En ocasiones un sistema con Microsoft Forefront Threat Management Gateway TMG 2010 cuenta con varias direcciones IP en uno de sus adaptadores para dar soporte a algunas de las funcionalidades de la infraestructura. Por ejemplo, para la publicación de diferentes servicios existentes en una DMZ o para asignar direcciones IP en una configuración de NAT. Uno de los problemas que surge en esos entornos es la determinación de cuál es la dirección IP que utilizará el sistema por defecto para un adaptador dado.

Convencionalmente se ha creído que la dirección IP que se introduce en el cuadro de diálogos principal de configuración TCP/IP será la predeterminada. Sin embargo esto no es así. A partir de Windows Server 2008, y con la inclusión de IPv6 de forma nativa para las comunicaciones en el stack de TCP/IP, la decisión de cuál es la dirección IP por defecto sigue las normas definidas por el RFC 3484. El algoritmo de decisión utililiza varios criterios entre los que influyen tanto las direcciones IP de origen y destino como el ámbito.

En el caso de una infraestructura de MS Forefront TMG 2010, donde se quiere que una máquina o una red utilice una dirección IP concreta dentro del conjunto asignado, se podrá utilizar la funcionalidad de Enhance NAT que proporciona el servidor. En el caso de que la problemática resida en que el servidor Forefront TMG 2010 tenga que salir forzosamente con una de las direcciones IP concreta, la funcionalidad de Enhaced NAT debe ser parcheada en eel servidor Forefront TMG 2010 mediante la instalación del hotfix correspondiente, en función de los siguiente criterios de instalación:

- Windows server 2008 o Windows Vista: KB975808
- Windows server 2008 R2 o Windows 7: KB2386184

La aplicación de este hotfix añade funcionalidades adiciones, entre las que se admite, a través del comando netsh, utilizar la heramienta skipassource. Esta nueva función evita que una dirección IP sea utilizada de forma predeterminada para una determinada comunicación.

Esta característica también puede ser necesaria en el caso de no desee registrar, dinámicamente, en un servidor DNS todas las direcciones IP con las que un sistema cuenta en un adaptador de red concreto. Puede ser también una situación previsible en un escenario con MS Forefront TMG 2010, donde existan múltiples direcciones IP configuradas en un mismo adaptador y no se desee registrar todas ellas.

Hay que tener en cuenta que este hotfix se entrega bajo demanda y no es accesible desde Windows Update. Solo debe ser implementado en escenarios donde se requiera expresamente su uso.

La sintaxis con la que se utilizará la funcionalidad skipassource, para agregar una nueva IP con la funcionalidad modificada es:

Netsh int ipv4 add address skipassource=true

Figura 1: Agregando una IP con el parámetro Skipassouce como verdadero

Para ver la lista de direcciones IP que lo tienen aplicado, se utilizará la siguiente sintaxis para mostrar todos los parámetros permitiendo cual tiene el indicador de skipasssource como verdadero.

Netsh int ipv4 show ipaddresses level=verbose

Figura 2: Configuración de tarjetas