大家好，Cantgis又和大家见面了，我们这次来对TMG 进行每日的定义更新在 WinHTTP 代理设置上，您需要为 WinHTTP 客户端进行代理的配置，允许 WinHTTP 灵活决定使用哪个代理。WinHTTP 在对代理支持的能力上略低于 Internet Explorer；具体而言，您不能指定 WinHTTP 使用某个特定的代理脚本 (proxy script)。默认情况下，WinHTTP 使用 WinHTTP 网络代理自动发现服务 (Web Proxy Auto-Discovery Service) 实现代理的自动发现，或者使用静态的代理服务器并指定一些 bypass 的表项。这种方式的优点在于无需创建自定义的流量策略。缺点在于将对其它的 WinHTTP 用户产生不利影响，并且当您需要重建服务器时，WinHTTP 代理设置不能与 TMG 策略一同导出。

首先创建自定义的 WSUS 流量策略。这种方式需要您为 WSUS 自定义协议，进而在访问规则 (access rule) 中使用该协议。优点就是您无需更改 WinHTTP 的代理设置，也就不会影响到 Windows Update 之外的机制。利用基于 HTTP 的证书撤销请求也需要 WinHTTP。首要的缺点就是自定义策略的方法没有利用到网络代理或者相关的 Filters (NIS, EMP, URL Filtering)。

更新中心(Update Center)配置

为 使 TMG 从 WSUS 服务器上接收到 NIS 或 EMP 更新，您必须选择支持这个过程的配置。因此，第一步就是要保证 TMG 的配置正确。如果您运行 Getting Started Wizard (启动向导)，使用下面的步骤即可十分简单地验证配置是否正确。

1. 在 TMG Management console (管理控制台) 左侧面板选择Update Center (更新中心)

2. 在 TMG 管理控制台右侧面板

a. 选择Tasks (任务) 标签

b. 点击 Configure Settings (配置设置)

3. 在 Update Center Properties (更新中心属性) 页面

a. 选择 Microsoft Update(微软更新) 标签

b. 确保 “Use the Microsoft Updates service…(使用微软更新服务…)” 选中，如下图所示

图1 Microsoft Update 标签

c. 选择 Update Service(更新服务) 标签

d. 选择 “Use the computer default service only…(仅使用计算机默认服务…)”，如下图所示

图2 Update Service 标签

请注意：

1.若您选择“Use Microsoft Updates service, directly (直接使用微软更新服务)”，即使您为NIUS和SMP更新配置使用WSUS，TMG也将忽视该配置。

2.在这里选择第一个选项保证了TMG仅使用WSUS服务检查并获取NIS和EMP更新。如果遇到您的WSUS服务不可用的情况，您可以选择“Use the computer service, but fall back to Microsoft Updates (使用计算机服务，不可用时退回至微软更新)”，令TMG使用Microsoft Updates。

e. 点击 OK 关闭 Update Center Properties (更新中心属性) 页面。

4. TMG 管理控制台中部面板出现提示后，点击 Apply (应用)来保存更改

5. 在 Configuration Change Description(配置更改描述)页面

a. 输入您对本次更改的描述

b. 再次点击 Apply (应用)

6. 在 Saving Configuration Changes  (保存配置更改) 页面，点击 OK

定义WinHTTP代理配置

WinHTTP 代理的配置是影响 TMG 与 Microsoft Updates 或者您的 WSUS 服务器通信的因素之一。多数情况下，您无需进行任何改动。但在某些部署环境中，您可能需要对 WinHTTP 代理设置进行更改。如果您设置了从 Microsoft Updates 直接下载 NIS 和 EMP 更新，但并不凑效，那么您就需要对 WinHTTP 代理进行配置。好消息是在 Windows 2008中完成配置较 Windows 2003更为清晰、简洁。

以管理员身份运行命令行窗口

1. 点击 Start (开始)，选择 All Programs(所有程序) -> Accessories (附件)

2. 右击 Command Prompt(命令提示符)并且选择 Run as administrator (以管理员身份运行)

测试WinHTTP代理设置

1. 在上述命令行窗口中，输入如下命令并按回车键

netsh winhttp sho proxy

默认设置如下：

2. 更改 WinHTTP 设置，将内部域名（本例中为 contoso.com）加入 bypass 的列表中，您需要输入如下命令并按回车键

netsh winhttp set proxy localhost:8080 “<local>;*.contoso.com”

这条命令运行的结果如下：

请注意：bypass列表的输入方式必须使用双引号标注，域名之间以分号分隔

验证TMG Local Host (本地主机)代理设置

1. 在 TMG 管理控制台左侧面板，选择 Networking (网络)

2. 在 TMG 管理控制台中部面板

a. 选择 Networks(网络)标签

b. 双击 Local Host(本地主机)网络

3. 在 Local Host Properties(本地主机属性)页面

a. 选择 Web Proxy(Web代理)标签

b. 验证设置是否如下图所示

图3 Local Host 代理设置

如果您的设置与上图不同，请您做相应的更改并保存。

创建WSUS流量策略

创建一个允许 TMG 从 WSUS 检查并下载更新的规则非常简单。您只需要执行如下步骤。

创建access rule (访问规则)

1. 在 TMG 管理控制台左侧面板

a. 右击 Firewall Policy (防火墙策略)

b. 选择 New (新建)  -> Access Rule (访问规则)

2. 在 Welcome to the New Access Rule Wizard(欢迎使用新建访问规则向导)页面

a. 输入 WSUS from TMG

b. 点击 Next (下一步)

3. 在 Rule Action(规则行为)页面

a. 选择 Allow (允许)

b. 点击 Next (下一步)

4. 在 Protocols (协议)页面，点击 Add (添加)

5. 在 Add Protocols(添加协议)页面，点击 New(新建)-> Protocol (协议)

6. 在 Welcome to the New Protocol Definition Wizard (欢迎使用新建协议定义向导)，输入 WSUS Client 并点击 Next (下一步)

7. 在 Primary Connections Information(首要连接信息)页面，点击 New (新建)

8. 在 New/Edit Protocol Connection(新建/编辑协议连接)页面

a. 在 Protocol type(协议类型)下拉列表中选择 TCP

b. 在 Direction(方向)下拉列表中选择 Outbound (出站)

c. 在 Port Range From(端口从)和 To(到)文本框中输入 8530

图4 自定义协议细节

d. 点击 OK 关闭 New/Edit Protocol Connection(新建/编辑协议连接)页面

9. 在 Primary Connections Information(首要连接信息)页面，验证信息与 8.a 到 8.c 中的数据一致并点击 Next (下一步)

10. 在 Secondary Connections Information(次要连接信息)页面，使用默认设置并点击 Next (下一步)

11. 在 Completing the New Protocol Definition Wizard(完成新建协议定义向导)页面，验证信息与下图一致并点击 Finish (完成)

图5 Protocol summary

12. 在 Add Protocols(添加协议)页面

a. 展开 User-Defined (用户定义)

b. 选择 WSUS Client

c. 点击 OK 后 Close (关闭)

13. 在 Protocols(协议)页面，点击 Next (下一步)

14. 在 Access Rule Source(访问规则源端)页面，点击 Add (添加)

15. 在 Add Network Entities(添加网络实体)页面

a. 展开 Networks (网络)

b. 选择 Local Host (本地主机)

c. 点击 Add (添加)后 Close (关闭)

16. 在 Access Rule Sources(访问规则源端)页面，点击 Next (下一步)

17. 在 Access Rule Destinations(访问规则目的端)页面，点击 Add (添加)

18. 在 Add Network Entities(添加网络实体)页面，点击 New(新建)-> Computer (计算机)

19. 在 New Computer Rule Element(添加计算机规则元素)页面

a. 在 Name (名称)区域输入 WSUS Server

b. 在 Computer IP address (计算机IP地址) 区域，输入 WSUS 服务器的 IP 地址

图6 WSUS 服务器 IP 地址

c. 点击 OK

20. 在 Add Network Entities(添加网络实体)页面

a. 展开 Computers (计算机)

b. 选择 WSUS Server

c. 点击 Add (添加)后 Close (关闭)

21. 在 Access Rule Destinations(访问规则目的端)页面，点击 Next (下一步)

22. 在 User Sets(用户集)页面，点击 Next (下一步)

23. 在 Completing the New Access Rule Wizard(完成新建访问规则向导)页面，点击 Finish (完成)

24. 中部面板出现提示后，点击 Apply(应用)来保存更改

25. 在 Configuration Change Description(配置更改描述)页面

a. 输入您对本次更改的描述

b. 再次点击 Apply (应用)

26. 在 Saving Configuration Changes(保存配置更改)页面，点击 OK

您添加的新规则将会出现，如下图所示：

图7 自定义 WSUS 策略

测试新配置

设置好所选的配置方式后，需要验证它能正常工作。因为您配置的目的是实现 TMG 的更新，因此最佳测试方法是使用 TMG 更新中心。测试步骤如下：

1. 在 TMG 管理控制台左侧面板，选择 Update Center (更新中心)

2. 在右侧面板

a. 选择 Tasks(任务)标签

b. 点击 Install New Definitions (安装新定义)

界面上将会显示 TMG 正在检查更新，如下图所示：

图8 检查更新

若更新被成功验证和安装，界面将会变为下图所示：

图9 处于最新状态

完成

这里我提供了两种支持的方法，都能够保证 TMG Update Center 快速可靠地检测、获取并安装 NIS 和 EMP 更新。
为了保证大家的 TMG 具有最新的流量保护更新，我们对这种机制进行合理的配置和监控要非常重要哦。

谢谢大家陪着Cantigs 修改TMG的定义更新。