Назад | Перейти на главную страницу

Как мне настроить присоединенный к домену блок TMG с одним сетевым адаптером в DMZ для публикации Exchange?

Я бы хотел увидеть хорошие советы по следующему сценарию:

  1. У клиента есть требование безопасно публиковать службы Exchange через Интернет.
  2. Заказчик имеет существующий аппаратный брандмауэр, и поэтому TMG должна иметь единственную нишу в сегменте DMZ.
  3. TMG должен быть присоединен к домену, чтобы разрешить KCD. (Я знаю, что вы можете использовать LDAP / s, но клиенты, присоединенные к домену, вынуждены вводить учетные данные в этой ситуации, от чего большинство клиентов съеживается.)
  4. Доступ с хостов DMZ к внутренним блокируется только для требуемых портов, поэтому какие порты требуются для аутентификации AD.
  5. Заказчику требуется внутренняя и внешняя аутентификация FBA для WebApp.
  6. Есть несколько боксов CAS с NLB.

Это сложный сценарий, но я считаю, что это также распространенный сценарий, в котором отсутствует какая-либо хорошая документация или руководство.

Выделите здесь проблемы, так как это не так запутано, как вы думаете:

  1. хорошо

  2. Это не следует напрямую, и использование двух сетевых адаптеров, одного внешнего и одного внутреннего, было бы самым простым методом, позволяющим TMG быть членом домена, а также хостом DMZ. Администраторам брандмауэра часто не нравится эта конфигурация, если они не знакомы с конфигурацией TMG, поскольку она создает еще одну точку потенциальной неправильной конфигурации, которая может позволить доступ к внутренним сетевым ресурсам.

  3. (и 4) LDAP не вызовет дополнительного запроса - вы используете аутентификацию на основе форм, поэтому вся веб-страница представляет собой одно большое приглашение!

  4. Требования к члену домена хорошо документированы. Предположим, они верны для любого рядового сервера, включая TMG. Видеть http://support.microsoft.com/kb/832017 для подробностей.

  5. Хорошо, FBA может использовать источник аутентификации практически для чего угодно - LDAP, RADIUS, Basic, Integrated, что угодно.

  6. Возможно, было бы лучше адресовать их индивидуально, используя встроенную конфигурацию веб-фермы, иначе не делайте этого и вместо этого укажите VIP. Также имейте в виду, что если TMG не знает о самой веб-ферме, и используется привязка, отличная от None, все соединения, поступающие от TMG, будут в конечном итоге в одном и том же поле CAS со значением по умолчанию «Запросы, похоже, исходят от TMG компьютер "Настройки веб-публикации.

Остальное просто следует из руководства по Exchange 2010 с TMG 2010, отсюда: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=894bab3e-c910-4c97-ab22-59e91421e022&displaylang=en