3、创建TMG独立服务器阵列
1)、配置阵列服务器集合
TMG阵列内的任何一台服务器都可以作为管理阵列服务器。这里我们指定TMG01作为阵列管理服务器。
加入到TMG阵列,首先需要在阵列管理服务器TMG01上配置阵列服务器集合,把TMG02服务器的IP地址加入到阵列服务器集合,这样TMG02才具有访问TMG01配置存储服务器的权限。
在TMG01服务器上编辑阵列服务器集合,定位到“Forefront TMG(TMG01)”,点击“防火墙策略”,在右侧栏中,点击“工具箱”—“网络对象”—“计算机集”,依次打开“复制配置存储服务器”和“陈列服务器”将要加入陈列的TMG02服务器的IP地址,添加到复制配置存储服务器和陈列服务器中。
工具箱—网络对象—计算机集中的复制配置存储服务器
工具箱—网络对象---计算机集中的阵列服务器
完成以上配置后,还可以在“工具箱”—“网络对象”—“计算机集”—“远程管理计算机”
中添加用于远程管理Forefront TMG服务器的计算机IP地址。
2)、导入阵列服务器通讯证书
在TMG控制台中定位到“Forefront TMG(TMG01)”—“系统”节点,点击右侧栏的“安装服务器证书”,在安装服务器证书向导中,指定前面我们申请的TMG01.contoso.com证书存放位置,并输入证书导出时设置的密码,点击“确定”,来完成证书导入操作。
同时我们可以验证证书是否正确导入
首先打开mmc,添加证书管理单元
这里要选择“服务账户”,点击下一步
在选择一个在本地计算机上管理的服务账户中,选择“ISASTGCTRL”服务账户
在证书控制台中展开证书节点,查看“个人”—“ 证书”中是否已正确导入TMG01.contoso.com证书。
同时确认下TMG01和TMG02两台服务器服务账户的“ISASTGCTRL”的“受信任的根证书颁发机构”中是否存在CA根证书。
3)、配置TMG阵列
在Forefront TMG管理控制台中,定位到“Forefront TMG(TMG01)”节点,在右侧栏的“任务”窗格中单击“配置陈列属性”
在“分配角色”选项卡中,确认Administrator帐户已添加到“允许访问配置存储并监视陈列的用户和组”中,并且“角色”设置为“Forefront TMG陈列管理员”。
然后将TMG02加入到现有阵列
在TMG02上打开TMG控制台,定位到“Forefront TMG(TMG02),在右侧栏选择“加入阵列”。
点击下一步
选择“加入由指定阵列成员管理的独立阵列”
输入TMG01的FQDN或IP地址,选择“使用此帐户进行连接”,并且键入前面添加的陈列管理员帐户名及密码,这里我们使用Administrator账户及密码
注:也可使用当前用户登录用户的身份凭据连接TMG01上的配置存储服务器,确保TMG02上的登录用户有足够权限。
前面我们已经安装好CA根证书,选择“此服务器上已安装CA证书”
在“正在完成加入陈列向导”页,单击“完成”按钮。加入陈列完成之后,单击“确定”按钮。
返回TMG控制台,再次定位到“Forcefront TMG(TMG01)”,在右侧栏中点击“配置阵列属性”
这时TMG01阵列属性中会增加一个“凭据”选项卡,切换到该选项卡,选择“使用此账户进行身份验证(仅工作组配置)”,然后点击“设置账户”,输入用户名及密码,这里仍然使用administrator的用户名及密码
然后切换到“分配角色”选项卡,在“允许监视此阵列的用户(镜像账户)”中,点击“添加”,添加Administrator账户为镜像账户,并分配“Forcefront TMG阵列管理员”角色
最后应用设置
4)、验证TMG阵列
加入TMG陈列后,进入Forefront TMG控制台,定位到Forefront TMG(TMG01)下的“系统”列,然后点击窗口中的“服务器”选项卡,在这里可以看到陈列中服务器的名称、主机ID、创建时间、CARP负载系统等;服务器的状态图标为绿色,表示服务器访问配置存储服务器正常。如果服务器的状态为红色,表示服务器访问配置存储服务器异常。
然后定位到“监视”列,点击窗口中的“配置”选项卡,查看阵列中TMG服务器的配置状态;服务器的状态显示为绿色已同步,表示TMG服务器之间通讯正常。如果服务器的状态为红色未同步,表示TMG服务器之间通讯异常,需要检查TMG通讯的证书是否配置正确。
5)、为TMG陈列配置负载平衡NLB
TMG陈列配置负载平衡需要将Forefront TMG的“内部”与“外部”网络分别启用网络负载平衡并设置负载平衡的IP地址。
在Forefront TMG管理控制台中,定位到“Forefront TMG(TMG01)”—“网络连接”节点,在右侧栏的“任务”窗格中单击“启用网络负载平衡集成”
针对TMG服务器的内部网络和外部网络分别设置虚拟IP地址:
内部网络的NLB设置
群集操作模式的区别请参考Exchange中关于NLB的说明,此处我们采用多播模式。
Exchange NLB参考:http://shubao.blog.51cto.com/401810/1272564
多播模式一般需要在交换机或者路由器上做VIP和VMAC(多播虚拟二层mac地址)的绑定
外部网络的NLB设置
由于我们的TMG中配置有多个外部网络地址,当启用NLB时,需要将其他IP地址添加到NLB的附加VIP中。
启用NLB以后,TMG服务器上所有的第二IP如果不做配置,都会被删除。我们需要把他们都变成虚拟VIP,这样在两台TMG上都能看到。
点击“完成”关闭网络负载平衡集成向导。
弹出NLB配置提示,点击“确定”
最后点击应用设置
选择保存更改,并重启动服务,点击“确定”完成
再次定位到Forcefront TMG(TMG01)下的“监视”列,点击窗口中的“配置”选项卡,查看阵列中TMG服务器的配置状态,直到状态显示为“已同步”,表示NLB配置完成。
切换到“服务”选项卡,检查TMG服务器上的网络负载平衡服务状态
注:如果服务器状态或者服务状态异常,可以通过“警报”选项卡查看原因。
最后检查网络配置,可以看到系统会自己将虚拟IP地址添加到TCP/IP配置中
另外可以通过禁用TMG服务器的相关网卡来检测TMG阵列的NLB是否能起到负载平衡的作用。
6)、完成以上配置后,还需要修改TMG的Web侦听器的网络设置,将侦听器侦听的外部网络地址更换为群集NLB地址。当然初期建议将原有地址和群集NLB地址同时配置,待确认阵列没问题后再删除原地址。