TMG学习（五），发布内网Web站点服务器

网络拓扑如下图，其中DC和Web站点的网关都指向TMG的内网卡192.168.20.254，TMG没有加入域其DNS指向了公网DNS服务器，Web站点服务器已经加入域，注意点：要发布的Web服务器需要是TMG防火墙的SecureNAT客户端
 



 
实验思路：
1.08Server02上安装IIS然后搭建一个基本的网站即可
2.TMG上进行发布该站点
3.测试外网客户端访问发布的Web站点，实验环境我们直接使用一台虚拟机跟TMG的外网卡在同一网段即可模拟公网的客户端，域名解析的话直接使用hosts文件即可，当然您也可以搭建外部的DNS。
 
搭建Web站点
在08Server02的服务器管理器中选择“添加角色”，选择“Web服务器（IIS)”,然后一路下一步即可完成Web站点的安装。



 
默认安装完的IIS网站启用了匿名身份验证，且没有安装其它身份验证，我们可以把其它的身份验证安装上。



 
完成后视图如下



 
我们这里有禁用匿名身份验证，然后启用基本身份验证，如下图



 
浏览下网页



 
输入域管理员用户名和密码



 
访问成功



 
在DC的DNS上创建一个条网站的A记录对应Web站点的IP地址



 
TMG发布Web站点
在TMG的工具箱中“新建Web侦听器”



 
侦听器的名称，我们随意方便标识即可



 
这里问我们Web侦听器将和客户端建立什么类型的连接，可以建立https安全的连接，也可以建立http不安全的连接，如果您的TMG上有证书那么您可以选择客户端和TMG建立https的连接，如果没有证书当然就不能建立https。其实在本实验中Web站点不是https站点，但是当我们给TMG申请了证书之后，我们就可以实现客户端和TMG建立连接的时候是https，而TMG和站点之间仍然是http的连接，这样的好处就是可以保证客户端身份验证的安全性。我这里就直接选择，不安全的连接，选择下一步



 
这里选择在“外部”所有IP地址，如果有多个IP地址可以选择具体IP地址上进行侦听，选择“下一步”



 
选择客户端如何向Forefront TMG 进行身份验证以及Forefront TMG 将如何验证其凭据，选择“没有身份验证”



 
这里保持默认，直接“下一步”



 
选择“完成”



 
侦听器创建完成我们就可以发布网站了，当然您也可以事先不创建侦听器那么在发布网站的时候也同样会要求您创建，我们在这已经创建好了侦听器后续的话只需选择该侦听器即可。
 
在任务中选择“发布网站”



 
Web发布规则名称：这个随意



 
选择“允许”



 
发布单个网站或负载均衡器



 
这里选择“使用不安全的连接连接发布的Web服务器或服务器场”



 
内部站点名称中填写DNS上给网站创建A记录的域名：www.abc.com，注意：请确保TMG可以解析该域名，否则请像如下视图一样填写IP地址，在本实验中我的TMG的DNS指向了公网的DNS，顾无法解析该域名，因此我填写了域名对应的IP地址，选择“下一步”



 
这里直接输入：/*



 
在接受请求中可以选择“任何域名”或者“在此域名”，如果选择了任何域名，那么公网的客户端只要使用的域名可以解析到TMG公网的地址的就可以访问该网站，如果选择此域名那么公网客户端只能输入我们指定的域名才可以访问该网站



 
在此我选择：此域名，公用名称输入：www.abc.com



 
这里我们就不需要创建侦听器了，直接选择前面我们创建的侦听器即可



 
选择Froefront TMG为连接至发布的Web服务器进行身份验证使用的方法：无委派，但是客户端可以直接进行身份验证，因为我们Web启用了基本身份验证



 
用户集：我们直接选择所有用户



 
选择“完成”



 
选择应用，确定



 
我们可以测试下规则是否成功，如下图



 
测试结果：错误，并且错误中提示了我们如何解决这个问题



 
我们在侦听器中选择：允许通过HTTP进行客户端身份验证，然后再测试下规则



 
如下图，这次测试成功了。



 
公网客户端测试访问发布的Web站点
使用一台和TMG的外网卡在同一个网段的客户端，hosts文件中进行修改，让客户端解析域名www.abc.com  到TMG外网卡



 
在xp客户端输入http://www.abc.com 后 弹出了要求输入用户名和密码，输入域管理员的用户名和密码



 
如下图XP访问TMG发布的Web站点www.abc.com 成功



 
我们telnet下TMG发布的网站，telnet 192.168.0.20 80，即telnetTMG外网卡的80端口



 
如下图telnet成功