关于TMG安装和使用,可以看看这个link: www.isacn.org
环境介绍:
注意一点: 模拟公网DNS服务器,建立HOST的时候IP地址一定要是公网地址
注意第二点 在TMG建立规则允许内到外
TMG先要发布一条规则
首先pop3的身份验证 要改为’纯文本登入’
其次smtp link可以开启匿名也可以不开启匿名
若关闭了匿名则用户名这一栏必须填bob@lab.com
可以telenet mail.lab.com 25 和110端口看服务是否开启
调整POP3 的身份验证为安全登入
新建一个规则的时候选择 POP3S 和SMTPS
需要注意一个点的是,在TMG上pops用的端口是:995,SMTPS用的端口465
但在 exchange 上POPS 用的端口是995,smtps用的端口是587
Outlook client上用的POPS则是995, smtp端口是25
所以可以看到明显的端口不匹配
解决思路:我们需要做个端口映射
1在 TMG smtps 改为25端口 (当然你也可以不改,但是在客户端配置的 时候就麻烦)
2在TMG上把 25端口映射到exchange 587端口
传统的端口映射 ,在TMG上发布的时候选择 ‘非web服务器的发布规则’
下一步直到完成
在客户端验证成功
Telenet mail.lab.com 443
(禁用隧道模式https发布规则)
TMG会拆包进行分析后,符合安全条件后,再丢包给exchange server
条件:
1一定要把exchange server的私钥导出到TMG中 (个人用户快快)
2TMG要信任内部的CA,且导入exchange server 私钥
3 TMG能解析出 exchange访问的域名
4 在TMG上要选择’新建exchange web 客户端发布规则’
桥接 模式比隧道模拟的优点:它 可以做https筛选.
导出的格式为pfx格式的私钥证书
同时,TMG必须信任CA, 由于TMG是加入域 的成员服务器,所以是自动信任CA (windows server 2012 -7)
关于TMG是否能解析 mail.lab.com,可以添加host记录
下一步直到完成
在bob client上 telnet mail.lab.com 443
结果是成功的 同时可以看下是不是我们exchange的证书
由于mapi是使用动态接口,那么在防火墙上就不好做端口映射了
由此有了outlook anywhere的技术,即把端口二次封装进443端口
安装硬 防火墙的规则的话,发布了443端口就可以了
但是tmg软防火并不可以,所以需要创建规则
打开https://mail.lab.com/rpc有跳出输入用户名和密码就ok
看下客户端是怎么设置的
记得在public DNS 上注册下 win2008-1.lab.com,具体参考下下面的文章
https://support.microsoft.com/en-us/kb/2580470/zh-cn
本文出自 “Eric的心路旅程” 博客,谢绝转载!
Lesson 4- Exchange Server 2010 Publish
原文:http://ericfu.blog.51cto.com/416760/1635996