优化透明识别

本主题包含有关使用 IWSA 中的透明识别时要遵循的最佳实践信息。

• 拓扑

• 设置

• 配置透明识别

拓扑

下图显示在组织中部署 IWSA 时所用的典型透明桥接模式网络拓扑。

在图像中，IWSA 位于防火墙之后，可以访问域控制器和客户端计算机，这是透明识别所需要的。如果客户端计算机或域控制器与 IWSA 之间存在 NAT 或防火墙，透明识别查询可能会失败。

在组织中，如果域结构不是单个域，而是域树或域林，趋势科技建议您在 IWSA 使用的域控制器中启用“全局编录”（如图所示）。这样做不但可以减少通过 Internet 的登录通信和节省带宽，还可以加速登录进度并帮助 IWSA 更快速地获得用户/组信息。

设置

在开始下一过程之前，请检查以下设置：

• 域控制器设置：在您的域控制器中为 IWSA 创建一个新的帐户或使用属于“域管理员”组的已有帐户，以用于查询用户/组信息。

• 客户端设置：配置 Windows Management Instrumentation (WMI) 为自动启动，并验证客户端上是否已经启动了该服务。

• 防火墙设置：验证客户端或域控制器上的 Windows 防火墙或其他个人防火墙是否允许 WMI 通信通过。

如果客户端计算机上使用了 Windows 防火墙，您可以部署一个组策略，以更改每个加入到域的客户端计算机上的防火墙缺省设置。这样可以实现客户端配置过程的自动化，并简化部署。有关更多信息，请参阅以下过程：

• 创建组策略对象

• 将新的组策略对象应用到所有客户端计算机

步骤 1：创建组策略对象并将其链接到适当的组织单位

创建组策略对象：

1. 转到组管理策略编辑器。

2. 转到计算机配置 > 策略 > 管理模板 > 网络 > 网络连接 > Windows 防火墙。

3. 双击域配置文件。

4. 单击 Windows 防火墙:允许远程管理例外。

5. 在“处理措施”菜单上，选择属性。

6. 单击启用，然后单击确定。

将组策略对象应用到所有客户端计算机

将新的组策略对象应用到所有客户端计算机：

1. 转到组策略管理 MMC 管理单元。（请参阅上图。）

2. 右键单击新添加的组策略对象。

3. 选择强制。

配置透明识别

开始此过程之前，应为 IWSA 配置有效的 DNS 服务器，且该服务器要有良好的解析 DNS 请求的性能。请确保 IWSA 可以解析 DNS 服务器中的域控制器的主机名。

在 IWSA 中配置透明识别：

1. 从主菜单中选择管理 > IWSA 配置 > 用户识别 | 用户识别选项卡。

2. 在“用户识别方法”区域下，选中用户/组名授权。

3. 在“LDAP 设置”区域的“用户/组认证设置”区域中，单击选择 LDAP 供应商链接。

4. 在辅助浏览器窗口中，从支持的 LDAP 供应商列表中选择 Microsoft Active Directory。

5. 在“配置 LDAP 连接”辅助窗口中，单击保存确认对 LDAP 供应商的选择。

6. 在“用户识别”配置窗口的“LDAP 设置”区域中，使用完全限定的域名 (FQDN) 键入 LDAP 服务器主机名。

7. 注意：输入 LDAP 服务器主机名的 IP 地址也是可接受的，但建议使用 FQDN 格式，因为 Kerberos 服务器与使用 IP 地址识别的 LDAP 服务器之间存在不兼容。

7. 键入供已选 LDAP 服务器使用的侦听端口号（缺省值 = 389）。

8. 注意：如果您已经按照建议启用了全局编录 (GC) 端口，请将侦听端口更改为 3268。

8. 键入新创建的帐户或“域管理员”组的已有帐户的管理帐户和密码。

您应当为管理帐户使用以下格式的 UserPrincipalName：NT_logon_ID@domain。例如：chris@trendmicro.com

9. 键入基准标识名来指定 IWSA 从目录树的哪个级别开始 LDAP 搜索。

基本域名根据公司的 DNS 域组件派生；例如，LDAP 服务器 "us.example.com" 将输入为 "DC=example, DC=com"。

10. 选择 LDAP 认证方法，使用高级 (Kerberos 认证)。

11. 此外，配置以下参数来使用高级认证：（缺省情况下，按下 'Tab' 键时会自动填写以下设置）

12. 缺省范围

13. 缺省域

14. KDC 和管理服务器：与 Active Directory 服务器相同的主机名。

15. KDC 端口号：缺省端口 = 88

12. 单击启用 Windows 客户端查询和启用域控制器查询复选框以启用两者。

13. 单击“测试客户端”链接测试客户端连接。测试应该会成功。

单击“启用域控制器查询”复选框将允许 IWSA 接收列出的域控制器的事件日志，并通过解析事件日志获取用户信息。

当首次启用“启用域控制器查询”时，用户会收到提示，要求其添加域控制器服务器或刷新域控制器服务器列表。执行以下操作：

1. 单击刷新自动检测域控制器服务器。

2. 如果未自动检测到新的域控制器服务器，请单击添加手动添加。域控制器还应列出 IPv6 域控制器，其行为类似于 IPv4 的行为，您可以在此处添加专用的 IPv6 域控制器。

3. 在辅助窗口中键入域控制器信息，然后单击测试远程查询，验证域控制器服务器的连接。（请参阅图 E-5。）

4. 所有添加到配置文件的域控制器服务器都允许 IWSA 查询事件日志以获取用户名和 IP 地址信息。

5. 在进行下一步前，确保列表中所有域控制器的状态正常（带有绿色对勾标记）。

14. 如有必要，请添加其他 LDAP 服务器的信息。

15. 注意：所有用于将用户认证到域的 Active Directory 域控制器都应当添加到 LDAP 服务器列表中。

16. 要验证已输入的信息是否正确以及 IWSA 是否可以与配置的 LDAP 服务器通信，请单击“用户识别”页面上的测试 LDAP 连接。

此时会显示一个消息框，指示已成功联系 LDAP 服务器。

16. 单击保存。