为了避免TMG的单点故障,满足客户防火墙的可用性和可伸缩性的要求,一般可以将多台TMG2010服务器可以加入同一个阵列,这样管理员可以对TMG服务器进行阵列级管理。Forefront TMG支持两种阵列类型:
独立阵列 - 根据选择的负载平衡方法,一个独立阵列最多可以包含 50 台 Forefront TMG 服务器,这些服务器由一个充当阵列管理器的阵列成员管理。如果 Forefront TMG 部署在单一逻辑位置且处理中等流量负载时,可使用此阵列类型。
EMS 管理的阵列 - EMS 管理的阵列最多可以包含 200 个 Forefront TMG 阵列,每个阵列最多包含 50 台 Forefront TMG 服务器,这些服务器由企业管理器服务器 (EMS) 管理。建立 EMS 管理的阵列后,可以复制其设置,并使用相同设置最多管理 15 个 EMS 管理的阵列,从而允许对最多 150,000 台 Forefront TMG 服务器进行集中管理。
下面,我们来看一下独立阵列的实现方法,我们先看一下拓扑图:
步骤1: 创建阵列服务器集合
阵列内的tmg01和 tmg02都可以管理阵列。Tmg02服务器加入到tmg01所在的阵列,首先需要在tmg01服务器上配置阵列服务器集合,把tmg02服务器的IP地址加入到阵列服务器集合,这样tmg02才具有访问tmg01配置存储服务器的权限。如下图所示,在tmg01服务器上编辑阵列服务器集合。工具箱—网络对象---计算机集中的阵列服务器。
把tmg02计算机加入tmg01服务器的阵列服务器集合,点击上图中的添加,出现下图所示:
此时TMG01和TMG02都已经成为阵列服务器集合的成员。
步骤2: 将TMG02加入到现有阵列
在TMG02上打开tmg控制台,如下图所示,选择“加入阵列”。
然后会出现阵列加入向导。下一步之后,选择“加入由指定阵列成员管理的独立阵列”。
输入tmg01的计算机名或IP地址。如果输入计算机名,要确保计算机名被解析为阵列服务器中的IP地址10.68.100.50。由于tmg01有两块网卡,如果是Netbios名称则有可能被解析为外网地址,这点要注意,要确保tmg01可以被解析为10.68.100.50,可以直接输入tmg01的IP地址。
使用当前用户登录用户的身份凭据连接tmg01上的配置存储服务器,确保tmg02上的登录用户有足够权限。
tmg02成功加入阵列。
打开tmg控制台,在tmg控制台的系统节点中可以看到阵列中有两台服务器。分别是tmg01和tmg02,服务器的状态图标为绿色,表示服务器访问配置存储服务器正常。如果服务器的状态为红色,表示服务器访问配置存储服务器异常。
步骤3:启用负载平衡(NLB)
管理员可以在 Forefront TMG 管理控制台中直接管理 NLB,简化了节点管理。方法如下:
启用网络负载平衡集成,下面需要针对内部网络和外部网络分别设置虚拟IP地址:
分别针对内部和外部点击配置NLB设置,如下图所示:
此后会弹出下图所示,确定即可。
点击应用之后,弹出下面的提示:
在此,选择保存更改,并重启动服务,然后检查网络配置,可以发现,系统会自己将虚拟IP地址添加到TCP/IP配置中:
但此时在NLB中查看,连接TMG02时出错,这是怎么回事?
这是怎么回事呀,到了最后可不能出错呀!经查,说是由于Windows NLB的管理器是调用了Windows DCOM,而TMG并不支持DCOM,所以造成了这样一个结果,这个是不会影响正常功能的,因此不必担心。那我也就不管了!
那我们来测试一下:
首先将TMG01的内外网卡禁用,在外网测试机上访问TMG的外网虚拟地址是可以正常通讯的,如下图所示:
然后将TMG01的网卡启用,将TMG02的网卡禁用:在外网测试机上访问TMG的外网虚拟地址还是可以正常通讯的,如下图所示:
当然,在外网通过OWA访问内网的exchange服务器,进行邮件的收发,也是正常的。至此,TMG2010独立阵列的配置就完了。
本文转自 dufei 51CTO博客,原文链接:http://blog.51cto.com/dufei/899972,如需转载请自行联系原作者
