切换到宽版
  • 8537阅读
  • 1回复

Exchange 2010 邮箱保护 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2011-08-26
我目前正在设计 Exchange 2010 基础结构。其中一个要求就是要在所有级别上具备 HA,因此我们会使用 DAG 和客户端访问服务器(用一个客户端访问阵列和一个冗余硬件负载平衡器)保护邮箱数据库。

我们还计划使用 Forefront Threat Management Gateway (TMG) 阵列将客户端访问服务器发布到 Internet。关于如何以适当的方式将 CAS 服务器发布到 Internet,我不太确定。我们是否只需将 ISA Web 发布规则指向内部网络上的硬件负载平衡器,然后让硬件负载平衡器在 CAS 服务器之间分配客户端流量就可以了?
分享到
只看该作者 1楼  发表于: 2011-08-26
问得好。我来做个解释。使用 TMG(此处也可以是 UAG)发布 Exchange 2010 CAS 服务器时,可以使用 TMG 自带的 Web 服务器场的负载平衡功能。不要只将 Web 发布规则指向内部网络上的硬件负载平衡器。
在一个典型的场景中,当 TMG 接收到客户端请求时,会将 IP 头中的源 IP 地址字段更改为其内部接口中配置的 IP 地址。这意味着所有从 TMG 通过代理传递到硬件负载平衡器的客户端请求都显示为来自同一客户端 IP。这会使 HLB 将所有客户端请求发送给同一个 CAS 服务器,而不是将它们分散到 Exchange 2010 CAS 阵列中不同的 CAS 服务器上。
可能有人会说,您只需将代理请求行为由“使请求显示为来自 ISA 服务器计算机”改成“使请求显示为来自初始客户端”就可以了(如图 2 中所示),但是没那么简单。如果您这么做,就需要在每台 CAS 服务器上将 TMG 设置为默认网关(或使用静态路由,请参见图 2),这会带来其他问题。无论如何,大多数企业还使用了 NAT,这意味着源 IP 会显示为来自同一客户端(NAT 设备的 IP 地址),即使您在 CAS 服务器上将 TMG 设置为默认网关也是如此。
498)this.width=498;" class="fit-image" onmousewheel="javascript:return big(this)" alt="" src="http://i.technet.microsoft.com/ff772734.Figure_2_TMG_Proxy_Request_Behavior_Screen(en-us,MSDN.10).jpg" width="498" />
图 2 TMG 代理请求行为
尽管 TMG 提供了一层额外的安全保护,使您能够在客户端通过代理传递到 CAS 服务器之前预先对这些客户端进行身份验证,但还应注意:在相关性方面,TMG Web 服务器场负载平衡功能具有与 Windows 网络负载平衡相同的局限性。它实际上使用了 Windows NLB 组件,这意味着您被局限到了基于 IP 的源相关性,而无法使用相关性方法(如 Cookie 或 SSL-ID)。
快速回复
限60 字节
 
上一个 下一个