Como eu configuro uma caixa NIC TMG unificada no domínio na DMZ para publicar o Exchange?

2

Adoraria ver uma boa orientação sobre o seguinte cenário:

  1. O cliente tem o requisito de publicar serviços do Exchange de maneira segura pela Internet.
  2. O cliente tem um firewall de hardware existente e, como tal, o TMG deve ter um único nic no segmento DMZ.
  3. O TMG deve ser associado ao domínio para permitir o KCD. (Eu sei que você poderia fazer LDAP / s, mas os clientes que ingressaram no domínio são forçados a inserir credenciais nessa situação que a maioria dos clientes se assusta.)
  4. O acesso de hosts DMZ para interno é bloqueado somente para as portas necessárias, portanto, quais portas são necessárias para autenticação da AD.
  5. O cliente exige autenticação FBA internamente e externamente para o WebApp.
  6. Existem várias caixas de CAS com NLB.

Esse é um cenário complexo, mas acredito que também seja um cenário comum que não possui nenhuma boa documentação ou orientação.

    
por Jacob 29.07.2010 / 02:42

1 resposta

1

Separe os problemas aqui, pois não é tão confuso quanto você pensa:

  1. OK

  2. Isso não segue diretamente, e usar dois NICs, um externo, um interno, seria o método mais simples de permitir que o TMG seja um membro do domínio, bem como um host DMZ. Os administradores de firewall geralmente não gostam dessa configuração, a menos que estejam confortáveis com a configuração do TMG, já que ela cria outro ponto de configuração incorreta potencial que pode permitir o acesso a recursos internos da rede.

  3. (e 4) O LDAP não causaria um prompt adicional - você está usando a autenticação baseada em formulários, portanto, toda a página da Web é um grande prompt!

  4. Os requisitos para um membro do domínio estão bem documentados. Suponha que eles sejam verdadeiros para qualquer servidor membro, incluindo o TMG. Consulte o link para obter detalhes.

  5. OK, o FBA pode usar uma fonte de autenticação de praticamente qualquer coisa - LDAP, RADIUS, Básico, Integrado, o nome dele.

  6. Talvez seja melhor abordá-los individualmente usando a configuração integrada do Web Farm, caso contrário, não, e especifique o VIP. Lembre-se também de que, se o TMG não souber sobre o próprio Web Farm e uma afinidade diferente de None for usada, todas as conexões provenientes do TMG serão encerradas na mesma caixa CAS com o padrão "As solicitações parecem vir do TMG computador "Configurações de publicação na Web.

O restante está apenas seguindo o guia do Exchange 2010 com o TMG 2010, a partir daqui: link

    
por 15.03.2011 / 10:32