前面的两个PART我们完成了边缘服务器的搭建,虽然只有两篇文章但大家应该还是能够看出来边缘服务器的内容不少,特别是证书那一块。如果在部署过程中,如果有什么问题的话欢迎随时与我交流,这一篇文章中我将主要和大家分享准备反向代理的一些内容,因为考虑到可能有些朋友对TMG的了解不多,我首先来说一下为什么TMG需要三张网卡。第一张网卡是连接到公网,我们称之为WAN网卡,用于连接到外部网络;第二张网卡是连接到内部网络中的路由器,我们称之为LAN网卡,用于为内部网络提供到公网的连接;第三张网卡是连接到私有网络,我们称之为DMZ网卡,用于与边缘服务器连接从而实现外部用户访问。下面我们来看下拓扑图,这里强调的是拓扑图,我们忽略其他无关内容,并且忽略掉反向代理的WAN网卡IP。

Lync Server反向代理拓扑图

其实反向代理不仅仅是用来重定向外部用户访问443端口到前端的4443端口,还充当着组织内部的防火墙、发布者,保护组织网络、发布内网中的服务比如Exchange Server、Lync Server、Web网站等,所以它的地位是非常重要的,因为整个内部网络都依靠着它来与互联网连接。下面我们来看下反向代理的三张网卡设置,这里没有顺序设置,第一张是DMZ网卡,设置其IP地址和子网掩码,不需要设置DNS和网关。

clip_image001

第二张网卡是LAN网卡,用于连接到内部网络,我们为其配置内部网络的IP地址,同样不需要设置网关,DNS填写我们内网中DC的地址。

Rinx-Screenshot-2012-03-30-[21-02-22]1

第三张网卡是WAN网卡,我们为其配置一个物理局域网中的地址来模拟外部网络,并填写物理路由器的IP地址、一台模拟外部DNS的虚机作为DNS服务器,真实的DNS服务器。模拟外部DNS的虚机我们后面会专门搭建和设置,这里我们先这样填写。

clip_image003

设置完成后,我们接下来需要准备反向代理的证书,包括根证书和边缘证书。下面我们先来导入内部CA的根证书,步骤与之前我们导入根证书差不多,我就简单带过一边。按下【Windows + R】组合键打开运行对话框,输入mmc确定。

clip_image020 

在打开的控制台单击文件-添加/删除管理单元。

clip_image021

在可用的管理单元中找到证书,然后单击添加,并且选择“计算机帐户”。

clip_image022

选择本地计算机。

clip_image023

完成添加,展开证书-受信任的根证书颁发机构,右键证书-所有任务-导入。

clip_image025

在选择导入文件处选择根证书文件。

clip_image026

选定好证书后选择将其放到下列存储-受信任的根证书颁发机构。

clip_image028

完成证书的导入,可以在受信任的根证书颁发机构中看到根证书。

clip_image030

这里我们先不忙关闭反向代理服务器上的证书管理单元。然后在边缘上导出外部边缘证书(不能直接使用我们之前生成的外部边缘证书),与上面的步骤相似打开计算机帐户证书管理单元,然后展开证书-个人-证书,然后找到证书名称为Edge Internet的证书,右键导出。

clip_image004

在导出私钥界面,我们选择将私钥跟证书一起导出。

clip_image005

选择如果可能,包含该证书路径的所有证书。

clip_image006

设置一个证书密码,建议与之前的证书密码相同。

clip_image007

保存到文件服务器。

clip_image008

完成证书的导出,提示导出成功。

clip_image010

回到反向代理上,在证书管理单元中展开证书,右键个人-所有任务-导入。

clip_image031

指定刚才我们导出的证书,格式为pfx。

clip_image032

输入我们之前导出证书时输入的密码。

clip_image033

选择证书放入下列存储为个人。

clip_image034

完成证书的导入。

clip_image035

安装TMG的过程比较简单,不是我们文章所交流的内容,在安装过程中没有特定需要设置的。需要注意的是在配置网络的时候,需要选择三臂模式,然后对应的设置网络。完成过后我们来创建两条规则,为好反向代理做准备工作,在TMG上右键防火墙策略,选址新建访问规则,在新建访问规则向导中我们为其定义访问规则名称为透明模式。

clip_image011

设置将符合规则条件时要执行的操作为允许

clip_image012

然后在协议界面,选择此规则应用到所有出站通讯。

clip_image013

由于是企业版,这里会提示是否启用恶意软件检查,这里我们不需要使用此功能,选择不对该规则启用。

clip_image014

在选择访问规则源时,单击添加按钮,然后在网络中将内部、外围和本地主机都添加上。

clip_image015

在访问规则目标中添加外部网络。

clip_image016

用户集保持默认的所有用户。

clip_image017

完成规则的创建。

clip_image018

我们顺便也可以创建一个3389的规则,这样我们可以用远程桌面连接到TMG。

clip_image019

到此我们的反向代理就准备完成了,包括证书的导入、TMG的基本规则创建。但其实除了证书,我们今天的内容还不算是反向代理相关的,因为我们还只是在配置防火墙而已。下一篇我们将创建四条规则,其中三条用于边缘访问服务的发布,还有一条就是我们反向代理所需的规则。其实整个配置也比较简单,但内容还是比较多。今天就先到这里,如果大家有什么问题,欢迎立刻回复文章与我交流,谢谢大家!