前两天给客户做TMG 2010的迁移,使用过ISA的朋友都知道,TMG是微软企业安全产品Threat Management Gateway的缩写。TMG2010,需要运行在64位操作系统上,是Forefront安全产品Stirling的重要组成部分,是ISA2006的升级产品。Threat Management Gateway的含义是威胁管理网关。

    其实本项目很简单,只是把内网中的Exchange Server 2010发布出来,供外网用户访问即可,一般的拓扑图很简单,如下图所示:

TMG 2010 迁移中的内网多网段问题_第1张图片

 

按照一般的流程:

1 安装OS: Windows Server 2008 R2

2 安装 TMG Server2010

3 导出 ISA 2006上的证书和策略

4 TMG上进行证书和策略的导入

    然后,进行测试,一切OK。正准备凯旋返回,甲方突然要求说,TMG的内网不能使用10.68.1.0网段,以后这个这网有特殊用途,推荐使用10.68.100.0网段。这样一来,拓扑图就发生了变化,如下图所示:

TMG 2010 迁移中的内网多网段问题_第2张图片

 

    其他地方都不变,只是TMG的网络需要做适当调整。在此,相当于TMG2010的内网有两个网段,需要把10.68.100.0/24和10.68.1.0/24加到内网中,一般在TMG服务器的内网网卡不要配置默认网关,而要使用静态路由表来连接内网的不同网段,默认网关一般配置在外网网卡上。TMG服务器如果有多个默认网关,会影响TMG服务器判断路由跳数。

    如果TMG2010服务器加入了域,一般在TMG服务器的内网网卡配置DNS服务器,TMG服务器的外网网卡最好不要配置DNS服务器,否则TMG服务器可能会无法联系域控制器。

     TMG的内网网卡为10.68.100.50,但内网中还包括其他网络,调整后的内网地址如下图所示:注意,多余的网段一定要去除,否则会生成不必要的路由项。

TMG 2010 迁移中的内网多网段问题_第3张图片

 

但注意内网没有设置默认网关,只在外网设置默认网关,如下图所示:

TMG 2010 迁移中的内网多网段问题_第4张图片

 

还需要手动为内网网段增加路由,使用下面的命令:

 

使用的下一跳接口地址。

如果希望永久生效可以加-p参数,如下所示:

Route add 10.68.1.0 mask 255.255.255.0 10.68.100.254 –p

再查看路由表:

TMG 2010 迁移中的内网多网段问题_第5张图片

 

当然,也可以通过TMG的入门向导来实现,如下图所示:

TMG 2010 迁移中的内网多网段问题_第6张图片 

TMG 2010 迁移中的内网多网段问题_第7张图片

 

 

    TMG会根据所填条目自动生成路由项,这个也比较方便。另外,需要注意的是,为了测试方便,建议先禁用系统内置的防火墙。以上,只是我们在实施中的需要注意的地方,留下备用。