tl; dr我很难让TMG正确地将外部的HTTPS连接代理转换为内部的HTTP连接。
我们有一个局域网(10.0.7.0/24),它安装了一个Windows Server 2008盒子,安装了Spiceworks。 Spiceworks使用Apache,并configuration为同时提供HTTP和HTTPS。 只要你从局域网浏览它,它就可以工作,没有问题。
我们也有一个DMZ(172.32.16.0/24),它承载了Forefront TMG服务器,可以访问局域网和互联网。 所以我们尝试设置的是一个反向代理规则,它可以让用户从互联网上访问Spiceworks实例。
对于HTTP,它完美的工作 – stream量通过TMG,并传递到Apache服务器,groovy。 对于HTTPS,不是那么多。 TMG使用其上的证书build立连接,但无法通过HTTPS连接到Apache服务器,并且死于超时错误。
我不认为这是一个networking问题,因为HTTP工作正常。 这不是Spiceworks的HTTPS问题,因为在局域网上浏览它工作正常。 我怀疑TMG在validation我们在Apache服务器上使用的证书时遇到了麻烦,这就是为什么我得到HTTP 500错误“提供给函数的令牌无效”。
TMG使用的证书与Spiceworks服务器上的证书是同一个证书(都是GoDaddy通配证书) – 可能与它有关吗? 我们无法替代许多地方使用的证书,所以如果有一个解决方法,或者我可以改变的TMGconfiguration设置,那将是完美的。
我的另一个select是让TMG在外部代理https://subdomain.domain.tld:443到http://subdomain.domain.tld:80 ,并完全规避SSL问题,但是没有骰子,TMG固执地拒绝以这种方式重写URL。