Lync Server外部访问系列PART3：准备反向代理

前面的两个PART我们完成了边缘服务器的搭建，虽然只有两篇文章但大家应该还是能够看出来边缘服务器的内容不少，特别是证书那一块。如果在部署过程中，如果有什么问题的话欢迎随时与我交流，这一篇文章中我将主要和大家分享准备反向代理的一些内容，因为考虑到可能有些朋友对TMG的了解不多，我首先来说一下为什么TMG需要三张网卡。第一张网卡是连接到公网，我们称之为WAN网卡，用于连接到外部网络；第二张网卡是连接到内部网络中的路由器，我们称之为LAN网卡，用于为内部网络提供到公网的连接；第三张网卡是连接到私有网络，我们称之为DMZ网卡，用于与边缘服务器连接从而实现外部用户访问。下面我们来看下拓扑图，这里强调的是拓扑图，我们忽略其他无关内容，并且忽略掉反向代理的WAN网卡IP。

其实反向代理不仅仅是用来重定向外部用户访问443端口到前端的4443端口，还充当着组织内部的防火墙、发布者，保护组织网络、发布内网中的服务比如Exchange Server、Lync Server、Web网站等，所以它的地位是非常重要的，因为整个内部网络都依靠着它来与互联网连接。下面我们来看下反向代理的三张网卡设置，这里没有顺序设置，第一张是DMZ网卡，设置其IP地址和子网掩码，不需要设置DNS和网关。

第二张网卡是LAN网卡，用于连接到内部网络，我们为其配置内部网络的IP地址，同样不需要设置网关，DNS填写我们内网中DC的地址。

第三张网卡是WAN网卡，我们为其配置一个物理局域网中的地址来模拟外部网络，并填写物理路由器的IP地址、一台模拟外部DNS的虚机作为DNS服务器，真实的DNS服务器。模拟外部DNS的虚机我们后面会专门搭建和设置，这里我们先这样填写。

设置完成后，我们接下来需要准备反向代理的证书，包括根证书和边缘证书。下面我们先来导入内部CA的根证书，步骤与之前我们导入根证书差不多，我就简单带过一边。按下【Windows + R】组合键打开运行对话框，输入mmc确定。

在打开的控制台单击文件-添加/删除管理单元。

在可用的管理单元中找到证书，然后单击添加，并且选择“计算机帐户”。

选择本地计算机。

完成添加，展开证书-受信任的根证书颁发机构，右键证书-所有任务-导入。

在选择导入文件处选择根证书文件。

选定好证书后选择将其放到下列存储-受信任的根证书颁发机构。

完成证书的导入，可以在受信任的根证书颁发机构中看到根证书。

这里我们先不忙关闭反向代理服务器上的证书管理单元。然后在边缘上导出外部边缘证书（不能直接使用我们之前生成的外部边缘证书），与上面的步骤相似打开计算机帐户证书管理单元，然后展开证书-个人-证书，然后找到证书名称为Edge Internet的证书，右键导出。

在导出私钥界面，我们选择将私钥跟证书一起导出。

选择如果可能，包含该证书路径的所有证书。

设置一个证书密码，建议与之前的证书密码相同。

保存到文件服务器。

完成证书的导出，提示导出成功。

回到反向代理上，在证书管理单元中展开证书，右键个人-所有任务-导入。

指定刚才我们导出的证书，格式为pfx。

输入我们之前导出证书时输入的密码。

选择证书放入下列存储为个人。

完成证书的导入。

安装TMG的过程比较简单，不是我们文章所交流的内容，在安装过程中没有特定需要设置的。需要注意的是在配置网络的时候，需要选择三臂模式，然后对应的设置网络。完成过后我们来创建两条规则，为好反向代理做准备工作，在TMG上右键防火墙策略，选址新建访问规则，在新建访问规则向导中我们为其定义访问规则名称为透明模式。

设置将符合规则条件时要执行的操作为允许。

然后在协议界面，选择此规则应用到所有出站通讯。

由于是企业版，这里会提示是否启用恶意软件检查，这里我们不需要使用此功能，选择不对该规则启用。

在选择访问规则源时，单击添加按钮，然后在网络中将内部、外围和本地主机都添加上。

在访问规则目标中添加外部网络。

用户集保持默认的所有用户。

完成规则的创建。

我们顺便也可以创建一个3389的规则，这样我们可以用远程桌面连接到TMG。

到此我们的反向代理就准备完成了，包括证书的导入、TMG的基本规则创建。但其实除了证书，我们今天的内容还不算是反向代理相关的，因为我们还只是在配置防火墙而已。下一篇我们将创建四条规则，其中三条用于边缘访问服务的发布，还有一条就是我们反向代理所需的规则。其实整个配置也比较简单，但内容还是比较多。今天就先到这里，如果大家有什么问题，欢迎立刻回复文章与我交流，谢谢大家！

 本文转自 reinxu 51CTO博客，原文链接：http://blog.51cto.com/reinember/828296，如需转载请自行联系原作者