上周,我们的 Hyper-V 服务器崩溃了,迫使我们重建了大部分网络。重建网络后,我们遇到了一个大问题。我们使用 Forefront TMG 通过 Web 侦听器路由我们的网络流量。我们制定了一条规则,将传入的外部 IP 地址转换为 Forefront 防火墙后面的私人网站。我们的 TMG 服务器有 2 个 NIC 卡,一个外部卡没有 DNS 设置,一个内部卡没有默认网关设置。我们的正常默认网关是 CISCO ASA VPN。
我的问题是,如果我不使用我们的 TMG 服务器作为 Web 服务器和外部 DNS 的默认网关,那么我就无法访问该站点。一旦我将其更改为我们的 ASA,站点就无法连接。如果我使用 TMG 作为我们的默认网关,我就无法访问互联网的大部分区域。我想使用我们的 ASA 作为默认网关,但我不知道此时该怎么做。
答案1
无论使用哪种设备发布网站,都必须将其内部 IP 配置为 Web 服务器上的默认网关。您无法通过 TMG 发布并通过 ASA 路由出站流量,因为这会导致 TMG 上的半开连接超时,并且第二个网关上的响应无法识别,因为该网关从未收到来自客户端的入站请求。
答案2
您可以通过为 TMG 的外部适配器分配外部 DNS 来解决部分问题。
但是如果您将 TMG 排除作为默认路由,您只需要让 ASA 正常工作。
如果 ASA 的配置仅允许 TMG 连接出站,那可能可以部分解释您的症状……但 ASA 听起来像是这里的关键。