,如下圖所示
<a target="_blank" href="http://blog.51cto.com/attachment/201306/145005288.jpg"></a>
圖2 Update Service 标簽
請注意:
1.若您選擇“Use Microsoft Updates service, directly (直接使用微軟更新服務)”,即使您為NIUS和SMP更新配置使用WSUS,TMG也将忽視該配置。
2.在這裡選擇第一個選項保證了TMG僅使用WSUS服務檢查并擷取NIS和EMP更新。如果遇到您的WSUS服務不可用的情況,您可以選擇“Use the computer service, but fall back to Microsoft Updates (使用計算機服務,不可用時退回至微軟更新)”,令TMG使用Microsoft Updates。
e. 點選 OK 關閉 Update Center Properties (更新中心屬性) 頁面。
4. TMG 管理控制台中部面闆出現提示後,點選 Apply (應用)來儲存更改
5. 在 Configuration Change Description(配置更改描述)頁面
a. 輸入您對本次更改的描述
b. 再次點選 Apply (應用)
6. 在 Saving Configuration Changes (儲存配置更改) 頁面,點選 OK
定義WinHTTP代理配置
WinHTTP 代理的配置是影響 TMG 與 Microsoft Updates 或者您的 WSUS 伺服器通信的因素之一。多數情況下,您無需進行任何改動。但在某些部署環境中,您可能需要對 WinHTTP 代理設定進行更改。如果您設定了從 Microsoft Updates 直接下載下傳 NIS 和 EMP 更新,但并不湊效,那麼您就需要對 WinHTTP 代理進行配置。好消息是在 Windows 2008中完成配置較 Windows 2003更為清晰、簡潔。
以管理者身份運作指令行視窗
1. 點選 Start (開始),選擇 All Programs(所有程式) -> Accessories (附件)
2. 右擊 Command Prompt(指令提示符)并且選擇 Run as administrator (以管理者身份運作)
測試WinHTTP代理設定
1. 在上述指令行視窗中,輸入如下指令并按Enter鍵
netsh winhttp sho proxy
預設設定如下:
<a target="_blank" href="http://blog.51cto.com/attachment/201306/145016885.jpg"></a>
2. 更改 WinHTTP 設定,将内部域名(本例中為 contoso.com)加入 bypass 的清單中,您需要輸入如下指令并按Enter鍵
netsh winhttp set proxy localhost:8080 “<local>;*.contoso.com”
這條指令運作的結果如下:
請注意:bypass清單的輸入方式必須使用雙引号标注,域名之間以分号分隔
驗證TMG Local Host (本地主機)代理設定
1. 在 TMG 管理控制台左側面闆,選擇 Networking (網絡)
2. 在 TMG 管理控制台中部面闆
a. 選擇 Networks(網絡)标簽
b. 輕按兩下 Local Host(本地主機)網絡
3. 在 Local Host Properties(本地主機屬性)頁面
a. 選擇 Web Proxy(Web代理)标簽
b. 驗證設定是否如下圖所示
<a target="_blank" href="http://blog.51cto.com/attachment/201306/145034202.jpg"></a>
圖3 Local Host 代理設定
如果您的設定與上圖不同,請您做相應的更改并儲存。
建立WSUS流量政策
建立一個允許 TMG 從 WSUS 檢查并下載下傳更新的規則非常簡單。您隻需要執行如下步驟。
建立access rule (通路規則)
1. 在 TMG 管理控制台左側面闆
a. 右擊 Firewall Policy (防火牆政策)
b. 選擇 New (建立) -> Access Rule (通路規則)
2. 在 Welcome to the New Access Rule Wizard(歡迎使用建立通路規則向導)頁面
a. 輸入 WSUS from TMG
b. 點選 Next (下一步)
3. 在 Rule Action(規則行為)頁面
a. 選擇 Allow (允許)
4. 在 Protocols (協定)頁面,點選 Add (添加)
5. 在 Add Protocols(添加協定)頁面,點選 New(建立)-> Protocol (協定)
6. 在 Welcome to the New Protocol Definition Wizard (歡迎使用建立協定定義向導),輸入 WSUS Client 并點選 Next (下一步)
7. 在 Primary Connections Information(首要連接配接資訊)頁面,點選 New (建立)
8. 在 New/Edit Protocol Connection(建立/編輯協定連接配接)頁面
a. 在 Protocol type(協定類型)下拉清單中選擇 TCP
b. 在 Direction(方向)下拉清單中選擇 Outbound (出站)
c. 在 Port Range From(端口從)和 To(到)文本框中輸入 8530
<a target="_blank" href="http://blog.51cto.com/attachment/201306/145043356.jpg"></a>
圖4 自定義協定細節
d. 點選 OK 關閉 New/Edit Protocol Connection(建立/編輯協定連接配接)頁面
9. 在 Primary Connections Information(首要連接配接資訊)頁面,驗證資訊與 8.a 到 8.c 中的資料一緻并點選 Next (下一步)
10. 在 Secondary Connections Information(次要連接配接資訊)頁面,使用預設設定并點選 Next (下一步)
11. 在 Completing the New Protocol Definition Wizard(完成建立協定定義向導)頁面,驗證資訊與下圖一緻并點選 Finish (完成)
<a target="_blank" href="http://blog.51cto.com/attachment/201306/145051333.jpg"></a>
圖5 Protocol summary
12. 在 Add Protocols(添加協定)頁面
a. 展開 User-Defined (使用者定義)
b. 選擇 WSUS Client
c. 點選 OK 後 Close (關閉)
13. 在 Protocols(協定)頁面,點選 Next (下一步)
14. 在 Access Rule Source(通路規則源端)頁面,點選 Add (添加)
15. 在 Add Network Entities(添加網絡實體)頁面
a. 展開 Networks (網絡)
b. 選擇 Local Host (本地主機)
c. 點選 Add (添加)後 Close (關閉)
16. 在 Access Rule Sources(通路規則源端)頁面,點選 Next (下一步)
17. 在 Access Rule Destinations(通路規則目的端)頁面,點選 Add (添加)
18. 在 Add Network Entities(添加網絡實體)頁面,點選 New(建立)-> Computer (計算機)
19. 在 New Computer Rule Element(添加計算機規則元素)頁面
a. 在 Name (名稱)區域輸入 WSUS Server
b. 在 Computer IP address (計算機IP位址) 區域,輸入 WSUS 伺服器的 IP 位址
<a target="_blank" href="http://blog.51cto.com/attachment/201306/145100455.jpg"></a>
圖6 WSUS 伺服器 IP 位址
c. 點選 OK
20. 在 Add Network Entities(添加網絡實體)頁面
a. 展開 Computers (計算機)
b. 選擇 WSUS Server
21. 在 Access Rule Destinations(通路規則目的端)頁面,點選 Next (下一步)
22. 在 User Sets(使用者集)頁面,點選 Next (下一步)
23. 在 Completing the New Access Rule Wizard(完成建立通路規則向導)頁面,點選 Finish (完成)
24. 中部面闆出現提示後,點選 Apply(應用)來儲存更改
25. 在 Configuration Change Description(配置更改描述)頁面
26. 在 Saving Configuration Changes(儲存配置更改)頁面,點選 OK
您添加的新規則将會出現,如下圖所示:
<a target="_blank" href="http://blog.51cto.com/attachment/201306/145109937.jpg"></a>
圖7 自定義 WSUS 政策
測試新配置
設定好所選的配置方式後,需要驗證它能正常工作。因為您配置的目的是實作 TMG 的更新,是以最佳測試方法是使用 TMG 更新中心。測試步驟如下:
1. 在 TMG 管理控制台左側面闆,選擇 Update Center (更新中心)
2. 在右側面闆
a. 選擇 Tasks(任務)标簽
b. 點選 Install New Definitions (安裝新定義)
界面上将會顯示 TMG 正在檢查更新,如下圖所示:
<a target="_blank" href="http://blog.51cto.com/attachment/201306/145117757.jpg"></a>
圖8 檢查更新
若更新被成功驗證和安裝,界面将會變為下圖所示:
<a target="_blank" href="http://blog.51cto.com/attachment/201306/145125459.jpg"></a>
圖9 處于最新狀态
完成
這裡我提供了兩種支援的方法,都能夠保證 TMG Update Center 快速可靠地檢測、擷取并安裝 NIS 和 EMP 更新。
為了保證大家的 TMG 具有最新的流量保護更新,我們對這種機制進行合理的配置和監控要非常重要哦。
謝謝大家陪着Cantigs 修改TMG的定義更新。
本文轉自cantgis 51CTO部落格,原文連結:http://blog.51cto.com/cantgis/1205642,如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)