Exchange 2010 SP1 和 RDG(远程桌面网关角色)以及 VPN(远程访问服务器角色)是否都在 DMZ 中的一个盒子里?

Exchange 2010 SP1 和 RDG(远程桌面网关角色)以及 VPN(远程访问服务器角色)是否都在 DMZ 中的一个盒子里?

我们发现 RDG(远程桌面网关角色)和 VPN(远程访问服务器角色)和 Exchange 角色无法在一台 Server 2008 R2 机器上正常运行。

因此,我们已转向在两台独立的机器 VM#1 和 VM#2 上使用 Hyper-V 对它们进行虚拟化。

远程桌面网关和 VPN(sstp;远程访问服务器)在 VM#1 上的 Server 2008 R2 Std 上运行。

我们希望将 Server 2008 R2 Std 上的 Exchange 虚拟化为 VM#2。

目前我们只有一个 IP 地址。 Port 80443指向VM#1Port 25指向VM#2。 我们可以轻松地在 VM#1 上部署用于交换的边缘服务器,并将端口 25 也指向 VM#1。

没有TMG/ISA。也没有反向代理。

我们拥有SAN/UCC来自第三方的 SSL 证书,适用于:

  • mail.ourdomain.com
  • autodiscover.ourdomain.com
  • exchange.ourdomain.local <-- 运行 Exchange 邮箱和集线器传输角色的 VM。
  • remote.ourdomain.local <-VPN/RDP 访问。

我们希望将 VM#1 和 VM#2 分开,而不是在现有基础上在 VM#1 上安装 Exchange CAS 和 Edge 角色。

是否有人能建议如何最好地使用一个 IP 和一个 UCC/SAN 证书来完成此设置,而不是从我们的 ISP 获取两个 IP 并将第二个 IP 指向 VM#2 上的交换?

答案1

总结一下建议:

1) 从我们的 ISP 获取一个专门用于 Exchange 的新 IP。这样,端口 443 流量就可以指向 Exchange,而无需设置 IAS/TMG 或反向代理的复杂性。

如果使用 RDG 和 VPN 在 VM 上安装 CAS 角色,请按照以下步骤操作:

2)安装一个基于 SNI 的解决方案,该解决方案可以查看 SSL 请求并将其与用于连接到交换的特定证书匹配。

3)使用涵盖以下方面的 SAN/UCC 证书

4) 额外配置工作以使 CAS 角色与 RDG 良好配合:http://social.technet.microsoft.com/Forums/en-US/winserverTS/thread/1da9cd90-80f4-4087-9edf-2d9cfa1d312f/

相关内容