服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何在DMZ中configurationjoin域的单个NIC TMG盒来发布Exchange?
Intereting Posts
如何使请求跟踪器使用外部SMTP邮件服务器? Samba PDC与LDAP后端共享缓慢 在主端口80上,不在其他端口上 人为地降低apache2性能以满足现实世界的条件 rTorrent和Debian的SSD I / O性能差 交换2007邮件联系人导出/导入 不可动摇的新贵stream程 特定date的唯一身份访问者总数 远程用户无法login到计算机 – 目前没有可用于login请求的login服务器 什么是rtnetlink的行为,如果添加或删除以太网/桥梁? 为什么docker找不到我添加的文件? 将所有Puppet客户端的条形文件复制到主Puppet服务器的自定义事实 我怎么知道我的电脑何时被ping通? 永不丢失数据技术 我们是否需要使用Office 365的小型办公室环境中的域控制器?

如何在DMZ中configurationjoin域的单个NIC TMG盒来发布Exchange?

我很想看到以下情况的一些很好的指导:

  1. 客户需要通过Internet安全地发布Exchange服务。
  2. 客户有一个现有的硬件防火墙,因此TMG在DMZ部分应该有一个唯一的网卡。
  3. TMG应该join以允许KCD。 (我知道你可以做LDAP / s,但域名join的客户被迫在这种情况下input凭据,这是大多数客户畏惧)。
  4. 从DMZ主机到内部的访问仅被locking到所需的端口,所以ADauthentication需要什么端口。
  5. 客户需要FBA身份validation内部和WebApp的外部。
  6. 有多个CAS框与NLB。

这是一个复杂的情况,但我认为这也是一个常见的情况,缺乏任何良好的文件或指导。

把问题分离出来,因为它不像你想象的那么混乱:

  2. 这并不直接,使用两个NIC,一个是外部的,一个是内部的,这是允许TMG成为域成员和DMZ主机的最简单的方法。 防火墙pipe理员经常不喜欢这种configuration,除非他们对TMGconfiguration感到满意,因为它会产生另一个潜在的错误configuration点,可能允许访问内部networking资源。

  3. (和4)LDAP不会导致额外的提示 – 您正在使用基于表单的身份validation,所以整个网页是一个大的提示!

  4. 对域成员的要求是有据可查的。 假设它们适用于任何成员服务器,包括TMG。 有关详细信息,请参阅http://support.microsoft.com/kb/832017

  5. 好的,FBA可以使用几乎任何的validation来源 – LDAP,RADIUS,Basic,Integrated,您可以将其命名。

  6. 使用内置的Web Farmconfiguration可能会更好地解决这些问题,否则请不要,并指定VIP。 另外请记住,如果TMG不知道Web Farm本身,并且使用非None的亲和性,则所有来自TMG的连接将以相同的CAS框结束,默认的“请求似乎来自TMG计算机“Web发布设置。

其他的仅仅是从2010年的TMG 2010指南,从这里: http : //www.microsoft.com/downloads/en/details.aspx? FamilyID=894bab3e-c910-4c97-ab22-59e91421e022&displaylang=en