Как настроить присоединенный к домену отдельный блок NIC TMG в DMZ для публикации Exchange?

Я хотел бы увидеть хорошее руководство по следующему сценарию:

  1. Клиент обязан безопасно публиковать службы Exchange через Интернет.
  2. У Клиента есть существующий аппаратный межсетевой экран, и у TMG должен быть один ник в сегменте DMZ.
  3. TMG должен быть присоединен к KCD. (Я знаю, что вы могли бы выполнять LDAP/s, но клиенты, присоединенные к домену, вынуждены вводить учетные данные в этой ситуации, которую большинство клиентов сжимают.)
  4. Доступ с хостов DMZ к внутренним заблокирован только для требуемых портов, поэтому какие порты требуются для аутентификации AD.
  5. Клиент требует внутренней и внешней аутентификации FBA для WebApp.
  6. Есть несколько блоков CAS с NLB.

Это сложные сценарии, но я считаю, что это также распространенный сценарий, в котором отсутствуют какие-либо хорошие документы или рекомендации.

Источник

1 ответ

Выделите вопросы здесь, поскольку это не так беспорядочно, как вы думаете:

  1. Хорошо

  2. Это не следует непосредственно, и использование двух сетевых адаптеров, одного внешнего, одного внутреннего, было бы самым простым способом позволить TMG быть членом домена, а также хостом DMZ. Администраторам брандмауэра часто не нравится эта конфигурация, если они не знакомы с конфигурацией TMG, поскольку это создает другую точку потенциальной неправильной конфигурации, которая может позволить доступ к внутренним сетевым ресурсам.

  3. (и 4) LDAP не вызовет дополнительного приглашения - вы используете аутентификацию на основе форм, поэтому вся веб-страница - это одно большое приглашение!

  4. Требования к члену домена хорошо документированы. Предположим, что они верны для любого рядового сервера, включая TMG. См. http://support.microsoft.com/kb/832017 для деталей.

  5. Хорошо, FBA может использовать источник аутентификации практически для чего угодно - LDAP, RADIUS, Basic, Integrated, как вы его называете.

  6. Возможно, было бы лучше обратиться к ним индивидуально, используя встроенную конфигурацию веб-фермы, в противном случае - нет, и вместо этого укажите VIP. Также имейте в виду, что если TMG не знает о самой веб-ферме и используется сходство, отличное от None, все соединения, поступающие от TMG, будут в конечном итоге находиться в одном окне CAS со значением по умолчанию. "Похоже, что запросы поступают от TMG компьютер "Настройка веб-публикации.

Остальное просто следует руководству по Exchange 2010 с TMG 2010 здесь: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=894bab3e-c910-4c97-ab22-59e91421e022&displaylang=en

Источник
Другие вопросы по тегам