在选择域部署或工作组部署时，应当考虑以下事项：

• 工作组环境中的企业部署和阵列部署要求执行在域环境中并非必需的额外准备步骤，而且需要在 Forefront TMG 计算机上维护镜像环境来用于管理目的。
• 工作组环境中不支持 EMS 复制。
• 工作组环境中不支持自动检测 Web 代理。有关信息，请参阅有关 Web 代理的自动检测规划。
• 在工作组环境中，必须在 Forefront TMG 计算机上安装服务器证书。有关详细信息，请参阅服务器证书规划。
• 可以配置 VPN 客户端用户映射，将非 Microsoft Windows 操作系统用户映射到域用户帐户。仅当域中安装了 Forefront TMG 时才支持用户映射。
• 在域中，可以使用组策略来锁定 Forefront TMG 服务器，而不是通过仅配置本地策略来将其锁定。
• 在域环境中，如果 Active Directory 域服务 (AD DS) 遭到破坏（例如受到内部攻击），则防火墙也可能会遭到破坏，这是因为具有域管理员权限的用户可以管理每个域成员（包括运行 Forefront TMG 的服务器）。同样，如果防火墙遭到破坏，则 Forefront TMG 所在的域也存在风险。默认情况下，Domain Admins 组位于 Forefront TMG 服务器的 Administrators 组中。

Forefront TMG 通常用在下面的网络拓扑配置中：

• 边缘配置
  
  • Forefront TMG 保护边缘，一个适配器连接到内部网络，另一个适配器连接到外部网络。
  • 后端到后端配置，使用 Forefront TMG 作为前端防火墙保护边缘，一个适配器连接到外部网络，一个适配器连接到外围网络。在外围网络和内部网络之间配置后端防火墙（可以是 Forefront TMG 或第三方产品）。
  • 三向配置，Forefront TMG 配置有三个网络适配器，分别连接到内部网络、外部网络和外围网络。
  
  在边缘，可以在工作组模式下或以域成员身份安装 Forefront TMG。以域成员身份安装时，建议在单独的林（而不是在公司网络的内部林）中安装 Forefront TMG，该林具有与公司林的单向信任关系。这样有助于防止内部林的安全性受到威胁，即使攻击针对的是 Forefront TMG 计算机的林也是如此。但是，此部署方式存在一些限制；例如，只能为 Forefront TMG 域中定义的用户配置客户端证书身份验证，而不能为公司内部域或林中的用户进行配置。
• 内部配置
  
  • Forefront TMG 在后端到后端方案中的后端。在典型的方案中，一个 Forefront TMG 服务器安装在边缘，另一个 Forefront TMG 服务器安装在后端的典型方案是：以工作组模式安装前端 Forefront TMG 服务器，以域成员身份安装后端服务器。以域成员身份安装后端服务器可让您对请求进行 AD DS 身份验证。另外，还可以使用组策略强化内部 Forefront TMG 计算机以便于管理。
  • Forefront TMG 配置了单个网络适配器。在该方案中，Forefront TMG 起到 Web 代理或缓存服务器的作用。在此方案中，以域成员身份安装 Forefront TMG 计算机的主要优势在于便于对用户进行 AD DS 身份验证。

在选择域部署或工作组部署时，应当考虑以下身份验证问题：

• 当访问规则要求内部客户端针对出站访问进行身份验证时，Forefront TMG 可以对域用户帐户进行 AD DS 身份验证。可以对工作组环境中的 Web 代理请求进行 RADIUS 服务器身份验证。
• 防火墙客户端请求自动包括用户凭据。若要验证这些请求，Forefront TMG 应属于一个域。在工作组环境中，可以使用镜像到 Forefront TMG 服务器上本地安全帐户管理器 (SAM) 中存储的帐户的用户帐户来验证请求，但这需要花费一些管理开销进行安全管理。
• 若要使用域帐户凭据或证书身份验证来验证对内部 Web 服务器的入站请求，Forefront TMG 必须属于一个域。在工作组环境中，RADIUS 或 SecurID 服务器可用于身份验证。
• 若要使用域帐户凭据或证书来验证虚拟专用网络 (VPN) 请求，Forefront TMG 必须属于一个域。在工作组环境中，RADIUS 服务器可用于身份验证。