前兩天給客戶做TMG 2010的遷移,使用過ISA的朋友都知道,TMG是微軟企業安全產品Threat Management Gateway的縮寫。TMG2010,需要運行在64位操作系統上,是Forefront安全產品Stirling的重要組成部分,是ISA2006的升級產品。Threat Management Gateway的含義是威脅管理網關。
其實本項目很簡單,只是把內網中的Exchange Server 2010發佈出來,供外網用戶訪問即可,一般的拓撲圖很簡單,如下圖所示:
按照一般的流程:
1 安裝OS: Windows Server 2008 R2
2 安裝 TMG Server2010
3 導出 ISA 2006上的證書和策略
4 TMG上進行證書和策略的導入
然後,進行測試,一切OK。正準備凱旋返回,甲方突然要求說,TMG的內網不能使用10.68.1.0網段,以後這個這網有特殊用途,推薦使用10.68.100.0網段。這樣一來,拓撲圖就發生了變化,如下圖所示:
其他地方都不變,只是TMG的網絡需要做適當調整。在此,相當於TMG2010的內網有兩個網段,需要把10.68.100.0/24和10.68.1.0/24加到內網中,一般在TMG服務器的內網網卡不要配置默認網關,而要使用靜態路由表來連接內網的不同網段,默認網關一般配置在外網網卡上。TMG服務器如果有多個默認網關,會影響TMG服務器判斷路由跳數。
如果TMG2010服務器加入了域,一般在TMG服務器的內網網卡配置DNS服務器,TMG服務器的外網網卡最好不要配置DNS服務器,否則TMG服務器可能會無法聯繫域控制器。
TMG的內網網卡爲10.68.100.50,但內網中還包括其他網絡,調整後的內網地址如下圖所示:注意,多餘的網段一定要去除,否則會生成不必要的路由項。
但注意內網沒有設置默認網關,只在外網設置默認網關,如下圖所示:
還需要手動爲內網網段增加路由,使用下面的命令:
使用的下一跳接口地址。
如果希望永久生效可以加-p參數,如下所示:
Route add 10.68.1.0 mask 255.255.255.0 10.68.100.254 –p
再查看路由表:
當然,也可以通過TMG的入門嚮導來實現,如下圖所示:
TMG會根據所填條目自動生成路由項,這個也比較方便。另外,需要注意的是,爲了測試方便,建議先禁用系統內置的防火牆。以上,只是我們在實施中的需要注意的地方,留下備用。
本文出自 “杜飛” 博客,請務必保留此出處http://dufei.blog.51cto.com/382644/899898