Você precisará da segunda NIC em uma sub-rede diferente para que o roteamento do Windows seja feliz. Em seguida, TMG NATs entre a sub-rede interna e a sub-rede externa (usando o layout Edge, de qualquer maneira).
Para enviar todo o tráfego pela caixa TMG, aponte os clientes para ele como o gateway padrão. É provável que seja uma grande mudança na forma como a rede funciona no momento, portanto, tenha uma estratégia de reversão.
Para fazer isso mais facilmente (mas com uma mudança significativa), mude a corrente D.G. para uma sub-rede diferente (digamos, uma sub-rede 10.x por isso é interessante e visualmente diferenciada), conecte o outro adaptador TMG a essa sub-rede e permita que essa sub-rede seja considerada externa pela TMG (ou seja, não inclua-a como uma "interna"). rede) - dessa forma, qualquer coisa não na faixa de IP interno definida atualmente será considerada potencialmente hostil. (Ou pelo menos o External; o TMG não confia nas redes internas implicitamente).
A rede 10.x torna-se essencialmente uma DMZ de tipos - seu roteador (suponho que esteja atualmente NAT para o ISP) pode encaminhar solicitações recebidas para a interface externa na caixa TMG, e a diretiva de firewall TMG controlará todo o tráfego para e fora da rede 192.168.1.x.
Para facilitar a migração, se você usar isso, a interface interna do TMG deverá assumir o IP antigo do roteador, ou seja, o gateway padrão já configurado no cliente.
Para uso avançado da Web, ou seja, autenticação, se necessário, configure o WPAD para fornecer aos clientes conhecimento explícito do proxy.
Como alternativa, deixe tudo como está, ignore o segundo NIC e use o TMG como um proxy da Web explícito, configurado como link nos clientes, ou através do WPAD. Ele não fará filtragem de conteúdo de toda a rede, mas pelo menos fará a varredura de tráfego da Web nessa configuração e permitirá que você tenha tempo de se familiarizar com ela antes de embarcar no Massive Outage Path.
Melhor ainda, teste sua configuração pretendida usando um laboratório ou máquinas virtuais.
Apenas um pensamento.
Editar : Mais uma dica muito geral: em algum momento, você será tentado a criar uma regra que diga "Permitir qualquer lugar em qualquer lugar a qualquer momento". Se você sucumbir a essa tentação, certifique-se de excluir a rede Local Host dela, para que pelo menos a TMG ainda esteja realizando alguma filtragem local de pacotes para se defender de clientes internos / externos. (O NAT tende a cuidar da maior parte do tráfego de entrada de fora, mas há sempre uma configuração incorreta externa para se preocupar).
Se você deseja que o TMG possa se conectar a, ou estar conectado por algo, a Diretiva do Sistema é onde fazer isso. E como outra dica, se você não permitir nenhuma conexão de entrada para o TMG além do RDP, você basicamente * poderá ignorar * a maioria das * atualizações de segurança * liberadas *. O que é bom para o tempo de atividade. Mais! O NIS recebe atualizações quando o MSRC libera boletins, então também há um nível adicional de proteção. Apenas não fique complacente.
'* - não faça isso.