通过

在Forefront TMG 中使用脚本管理 IPv6

译者:方文辉日期:2010-07-12

Forefront 威胁管理网关 (TMG) 系统策略规则包含一组预定义的访问规则,控制本地主机网络 (Forefront TMG 服务器) 和其他网络之间的相互访问。 TMG没有自动授予某些使用域名称集的规则中包含的协议访问权限的。 ConfigureLocalhostToIPv6Policy 脚本允许您更改策略规则,启用这些协议或出于安全考虑 限制本地主机的访问。 本主题介绍如何进行必要的更改 Forefront TMG 规则,用于允许或拒绝你的公司网络的向外 IPv6 通信。

默认情况下,TMG允许所有的所有 的向公司网方向的 IPv6 通信访问,除了在规则中使用域名称集的以下协议:

协议 端口
HTTP 80
HTTPS 443
Microsoft Operations Manager 代理 1270
System Center Operation Manager 2007代理 5723
System Center Operation Manager代理安装 5724
MS 防火墙控制 3847
MS 防火墙存储 2171、 2174
Forefront Protection Manager WS 1961

使用脚本,您可以进行更改:

  • 启用从本地主机到公司网络的所有 IPv6 通信
  • 启用或禁用特定的协议和目的地

下面的过程描述如何使用 ConfigureLocalhostToIPv6Policy 脚本更改 Forefront TMG 策略规则。

使用 ConfigureLocalhostToIPv6Policy 脚本

  1. 在任务栏上单击 开始、 单击 所有程序、 单击 附件,单击 windows powershell、 右键单击 windows powershell,然后单击都 以管理员身份运行。

  2. 在命令提示符下按规定的用法运行 ConfigureLocalhostToIPv6Policy 脚本。

    备注

    该脚本位于 \Program Files\Microsoft Forefront Unified Access Gateway\utils\TMGIPv6Policy 文件夹中。

    1. 键入 ConfigureLocalhostToIPv6Policy.vbs AllowAllLocalhostToIPv6

      此脚本的用法允许从本地主机到公司网络的所有 IPv6 通信,如下所示:

      1. 启用 DirectAccess 模式: 从本地主机允许 IPv6 通信 规则,增加Anywhere IPv6 范围到目标范围
      2. 为使用域名称集的规则添加Anywhere IPv6 目标范围到 IPv6 计算机设置

    2. 键入 ConfigureLocalhostToIPv6Policy.vbs DisableAllLocalhostToIPv6

      此脚本用法禁用从本地主机到公司网络的 IPv6 通信,如下所示:

      1. 禁用 DirectAccess 模式: 从本地主机允许 IPv6 通信 系统规则
      2. 清除用作在规则中使用域名称集目标的计算机组
      3. 删除脚本创建的所有用户规则.

    3. 键入 ConfigureLocalhostToIPv6Policy.vbs add <"protocol">

      备注

      指定协议时,您必须使用完整的TMG协议名称。

      此脚本用法允许你增加一条应用到特定的IPv6范围的协议,如下所示:

      1. 通过清除目标范围禁用 DirectAccess 模式: 允许从本地主机的 IPv6 通信 系统规则。

      2. 为外向IPv6基础结构创建一个新的系统规则(如果这条规则不存在) DirectAccess 模式: 允许从Forefront TMG 到 IPv6 网络的IPv6 通信

      3. 创建一个空的计算机集,用于使用域名集的规则。

      备注

      • 如果一条协议定义在使用域名集的规则中,这个脚本增加一个目标范围到所有使用域名集的规则的计算机集。

      • 如果一条协议不是定义在使用域名集的规则中,这个脚本用这个协议和目标范围创建一个用户规则。 该规则的名称格式是:"DirectAccess 模式: 允许协议为X的 从 Forefront TMG IPv6 范围的 IPv6 通信 "。

        例如,如果脚本运行为: ConfigureLocalhostToIPv6Policy.vbs add smtp:: ffff.ffff.ffff.ffff::ffff,创建的规则名称是: DirectAccess 模式: 允许协议为smtp从Forefront TMG IPv6 范围:: ffff.ffff.ffff.ffff::ffff 的 IPv6 通信

    4. 输入 ConfigureLocalhostToIPv6Policy.vbs delete <"protocol">

      此脚本使用允许您删除一个应用到一个特定的 IPv6 范围协议,如下所示:

      1. 通过清除目标范围禁用 DirectAccess 模式: 允许从本地主机系统的 IPv6 通信 规则。

      2. 为外向IPv6基础结构协议创建一个新的规则(如果这条规则不存在) DirectAccess 模式: 允许从Forefront TMG 到 IPv6网络的IPv6通信

      3. 创建一个用于使用域名集规则的计算机集,如果这个计算机集还不存在的话。

        备注

        • 如果一条协议是定义在使用域名集的规则中,这个脚本从使用域名集的规则中移除所有的范围。
        • 如果使用域名规则中未定义该协议,该脚本将删除所有使用为条协议和目标范围的用户规则。