Выделите проблемы здесь, поскольку это не совсем столь грязно, как Вы думаете:
Хорошо
Это не следует непосредственно, и использование двух NICs, одним внешним, одним внутренним, был бы самый простой метод разрешения TMG быть доменным участником, а также хостом демилитаризованной зоны. Администраторам Firewall часто не нравится эта конфигурация, если они не довольны конфигурацией TMG, поскольку она создает другую точку потенциальной неверной конфигурации, которая могла бы предоставить доступ к ресурсам внутренней сети.
(и 4) LDAP не вызвал бы дополнительную подсказку - Вы используете Аутентификацию на основе форм, таким образом, целая веб-страница является одной большой подсказкой!
Требования для доменного участника хорошо документируются. Предположите, что они сохраняются для любого рядового сервера, включая TMG. См. http://support.microsoft.com/kb/832017 для деталей.
Хорошо, FBA может использовать источник аутентификационной информации практически чего-либо - LDAP, RADIUS, Основной, Интегрированный, Вы называете его.
Возможно было бы лучше обратиться к ним индивидуально использование встроенной конфигурации Веб-фермы, иначе сделать не и указать VIP вместо этого. Также имейте в виду, что, если TMG не знает о самой Веб-ферме, и привязка ни кроме Одного используется, все соединения, прибывающие из TMG, закончатся на том же поле CAS с "Запросами по умолчанию, кажется, прибывают из компьютера TMG" настройки Web Publishing.
Остальное просто следует вперед от Exchange 2010 с руководством 2010 года TMG, отсюда: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=894bab3e-c910-4c97-ab22-59e91421e022&displaylang=en
Вы можете создать ACL на основе внешнего файла для хранения URL-адресов (на мой взгляд, проще управлять):
acl NoXForwardedFor dstdomain "/etc/squid/NoXForwardedFor.txt"
Содержимое /etc/squid/NoXForwardedFor.txt
будет выглядеть примерно так:
.serverfault.com
.superuser.com
.stackoverflow.com
Затем удалите X-Forwarded-From
из заголовка данного ACL:
request_header_access X-Forwarded-For deny NoXForwardedFor
Примечание. Вместо этого можно использовать директиву dst
директивы dstdomain
.
Но для этого требуется IP-адрес хоста URL, поэтому убедитесь, что целевой домен имеет
фиксированный IP-адрес (а).
Возможно, несколько полезных ссылок для более глубокого понимания:
Я пробовал то же самое, но правильный синтаксис -
acl NoXForwardedFor dst "/usr/pbi/squid-amd64/etc/squid/NoXForwardedFor.txt"
request_header_access X-Forwarded-For deny NoXForwardedFor
, где NoXForwardedFor.txt
содержит имена доменов.