Я бы хотел увидеть хорошие советы по следующему сценарию:
Это сложный сценарий, но я считаю, что это также распространенный сценарий, в котором отсутствует какая-либо хорошая документация или руководство.
Выделите здесь проблемы, так как это не так запутано, как вы думаете:
хорошо
Это не следует напрямую, и использование двух сетевых адаптеров, одного внешнего и одного внутреннего, было бы самым простым методом, позволяющим TMG быть членом домена, а также хостом DMZ. Администраторам брандмауэра часто не нравится эта конфигурация, если они не знакомы с конфигурацией TMG, поскольку она создает еще одну точку потенциальной неправильной конфигурации, которая может позволить доступ к внутренним сетевым ресурсам.
(и 4) LDAP не вызовет дополнительного запроса - вы используете аутентификацию на основе форм, поэтому вся веб-страница представляет собой одно большое приглашение!
Требования к члену домена хорошо документированы. Предположим, они верны для любого рядового сервера, включая TMG. Видеть http://support.microsoft.com/kb/832017 для подробностей.
Хорошо, FBA может использовать источник аутентификации практически для чего угодно - LDAP, RADIUS, Basic, Integrated, что угодно.
Возможно, было бы лучше адресовать их индивидуально, используя встроенную конфигурацию веб-фермы, иначе не делайте этого и вместо этого укажите VIP. Также имейте в виду, что если TMG не знает о самой веб-ферме, и используется привязка, отличная от None, все соединения, поступающие от TMG, будут в конечном итоге в одном и том же поле CAS со значением по умолчанию «Запросы, похоже, исходят от TMG компьютер "Настройки веб-публикации.
Остальное просто следует из руководства по Exchange 2010 с TMG 2010, отсюда: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=894bab3e-c910-4c97-ab22-59e91421e022&displaylang=en