我很乐意看到针对以下场景的一些好的指导:
- 客户要求通过 Internet 安全地发布 Exchange 服务。
- 客户已有硬件防火墙,因此 TMG 应该在 DMZ 段上有一个网卡。
- TMG 应加入域以允许 KCD。(我知道您可以使用 LDAP/s,但在这种情况下,加入域的客户端被迫输入凭据,大多数客户对此感到畏缩。)
- 从 DMZ 主机到内部的访问仅锁定到所需的端口,因此 AD 身份验证需要哪些端口。
- 客户要求对 WebApp 进行内部和外部的 FBA 身份验证。
- 有多个带有 NLB 的 CAS 盒。
这是一个复杂的场景,但我相信这也是一个常见的场景,缺乏任何好的文档或指导。
答案1
将这里的问题分开,因为它并不像你想象的那么混乱:
好的
这并不直接说明问题,使用两个 NIC(一个外部,一个内部)是让 TMG 成为域成员和 DMZ 主机的最简单方法。除非防火墙管理员对 TMG 配置感到满意,否则他们通常不喜欢这种配置,因为这会造成另一个潜在的配置错误点,可能允许访问内部网络资源。
(并且 4)LDAP 不会引起额外的提示 - 您正在使用基于表单的身份验证,因此整个网页就是一个大提示!
域成员的要求已得到充分记录。假设这些要求适用于任何成员服务器,包括 TMG。请参阅http://support.microsoft.com/kb/832017了解详情。
好的,FBA 可以使用几乎任何身份验证源 - LDAP、RADIUS、Basic、Integrated,等等。
最好使用内置的 Web Farm 配置单独解决这些问题,否则就不要这样做,而是指定 VIP。还请记住,如果 TMG 不知道 Web Farm 本身,并且使用了 None 以外的关联,则来自 TMG 的所有连接最终都会出现在同一个 CAS 框中,并使用默认的“请求似乎来自 TMG 计算机”Web 发布设置。
其余内容仅遵循 Exchange 2010 与 TMG 2010 指南,从这里开始:http://www.microsoft.com/downloads/en/details.aspx?FamilyID=894bab3e-c910-4c97-ab22-59e91421e022&displaylang=en