问得好。我来做个解释。使用 TMG(此处也可以是 UAG)发布 Exchange 2010 CAS 服务器时,可以使用 TMG 自带的 Web 服务器场的负载平衡功能。不要只将 Web 发布规则指向内部网络上的硬件负载平衡器。
在一个典型的场景中,当 TMG 接收到客户端请求时,会将 IP 头中的源 IP 地址字段更改为其内部接口中配置的 IP 地址。这意味着所有从 TMG 通过代理传递到硬件负载平衡器的客户端请求都显示为来自同一客户端 IP。这会使 HLB 将所有客户端请求发送给同一个 CAS 服务器,而不是将它们分散到 Exchange 2010 CAS 阵列中不同的 CAS 服务器上。
可能有人会说,您只需将代理请求行为由“使请求显示为来自 ISA 服务器计算机”改成“使请求显示为来自初始客户端”就可以了(如图 2 中所示),但是没那么简单。如果您这么做,就需要在每台 CAS 服务器上将 TMG 设置为默认网关(或使用静态路由,请参见图 2),这会带来其他问题。无论如何,大多数企业还使用了 NAT,这意味着源 IP 会显示为来自同一客户端(NAT 设备的 IP 地址),即使您在 CAS 服务器上将 TMG 设置为默认网关也是如此。
498)this.width=498;" class="fit-image" onmousewheel="javascript:return big(this)" alt="" src="http://i.technet.microsoft.com/ff772734.Figure_2_TMG_Proxy_Request_Behavior_Screen(en-us,MSDN.10).jpg" width="498" />
图 2 TMG 代理请求行为
尽管 TMG 提供了一层额外的安全保护,使您能够在客户端通过代理传递到 CAS 服务器之前预先对这些客户端进行身份验证,但还应注意:在相关性方面,TMG Web 服务器场负载平衡功能具有与 Windows 网络负载平衡相同的局限性。它实际上使用了 Windows NLB 组件,这意味着您被局限到了基于 IP 的源相关性,而无法使用相关性方法(如 Cookie 或 SSL-ID)。
