Сайты должны использовать TMG в качестве шлюза по умолчанию
На прошлой неделе произошел сбой нашего сервера Hyper-V, что вынудило нас восстановить большую часть нашей сети. Пока сеть была восстановлена, у нас возникла серьезная проблема. Мы используем Forefront TMG для маршрутизации нашего веб-трафика с помощью веб-прослушивателей. У нас есть правило, по которому входящий внешний IP-адрес транслируется на частный веб-сайт за межсетевым экраном Forefront. Наш сервер TMG имеет 2 карты NIC, внешняя настраивается без DNS, а внутренняя настраивается без шлюза по умолчанию. Наш обычный шлюз по умолчанию - это наш CISCO ASA VPN.
Моя проблема в том, что если я не использую наш сервер TMG в качестве шлюза по умолчанию для веб-сервера и нашего внешнего DNS, я не могу попасть на сайт. Как только я меняю его на наш ASA, сайты не подключаются. Если я использую TMG в качестве шлюза по умолчанию, я не смогу получить доступ к большей части Интернета. Я хотел бы использовать наш ASA в качестве шлюза по умолчанию, но я не знаю, что делать на данном этапе.
Вы, вероятно, можете частично исправить это, назначив внешний DNS внешнему адаптеру TMG.
Но если вы исключите TMG в качестве маршрута по умолчанию, вам просто нужно, чтобы ASA заработал.
Если ASA имеет конфигурацию, которая позволяет только TMG подключаться к исходящему каналу, это может частично объяснить ваш симптом ... но ASA звучит как ключ здесь .
Какое бы устройство не использовалось для публикации сайта, его внутренний IP-адрес должен быть настроен как шлюз по умолчанию на веб-сервере. Вы не можете публиковать через TMG и маршрутизировать исходящий трафик через ASA, так как это приведет к тайм-ауту полуоткрытых соединений на TMG и нераспознанным ответам на втором шлюзе, который никогда не получал входящие запросы от клиентов.