Сквид: отключите X-Forwarded-For, но только для определенного ACLs

Выделите проблемы здесь, поскольку это не совсем столь грязно, как Вы думаете:

1. Хорошо

2. Это не следует непосредственно, и использование двух NICs, одним внешним, одним внутренним, был бы самый простой метод разрешения TMG быть доменным участником, а также хостом демилитаризованной зоны. Администраторам Firewall часто не нравится эта конфигурация, если они не довольны конфигурацией TMG, поскольку она создает другую точку потенциальной неверной конфигурации, которая могла бы предоставить доступ к ресурсам внутренней сети.

3. (и 4) LDAP не вызвал бы дополнительную подсказку - Вы используете Аутентификацию на основе форм, таким образом, целая веб-страница является одной большой подсказкой!

4. Требования для доменного участника хорошо документируются. Предположите, что они сохраняются для любого рядового сервера, включая TMG. См. http://support.microsoft.com/kb/832017 для деталей.

5. Хорошо, FBA может использовать источник аутентификационной информации практически чего-либо - LDAP, RADIUS, Основной, Интегрированный, Вы называете его.

6. Возможно было бы лучше обратиться к ним индивидуально использование встроенной конфигурации Веб-фермы, иначе сделать не и указать VIP вместо этого. Также имейте в виду, что, если TMG не знает о самой Веб-ферме, и привязка ни кроме Одного используется, все соединения, прибывающие из TMG, закончатся на том же поле CAS с "Запросами по умолчанию, кажется, прибывают из компьютера TMG" настройки Web Publishing.

Остальное просто следует вперед от Exchange 2010 с руководством 2010 года TMG, отсюда: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=894bab3e-c910-4c97-ab22-59e91421e022&displaylang=en